Abbiamo appena passato da un SHA-1 a un certificato di firma del codice SHA-2. (Come informazioni di base, firmiamo file .exe e .xap su Windows con signtool.exe, usando i certificati di firma del codice COMODO.) Lo facciamo usando un timestamp certificato, per assicurarci che Windows continui a fidarsi della firma del codice dopo il certificato di firma del codice scade.Se/come evitare la data/ora firmata SHA-1 durante la firma del codice?
Ora ho notato che il certificato di data/ora è ancora un certificato SHA-1, quando si utilizza http://timestamp.comodoca.com/authenticode. (Dettagli: È df946a5 ... con Oggetto 'CN = COMODO Time Stamping Signer, O = COMODO CA limitato, L = Salford, S = Greater Manchester, C = GB'.)
(Su Windows si vede quel certificato prendendo un .exe firmato, quindi nella sua finestra di dialogo Proprietà Explorer andare alla scheda Firme digitali, selezionare la firma e fare clic su Dettagli, quindi nella finestra di dialogo Dettagli firma digitale fare clic sulla controfirma e fare clic su Dettagli, quindi nella seconda firma digitale La finestra di dialogo Dettagli fa clic su Visualizza certificato.Il certificato è un certificato SHA-1 se il suo 'Algoritmo firma hash' è 'sha1'.)
Questo sarà un problema? In altre parole, dopo che il nostro attuale certificato di firma del codice è scaduto, e dopo che Microsoft Windows considera SHA-1 come un algoritmo rotto (che è al più tardi nel 2020), le firme attuali saranno ancora attendibili? O Windows dirà, "Il timestamp rientra nell'intervallo di validità del certificato di firma del codice, ma il timestamp è stato firmato con un certificato SHA-1, quindi non mi fiderò del timestamp, e quindi non mi fiderò di questa firma"?
C'è un altro servizio che possiamo/dovremmo usare? (Non Verisign di http://timestamp.verisign.com/scripts/timstamp.dll, dal momento che anche ancora utilizzano un tempo di SHA-1 stamping certificato, cioè 6.543.992 ....)
Provato a chiedere supporto comodo? – MrTux
Aggiungere il flag/td SHA256 quando si chiama SignTool.exe, come descritto di seguito. Funziona con il server di timestamping Comodo. –