Http://timestamp.geotrust.com/tsa больше не доступен для SignTool?
Мы подписываем наши исполняемые файлы на сервере сборки. Внезапно сервер сборки не удалось собрать, выдав ошибку:
Ошибка SingTool: не удалось связаться с выделенным сервером меток времени или был возвращен неверный ответ.
После изменения сервера меток времени на http://sha256timestamp.ws.symantec.com/sha256/timestamp пение снова сработало.
- Есть ли проблемы с нашим старым URL? Почему это больше не доступно?
- Могли бы мы иметь некоторые проблемы (безопасности) со старыми подписанными файлами или новым URL?
Я знаю, что это немного широко, я просто не хочу ничего пропустить...
3 ответа
Я спросил об этом Symantec, и они отправили мне эту ссылку: https://knowledge.symantec.com/support/partner/index?page=content&id=NEWS10071&viewlocale=en_US
К 18 апреля 2017 года Symantec выведет из эксплуатации службу меток времени "Legacy".
(Legacy) RFC 3161 SHA128 Служба меток времени: https://timestamp.geotrust.com/tsa
Чтобы обеспечить непрерывность бизнеса для наших клиентов, мы предоставили следующие услуги по замене.
(Новый) RFC 3161 Сервис SHA256: http://sha256timestamp.ws.symantec.com/sha256/timestamp
Важное замечание: Клиенты должны использовать службу метки времени SHA256 в будущем и не должны использовать службу SHA1, если не существует устаревшей платформы, которая не позволяет использовать службу SHA2 (в этом случае вы можете использовать этот новый URL-адрес: служба RFC 3161 SHA128: http://sha1timestamp.ws.symantec.com/sha1/timestamp).
Предпосылки и основные отраслевые мандаты, влияющие на услуги меток времени
В соответствии с Минимальными требованиями к подписи кода (CSMR), опубликованными Советом безопасности CA и требованиями программы Microsoft Trusted Root (раздел 3.14), Symantec настроил "новую" службу RFC 3161 (SHA1 и SHA2) в соответствии с изложенными спецификациями и требованиями. согласно разделу 16.1, для которого требуется защита ключа FIPS 140-2 уровня 3. В ближайшем будущем Oracle предпримет шаги по удалению поддержки SHA1 как для подписи Java, так и для отметки времени. Это не повлияет на приложения Java, которые были ранее подписаны или имеют временную метку с SHA1, так как они будут продолжать функционировать должным образом. Однако приложения Java, подписанные или имеющие временную метку с SHA1 после объявленной даты Oracle, не могут быть доверенными.
Рабочая ссылка для метки времени от другого провайдера:
Вы также можете попробовать:
Вы можете выбрать KeyStore Explorer (инструмент для подписи с хорошим графическим интерфейсом). По умолчанию она не работает, ссылка http://timestamp.geotrust.com/tsa Если это так, не забудьте заменить нерабочую ссылку в URL-адресе параметра TSA (Добавить метку времени) на другие рабочие параметры.
Например, этот вариант (ссылка) работал у меня нормально: http://tsa.starfieldtech.com/
Я столкнулся с той же проблемой TSA, начиная с 2017-04-21. Переход с https://timestamp.geotrust.com/tsa на http://sha256timestamp.ws.symantec.com/sha256/timestamp решил нашу проблему, так что спасибо за указатель. Конкретная ошибка, которую я получил, используя старый URL-адрес, заключалась в том, что jarsigner вернул сообщение "java.net.socketException: программное обеспечение вызвало прерывание соединения: сбой recv".
В статье базы знаний Verisign AR185, обновленной 2017-03-16, рекомендуются аргументы jarsigner "-tsa http://sha256timestamp.ws.symantec.com/sha256/timestamp", в которых она рекомендовала https://timestamp.geotrust.com/tsa. Это изменение документации позволяет мне предположить, что отключение URL-адреса может быть преднамеренным, но я не знаю, имеет ли это какое-либо значение для уровня доверия JAR, подписанных с использованием старого сервера временных меток.