signcode: вопрос о хеше сертификата подписи и хеше сервера отметок времени

Question

Я немного удивлен различием между алгоритмом подписи сертификата и алгоритмом сервера отметок времени.

Пример. Я подписал *.exe файл с SHA256:

signtool sign /f mycertificate.pfx /p mypassword /td SHA256 /fd SHA256 file.exe

и сервер timstamp, использующий сертификат sha256:

signtool timestamp /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp file.exe

для Windows 10 это хорошо (без ошибок), но для Windows 7 отметка времени неверна.

Я также попытался установить временную метку файла на другом сервере, который использует сертификат SHA1:

signtool timestamp /tr http://timestamp.digicert.com file.exe

отметка времени подходит для обеих ОС

Почему Windows 7 не принимает sha256timestamp.ws.symantec.com timestamp?

В чем плюсы и минусы использования разных типов меток времени сервера?

ПРИМЕЧАНИЕ

Google Chrome имеет ту же проблему на Windows 7

certificate code-signing sign signtool

Источник

user2936170 17 янв '19 в 16:45

1 ответ

Другие вопросы по тегам certificate code-signing sign signtool

user6533059 18 янв '19 в 01:21 2019-01-18 01:21 · Answer 1 · 2019-01-18 01:21

Почему Windows 7 не принимает sha256timestamp.ws.symantec.com timestamp?

Вам необходимо проверить, установлен ли KB3033929 в Windows7.
Windows7 не будет проверять подписи только SHA256 без KB3033929.

Источник

user6533059 18 янв '19 в 01:21