如何验证签名代码的时间戳是否正确完成

Question

我刚刚从 StartSSL 获得代码签名证书，并尝试对我们的安装程序进行签名。

签名过程进展顺利，我得到了一个安装程序 exe，Windows 不再抱怨来自未知发行商。这太棒了！

不过，我试图确保时间戳也能像宣传的那样工作，因此我将我的 PC 日期移至 2012 年（在我的代码签名证书到期日期之后）。

这应该不会有任何区别，但是当我运行相同的安装程序 exe 时，我现在得到同样令人讨厌的“未知发布者”警告。

查看“数字签名”选项卡中 exe 的属性，我绝对可以看到时间戳显示为今天（2010 年），但这似乎根本没有帮助。

谷歌搜索没有给我任何信息，除了如果你在时间戳字段中看到日期，那么一切都OK。我不敢相信这一点，我的电脑抱怨说它不正常。

有谁知道这个时间戳概念是否有效以及如何确保我正确签署可执行文件？

谢谢。

Answer 1

StartSSL 颁发的代码签名证书包含增强型密钥使用 (EKU) 属性“生命周期签名”(1.3.6.1.4.1.311.10.3.13)，这会导致文件签名在证书过期时过期，无论任何时间戳如何。

Answer 2

抱歉，我没有答案，但根据 Comodo 的即时 SSL 常见问题解答。

带时间戳的代码在
代码签名证书
过期？
时间戳确保
该代码不会过期
证书过期。如果你的代码是
带时间戳的数字签名是
即使证书有效
已到期。新证书仅
如果您想签名，则需要
附加代码。如果您没有使用过
期间的时间戳选项
签名，您必须重新签署您的代码
并将其重新发送给您的客户。

Comodo在这个问题上似乎很权威，所以我倾向于相信他们所说的。

我自己也在焦急地等待答案，因为我非常想自己从 StartSSL 购买代码签名证书。我确实在他们的网站上注意到，代码证书是“测试版”，所以也许这是他们需要解决的问题。

Answer 3

“签名时间”和“盖章签名者”的时间戳之间存在差异。签名时间是您实际对代码进行签名的时间，其中时间戳来自“盖章签名者”（证书服务器）。

使用证书颁发者时间戳进行签名实际上可以确保即使您的证书已经过期，您的签名仍然有效。