当公共CA“代码签名”证书被撤销时会发生什么?

特别:

一旦将证书添加到公共CA CRL中,Windows将如何处理使用该证书签名的可执行文件?

主要取决于您是否使用时间戳服务。 如果你是那么签名的可执行文件将保持信任; 如果你不这样做,则可执行文件将不再被信任。

从Thwate的代码签名证书常见问题解答 :

  • 我可以使用代码签名证书多长时间?

代码签名证书有效期为1到3年,具体取决于您在购买证书时select的生命周期。 您还应该为签名的代码添加时间戳,以避免在证书过期时代码过期。

  • 代码签名证书过期后,时间戳代码是否有效?

Thawte时间戳服务允许您为签名代码添加时间戳。 时间戳确保代码在证书过期时不会过期,因为系统validation时间戳。 如果在对代码进行签名时使用时间戳服务,则会将代码的散列值发送到时间戳服务器以logging代码的时间戳。 用户的软件可以区分使用不应该被信任的过期证书签名的代码和使用在代码签名时有效但随后过期的证书签名的代码。

请在签署代码时指定您需要的时间戳服务器url。 Thawte为您提供SHA-1和SHA-256 RFC 3161时间戳URL。

时间戳服务器validation文件签名的date和时间,因此证书可以过期,但只要文件正在生产,签名就会有效。 只有在您想要签署其他代码或重新签署已修改的代码时,才需要新的证书。

如果在签名期间不使用时间戳选项,则必须重新签署代码并将其重新发送给客户。