Мы только что перешли с SHA-1 на сертификат подписи кода SHA-2. (В качестве справочной информации мы подписываем файлы .exe и .xap в Windows с помощью signtool.exe, используя сертификаты подписи кода COMODO.) Мы делаем это с использованием сертифицированной отметки времени, чтобы убедиться, что Windows продолжает доверять подписи кода после сертификата подписи кода. истекает.
Теперь я заметил, что сертификат временной метки по-прежнему является сертификатом SHA-1 при использовании http://timestamp.comodoca.com/authenticode. (Подробности: это df946a5 ... с субъектом CN = COMODO Time Stamping Signer, O = COMODO CA Limited, L = Salford, S = Greater Manchester, C = GB '.)
(В Windows этот сертификат можно увидеть, взяв подписанный .exe, затем в диалоговом окне свойств проводника перейдите на вкладку Цифровые подписи, выберите подпись и нажмите «Подробности», затем в диалоговом окне «Сведения о цифровой подписи» нажмите встречную подпись и нажмите «Подробнее», затем во втором диалоговом окне «Сведения о цифровой подписи» нажмите «Просмотр сертификата». Сертификат является сертификатом SHA-1, если его «алгоритм хеширования подписи» - «sha1».)
Будет ли это проблемой? Другими словами, после истечения срока действия нашего текущего сертификата подписи кода и после того, как Microsoft Windows будет рассматривать SHA-1 как неработающий алгоритм (это самое позднее в 2020 году), будут ли наши текущим подписям все еще можно доверять? Или Windows скажет: «Отметка времени находится в пределах срока действия сертификата подписи кода, но отметка времени была подписана сертификатом SHA-1, поэтому я не буду доверять отметке времени и, следовательно, не буду доверять этой подписи»?
Есть ли еще одна услуга, которую мы можем / должны использовать? (Не http://timestamp.verisign.com/scripts/timstamp.dll от Verisign, поскольку они также все еще используют сертификат с отметкой времени SHA-1, а именно 6543992 ...)