具体来说:
一旦将证书添加到公共 CA CRL,Windows 将如何处理使用该证书签名的可执行文件?
答案1
发生的情况主要取决于您是否使用时间戳服务。如果您使用,则签名的可执行文件将保持受信任;如果您不使用,则可执行文件将不再受信任。
来自 Thwate 的代码签名证书常见问题解答:
- 我可以使用代码签名证书多长时间?
代码签名证书的有效期为 1 至 3 年,具体取决于您购买证书时选择的生命周期。您还应该为签名代码添加时间戳,以避免证书到期时代码也过期。
- 代码签名证书过期后,带时间戳的代码是否有效?
Thawte 时间戳服务允许您为已签名的代码添加时间戳。时间戳可确保证书过期时代码不会过期,因为系统会验证时间戳。如果您在签名代码时使用时间戳服务,则代码的哈希值将发送到时间戳服务器以记录代码的时间戳。用户的软件可以区分使用过期证书签名的代码(不应信任)和使用在代码签名时有效但随后已过期的证书签名的代码。
请在签署代码时指定所需的时间戳服务器 URL。Thawte 为您提供 SHA-1 和 SHA-256 RFC 3161 时间戳 URL。
时间戳服务器会验证文件签名的日期和时间,因此证书可能会过期,但只要文件仍在生产中,签名就会一直有效。只有当您想签署其他代码或重新签署已修改的代码时,才需要新的证书。
如果您在签名时不使用时间戳选项,则必须重新签名您的代码并将其重新发送给您的客户。