Есть у меня EV-сертификат для подписи кода от GlobalSign. Еще месяц назад я им подписывал модули драйверов, и они работали везде, от Win7 до Win10. А несколько дней назад свежеобновленная десятка 1903 вдруг стала ругаться на недоверенность. Открыл свойства подписанного файла, и увидел такое:
Срок действия сертификата, помеченного, как недействительный, истек 18.03.19, серийный номер- 04000000000125071df9af.
Но в Win7-Win8.1, и даже в десятке 1809, подпись этого файла выглядит так:
Истекший сертификат установлен только в рабочей системе, где я подписываю код, в других системах его нет, но свойства подписи во всех Win7-Win8.1 выглядят одинаково (три сертификата в цепочке).
signtool в режиме verify выдает:
| | signtool — verify |
| | Signing Certificate Chain:
Issued to: GlobalSign
Issued by: GlobalSign
Expires: Sun Mar 18 11:00:00 2029
SHA1 hash: D69B561148F01C77C54578C10926DF5B856976AD
Issued to: GlobalSign Extended Validation CodeSigning CA — SHA256 — G3
Issued by: GlobalSign
Expires: Sat Jun 15 01:00:00 2024
SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C
Issued to: Muzychenko Evgenii Viktorovich, IP
Issued by: GlobalSign Extended Validation CodeSigning CA — SHA256 — G3
Expires: Tue Aug 18 12:57:24 2020
SHA1 hash: D25CEAE07AE5BA4193D69126003095E85A33BBE1
|
| | |
с ошибкой "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider".
А при подписывании выдает такую цепочку:
| | signtool — sign |
| | Cross certificate chain (using machine store):
Issued to: Microsoft Code Verification Root
Issued by: Microsoft Code Verification Root
Expires: Sat Nov 01 14:54:03 2025
SHA1 hash: 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3
Issued to: GlobalSign Root CA
Issued by: Microsoft Code Verification Root
Expires: Thu Apr 15 21:05:08 2021
SHA1 hash: CC1DEEBF6D55C2C9061BA16F10A0BFA6979A4A32
Issued to: GlobalSign
Issued by: GlobalSign Root CA
Expires: Mon Mar 18 11:00:00 2019
SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996
Issued to: GlobalSign Extended Validation CodeSigning CA — SHA256 — G3
Issued by: GlobalSign
Expires: Sat Jun 15 01:00:00 2024
SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C
Issued to: Muzychenko Evgenii Viktorovich, IP
Issued by: GlobalSign Extended Validation CodeSigning CA — SHA256 — G3
Expires: Tue Aug 18 12:57:24 2020
SHA1 hash: D25CEAE07AE5BA4193D69126003095E85A33BBE1
|
| | |
Как всю эту кашу можно понять? Я так понимаю, что все системы должны одинаково относиться к одному и тому же сертификату. Почему Win10 после обновления вдруг стала отображать его в цепочке, чего не делают остальные системы, но не делала этого ни летом, ни в начале осени, когда срок действия уже давно истек?
Если удалить истекший сертификат из хранилища рабочей системы, то signtool перестает подписывать с ошибкой "The provided cross certificate would not be present in the certificate chain" (почему именно его там не будет? информативность, как обычно, на высоте).
У GlobalSign ничего по этому сертификату найти не удалось. Все их корневые сертификаты, которые они выложили для подписи кода, у меня стоят. Написал им вчера с вопросом, пока не ответили, а разобраться надо бы побыстрее.
В общем, кто здесь дурак: я, GlobalSign или Microsoft?
