Vlákno názorů k článku Jak na digitální kontinuitu (nejenom) v datových schránkách? od Marek Knápek - Zajímavé, že například Windows od Microsoftu věří digitálně...

Zajímavé, že například Windows od Microsoftu věří digitálně podepsanému programu (*.exe), který byl podepsán privátním klíčem, jehož veřejná část je uložená na certifikátu, který už dávno vypršel. Za předpokladu tedy, že ten certifikát podepsala / vystavila důvěryhodná certifikační autorita (CA) a že ten podpis (podpis toho *.exe, ne podpis toho certifikátu) byl pře-podepsán důvěryhodným časovým serverem, jehož certifikát taky už dávno vypršel. Stačí, že ten podpis byl důvěryhodný tehdá a že to časové razítko bylo také důvěryhodné tehdá.

JoJo, koupili jsme novy certifikát od CA, která nebyla ve výchozím seznamu důvěryhodných autorit ve Windows 7 (v době kdy byly běžné Windows 10). Podepsal se tím instalátor a offline počítače u zákazníků (laboratoře) hlásily neplatný podpis. Workaroundů je několik: 1) Navštívit naše webové stránky, browser použije Microsoftí implementaci SSL/HTTPS a ta zavolá systémovou službu, která stáhne čerstvý seznam kořenových CA ze serverů MS. Náš web má totiž stejnou CA jako authenticode podpis installeru. 2) Instalovat novou CA, nebo standalone offline MS update balíček. 3) Nebo to prostě neřešit, stejně jsou ty počítače offline. Vyhrála to varianta 3, protože také instalujeme 3rd party kernel-level drivery, které jsou sice podepsané, ale ne WHQL podepsané, takže uživatelé nebezpečně se tvářící varovné dialogy byli zvyklí odklikávat již mnoho let.

To digitálne podpisovanie programov prináša(lo) viac problémov než úžitku.

Čo sme sa s tým najedovali, keď od zákazníka nebol prístup na CRL Verisignu, čo spôsobilo niekoľko desiatok sekúnd čakania pred spustením určitého proprietárneho .NET programu, ktorých sa sekvenčne spúšťalo niekoľko, a muselo sa to stihnúť v rámci 5 minút... nakoniec sa zistilo, že stačí jednoducho pridať do adresára k programu súbor *.exe.config so správnymi parametrami, aby sa tá kontrola podpisu vypla.