VeriSign Class 3 sertifikası Windows tarafından güvenilmiyor mu?

Question

Verisign Sınıf 3 Kod İmzalama sertifikası tarafından dijital olarak imzalanmış tüm yürütülebilir dosyaları olan bir Windows masaüstü uygulaması dağıtırım. Kullanıcıların büyük çoğunluğu için, bu iyi çalışıyor gibi görünüyor.

Ancak, az sayıda kullanıcı sertifikanın geçersiz olduğunu bildiriyor. "Sertifika zinciri işlenen ancak güven sağlayıcı tarafından güvenilmeyen bir kök sertifikasında sonlandırılan" iletisiyle birlikte gelir. Bu, CERT_E_UNTRUSTEDROOT (0x800B0109) hata koduna karşılık gelir. Bu ayrıca, tamamen güncellenmiş bir Windows 7 makinesinde de bildirilmiştir. Muhtemelen sertifikam Tamam, ancak Windows bazen VeriSign sertifikalarına güvenmiyor.

Windows bazen neden VeriSign'a güvenmiyor? Yükleyiciye ekleyebileceğim bir şey var mı (ayrıca imzalanmış) ve Windows'a sertifikaya güvenecek?

Answer 1

Microsoft'un Windows Update üzerinden aldığı, ancak "isteğe bağlı güncelleştirme" olarak etiketlenen Kök Sertifikalarının sık güncellemeleri vardır. Bu nedenle, tüm kullanıcılar bunları yüklememiş olabilir ve bunları manuel olarak yüklemeleri gerekebilir. Bu, otomatik kurulum genellikle yalnızca Kök Sertifika güncellemelerinin olmadığı "önemli güncellemeleri" yüklemek için ayarlandığı için "tam olarak güncellenen" makineler için de geçerlidir.

Masaüstü uygulamasının türüne bağlı olarak, imzalarken de belirli kuralları izlemeniz gerekebilir. Örneğin, Windows Güvenlik Merkezi ile etkileşimde bulunan uygulamalar, esas olarak sürücülerle aynı imzalama yöntemini gerektirir. Yani, sertifika zinciri imzayla birlikte gömülür (/acsigntool'a geçiş). MSCV-VSClass3.cer, VeriSign sertifikaları here için geçerli olabilir. İşlem genellikle bir yanlış isim gibi görünen çapraz imza olarak adlandırılır. Bu, sürücünüzün ikili veya kataloğunun çapraz imzalanmasını sağlamanın bir adımı olsa da, hayati adım, Microsoft'un gerçek çapraz imza olan sürücüyü (veya bu günlerde çoğunlukla katalog dosyası) imzalamasıdır.