您现在所在位置:主页 > 服务器安全 >

网站防御_高防机房_新用户优惠

更新时间:2021-06-12

网站防御_高防机房_新用户优惠

代码签名为可执行文件提供完整性,确保它们未被修改或损坏。许多现代操作系统需要代码签名来保护用户不受未知来源代码或真实性保证的影响。与HTTPS类似,由证书颁发机构创建的可信证书颁发给个人或公司,以允许他们签署将被主要操作系统识别的代码。代码签名最重要的部分之一是时间戳。这是签名过程的一部分,该过程允许软件和用户识别有效的代码签名签名,海外高防cdn,即使证书已过期。如果您的软件由于过期的代码签名证书而停止运行,请考虑对用户的影响以及您将如何修正它。你能推送一个更新吗,还是这个机制也会因为过期的签名而被破坏?在紧急情况下开发和部署补丁需要多少钱?如果您的软件停止工作,您的用户是否会受到他们自己的业务影响?由于过期签名的影响很大,因此非常重要的一点是,您的代码签名过程必须得到充分理解和记录,并且始终要为软件添加时间戳以保留签名。时间戳不仅是软件持续可用性的最佳实践,而且还提供了安全性方面的好处。如果由于密钥泄露而需要吊销证书,则在吊销日期之前签名的任何内容都将继续运行,并且任何新的签名都将无效。我们将介绍时间戳的背景和要遵循的最佳实践,以确保您的软件签名不会遇到任何意外的问题。什么是时间戳?时间戳会保留软件上的签名,从而允许操作系统和其他软件在代码签名证书过期后接受该签名。在评估签名时,时间戳允许根据签名的时间而不是软件执行时的当前时间来检查签名的有效性。如果没有时间戳,则根据当前日期计算签名。您可能已在数年前分发了软件,在这种情况下,您的证书将过期,签名将不再有效。这将阻止用户运行您的软件,并且根据平台的不同,可能无法绕过这一点。例如,您的代码签名证书在2017年全年(2017年1月1日至2017年12月31日)有效,并且您在2017年11月签署了一个可执行文件并在其上添加了时间戳。用户下载您的可执行文件并在今天运行它,而不是检查代码签名证书当前是否有效,他们的操作系统会检查时间戳并评估它在11月份是否有效。它看到证书当时是有效的,签名被接受。请注意,每次用户运行可执行文件时都会检查其签名。这意味着,如果证书过期并且没有时间戳,软件将突然停止为所有用户工作。对于大多数软件,您将其分发给用户,并希望它尽可能长时间地工作,这使得时间戳成为签名过程中的一个重要部分,这样您的软件可以继续使用数年。时间戳本身由您的CA签名并受保护,使其能够抵抗篡改或欺骗,并且具有加密安全性。可以将时间戳看作是一个反签名。在Windows上,如果提供代码签名证书的CA不受信任,则时间戳还允许签名保持有效。最佳实践第一个也是最重要的:使用时间戳!在许多工具中,比如微软的SignTool,时间戳是可选的。确保您了解时间戳如何与开发工具一起工作。我们为最流行的环境提供文档,包括Windows、macos和Java。Check平台支持:SHA-2是时间戳签名的现代标准算法。但是,百度云cc防御,一些仍在使用的操作系统默认不支持SHA-2,windows7只支持带有补丁的SHA-2。如果您认为旧版操作系统在用户中很流行,请考虑是否应该使用SHA-1签名或带有两个证书的双重签名来支持这两种算法。将其作为构建过程的一部分:当您更新软件时,您将构建和发布新的可执行文件。确保签名和时间戳是该过程的一部分,以避免软件的每个版本出现意外问题和错误。记录过程:你比其他人更了解你的开发工具和过程。在签名过程中,ddos防御10g,时间戳需要其他标志和命令,包括从CA安全地检索时间戳签名的URL。请确保人员配置或过程中的更改不会导致有人忘记正确签名您的软件。限制密钥泄露的损害:时间戳为操作系统提供了一种识别签名可执行文件是在证书吊销之前还是之后发出的方法。如果由于密钥泄露而需要吊销证书,则可以安全地执行此操作,免费高速高防cdn,而不会使合法生成的签名失效(如果您已为其添加了时间戳)。时间戳将根据吊销日期进行检查,在该日期之前发出的任何内容都将继续有效。证书过期的重要性一个常见的误解是,证书过期只是证书颁发机构向您收取更多费用的机会。从技术角度来说,PKI是一个重要的组成部分,尤其是PKI与证书交互是Web系统的一个基本组成部分。PKI的主要目的之一是将域名、组织或其他唯一标识符等标识绑定到公钥。对于任何类型的可信证书,都会验证该身份以确保准确性。这就给了你和你使用软件的信心,知道一个证书颁发给DigiCert.com/DigiCert,Inc.是我们真正拥有的。对于代码签名、SSL和电子邮件证书来说也是如此。例如,在您收到Software Developers LLC的代码签名证书之前,您的CA供应商必须确保该公司确实存在,已在当地政府正确注册并具有良好信誉,并且您确实是该公司的员工,有权申请证书。过期是CA重新检查此信息以确保标识和公钥之间的绑定仍然正确的机会。通过这种方式,可信证书应该被视为与护照或驾照类似的身份证件,而护照或驾照也会过期。签发这些文件的政府希望能够偶尔确保信息仍然准确,并且您仍然有权使用和获取该文件。如果没有过期,证书将无限期地工作,使得密钥后面的身份随着它的老化而变得可疑。公司和域名易手,可以重新注册,可能持有这些证书的员工离开。你会相信2010年签发的证书仍由被签发人持有吗?2000年颁发的证书呢?吊销是一种附加机制,它可以指示证书何时不再受信任,但有许多原因(包括性能、客户端软件中缺少吊销状态检查以及可用性)无法将吊销作为使证书失效的主要方法。证书过期还有许多其他原因它确保在证书被泄露的情况下恶意使用它有一个有限的时间窗口,ddos防御更换ip,提供一个机会用新的密钥对重新密钥证书(最佳做法),并升级到当前的加密方法,如新的签名算法或更结实的钥匙。  时间戳的最佳实践上次修改时间:2018年3月15日,由Vincent Lynch修改