关于时间戳和用signtool进行代码签名-是否将多个时间戳机构的时间戳应用于已签名的代码被视为最佳实践?以下相关问题可能有助于我理解:
1. 是否可以使用不同的时间戳服务器应用多个时间戳?如果我的理解是正确的,从这篇文章中可以得出答案是肯定的。参见:Authenticode的替代时间戳服务。
2. 如果确实可以这样做,那么多个时间戳提供了“失效备援”验证吗?例如,一段代码已经签名,然后由comodo和verisign两个机构分别对其进行了时间戳。如果系统无法连接到verisign,但能够连接到comodo以验证时间戳,那么代码是否仍然有效呢?我假设在验证代码并检测到时间戳时,系统会向时间戳机构发送网络流量以验证时间戳。如果不是这种情况,而是只在本地验证(其中之一)时间戳是由受信任的CA颁发的,那么这可能是答案。
3. 或者另一个要问的问题是,在检查时间戳时,这是一个"AND"(所有时间戳必须可验证才能通过检查)还是一个"OR"(一个时间戳必须可验证才能通过检查)的过程?
1. 是否可以使用不同的时间戳服务器应用多个时间戳?如果我的理解是正确的,从这篇文章中可以得出答案是肯定的。参见:Authenticode的替代时间戳服务。
2. 如果确实可以这样做,那么多个时间戳提供了“失效备援”验证吗?例如,一段代码已经签名,然后由comodo和verisign两个机构分别对其进行了时间戳。如果系统无法连接到verisign,但能够连接到comodo以验证时间戳,那么代码是否仍然有效呢?我假设在验证代码并检测到时间戳时,系统会向时间戳机构发送网络流量以验证时间戳。如果不是这种情况,而是只在本地验证(其中之一)时间戳是由受信任的CA颁发的,那么这可能是答案。
3. 或者另一个要问的问题是,在检查时间戳时,这是一个"AND"(所有时间戳必须可验证才能通过检查)还是一个"OR"(一个时间戳必须可验证才能通过检查)的过程?