Im geschlossenen Netzwerk arbeitet Zeitstempeloption mit signierter JAR, wenn das Zertifikat abgelaufen ist?

Question

Sagen wir, ich meine Anwendung läuft in einem geschlossenen Netzwerk. Ich möchte eine signierte JAR überprüfen, die die Zeitstempeloption verwendet hat, aber das Zertifikat abgelaufen ist. Was wird passieren?

Erfordert die Zeitstempelüberprüfung den Zugriff auf den Zeitstempelserver im Internet?

Ich habe über diesen Beitrag gelesen, aber dieser spezielle Aspekt wurde nicht behandelt. What happens when a code signing certificate expires?

Answer 1

Der Zeitstempel ist eine Bestätigung, dass der Code zu einem bestimmten Zeitpunkt signiert wurde, dh von der Zeitstempelautorität digital signiert wurde.

Wenn das Codesignaturzertifikat zu diesem Zeitpunkt gültig war, ist seine Signatur auch nach Ablauf des Codesignaturzertifikats weiterhin gültig.

Der Zeitstempel wird mit der aktuellen Zeit verglichen, daher kann es hilfreich sein, wenn die Uhrzeit des Geräts mit dem Network Time Protocol synchronisiert ist. Aber Sie können sich auf eine lokale Uhr verlassen.

Um die verschiedenen Signaturzertifikate zu validieren, sollte der Sperrstatus überprüft werden. (Ich bin mir nicht sicher, ob dies tatsächlich getan wird.) Dies könnte OCSP verwenden, aber nur, wenn Sie es explizit konfigurieren. Standardmäßig wird bei jeder Sperrung eine lokal bereitgestellte CRL verwendet.

Daher ist keine Kommunikation mit der Zeitstempelberechtigung erforderlich.