코드서명 인증서 유효기간 경과 후에도 해당 프로그램 유효성 관련

종종 코드서명 인증서가 유출되어, 유출된 인증서로 코드서명된 악성코드가 이슈가 되었는데요. 그럴 때마다, 해당 악성코드에서 사용하는 C2 IP , 백신업데이트, 및 패턴등에 대해서만 관심을 갖다가, 최근에 인증서 유효기간이 경과되었지만, 정상적으로 구동되는 프로그램에 대해서 의아하게 생각이되어, 관련하여 여러 사람들에게 조언을 구하고, 관련 인터넷 등에서 조회를 하여, 그 이유를 알게 되었습니다. 그 동안 별 생각 없이 지나쳤던 인증서의 타임스탬프가 중요한 KEY 역할을 하고 있었네요…

여러 인터넷 관련 글 중에서, Comodo 사이트에서 제공하는  아래 글이 간단하면서 명료하게 되어 있어서, 정리하는 차원에서 글 포스팅 하게 되었습니다.

Is timestamped code valid after a Code Signing Certificate expires?

Timestamping ensures that code will not expire when certificate expires. If your code is timestamped the digital signature is valid even though the certificate has expired. A new certificate is only necessary if you want to sign additional code. If you did not use the timestamping option during the signing, you must re-sign your code and re-send it out to your customers.

 

How long can I use my code signing certificate?

Code signing certificates are valid for between one to three years depending on your purchase choice. Providing you take advantage of the time-stamping option, all code that you signed before certificate expiry will continue to be trusted even after the certificate has expired. However, if you want to sign new software after expiry, then you will need to renew your certificate

 

Time-stamp Authority – CAs which issue EV Code Signing certificates must also provide a time-stamp authority (TSA) which meets RFC 3161. The TSA will allow the publisher to time-stamp the signatures of their code. The time-stamp can be used to support the longevity of the code in the event that the EV Code Signing certificate is revoked after signature.

Advertisements

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: