【问题标题】:Is http://timestamp.geotrust.com/tsa not longer available for SignTool?http://timestamp.geotrust.com/tsa 是否不再可用于 SignTool?
【发布时间】:2018-05-15 09:05:04
【问题描述】:

我们在构建服务器上签署我们的可执行文件。突然构建服务器无法构建并给出错误:

SingTool 错误:无法访问指定的时间戳服务器或返回无效响应。

将时间戳服务器更改为http://sha256timestamp.ws.symantec.com/sha256/timestamp 后,再次唱歌。

  1. 我们的旧网址有问题吗?为什么它不再可用?
  2. 旧签名文件或新 URL 是否存在一些(安全)问题?

我知道这有点宽泛,我只是不想错过任何东西......

【问题讨论】:

    标签: installation sign signtool


    【解决方案1】:

    我向赛门铁克询问了这个问题,所以他们给我发了这个链接:https://knowledge.symantec.com/support/partner/index?page=content&id=NEWS10071&viewlocale=en_US

    到 2017 年 4 月 18 日,赛门铁克将停用“Legacy” 时间戳服务。

    (旧版)RFC 3161 SHA128 时间戳服务: https://timestamp.geotrust.com/tsa

    为了支持我们客户的业务连续性,我们提供了 以下更换服务。

    (新)RFC 3161 服务 SHA256: http://sha256timestamp.ws.symantec.com/sha256/timestamp

    重要提示:客户必须利用 SHA256 时间戳服务 转发,并且不应使用 SHA1 服务,除非有遗留 不允许使用 SHA2 服务的平台约束(在此 如果您可以使用这个新 URL:RFC 3161 Service SHA128: http://sha1timestamp.ws.symantec.com/sha1/timestamp)。

    影响时间戳的背景和关键行业要求 服务

    遵守已发布的代码签名最低要求 (CSMR) 由 CA 安全委员会和 Microsoft 受信任的根计划要求 (第 3.14 节),赛门铁克设置了“新”RFC 3161(SHA1 和 SHA2) 根据部分规定的规格和要求提供服务 16.1 需要 FIPS 140-2 3 级密钥保护。在不久的将来,Oracle 将采取措施取消对两者的 SHA1 支持 Java 签名和时间戳。这不会影响 Java 应用程序 之前使用 SHA1 签名或加盖时间戳,因为这些将 继续正常运作。但是,Java 应用程序签名或 在 Oracle 宣布的日期之后使用 SHA1 时间戳可能不会 值得信赖。

    【讨论】:

    • 嗨。欢迎来到 SO。最好在您的答案中添加一些描述,因为链接可能会过期或过时。通过包含链接中的关键点来改进您的答案(同时保留链接)。
    【解决方案2】:

    来自其他提供商的时间戳工作链接:

    你也可以试试:

    您可以选择 KeyStore Explorer(具有良好 GUI 的签名工具)。它具有默认且不工作链接http://timestamp.geotrust.com/tsa 如果是这样,请不要忘记将选项TSA URL(添加时间戳)中的不工作链接更改为其他工作选项。

    例如,这个选项(链接)对我很有效: http://tsa.starfieldtech.com

    【讨论】:

      【解决方案3】:

      从 2017 年 4 月 21 日开始,我遇到了同样的 TSA 问题。从https://timestamp.geotrust.com/tsa 切换到http://sha256timestamp.ws.symantec.com/sha256/timestamp 也解决了我们的问题,感谢您的指点。我使用旧 URL 收到的具体错误是 jarsigner 返回“java.net.socketException:软件导致连接中止:recv 失败。”

      Verisign 知识库文章 AR185,更新于 2017 年 3 月 16 日,在过去推荐 https://timestamp.geotrust.com/tsa 的地方推荐了 jarsigner 参数“-tsa http://sha256timestamp.ws.symantec.com/sha256/timestamp”。此文档更改向我表明禁用 URL 可能是故意的,但我不知道这是否对使用旧时间戳服务器签名的 JAR 的信任级别有任何影响。

      【讨论】:

        猜你喜欢
        • 2017-02-14
        • 2011-05-19
        • 2023-04-02
        • 1970-01-01
        • 2020-04-20
        • 2022-01-07
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多