Это http://timestamp.geotrust.com/tsa больше не доступно для SignTool?

мы подписываем наши исполняемые файлы на сервере сборки. Внезапно сервер сборки не удалось построить, давая ошибку:

SingTool Error: сервер разделенных меток времени либо не может быть достигнут, либо возвращает недопустимый ответ.

после изменения сервера меток времени наhttp://sha256timestamp.ws.symantec.com/sha256/timestamp, пение снова сработало.

  1. есть ли какие-либо проблемы с нашим старым url? Почему нет? больше в наличии?
  2. могли бы у нас быть некоторые проблемы (безопасности) со старыми подписанными файлами или новым url-адресом?

Я знаю, что это немного широкий, я просто не хочу ничего пропустить...

3 ответов


Я спросил Symantec об этом, поэтому они отправили мне эту ссылку: https://knowledge.symantec.com/support/partner/index?page=content&id=NEWS10071&viewlocale=en_US

к 18 апреля 2017 года Symantec откажется от " наследия" служба штампов времени.

(Legacy) служба меток времени RFC 3161 SHA128: https://timestamp.geotrust.com/tsa

поддержать непрерывность бизнеса для наших клиентов, мы обеспечивали этот следующие услуги по замене.

(новый) RFC 3161 сервис SHA256: http://sha256timestamp.ws.symantec.com/sha256/timestamp

важно: клиенты должны использовать SHA256 Timestamping сервис собирается вперед и не должен использовать службу SHA1, если нет наследия ограничение платформы, которое не позволяет использовать службу SHA2 (в этом если вы можете использовать этот новый URL: RFC 3161 Service SHA128: http://sha1timestamp.ws.symantec.com/sha1/timestamp).

фон и ключевые отраслевые мандаты, влияющие на Timestamping услуги

для соблюдения минимальных требований к опубликованному подписанию кода (CSMRs) по требованиям Совета Безопасности CA и Microsoft Trusted Root Program (раздел 3.14), Symantec настроила "новый" RFC 3161 (SHA1 и SHA2) услуг согласно спецификации и требованиям, изложенным в разделе 16.1, которая требует FIPS 140-2 защита ключа уровня 3. В ближайшем будущем Oracle предпримет шаги, чтобы удалить поддержку SHA1 для обоих Подписывание Java и timestamping. Это не повлияет на приложения Java которые были ранее подписаны или помечены временем с помощью SHA1, как это будет продолжайте функционировать должным образом. Однако подписанные приложения Java или отметка времени с SHA1 после объявленной даты Oracle не может быть доверившийся.


рабочая ссылка для метки времени от другого поставщика:

вы также можете попробовать:

вы можете выбрать KeyStore Explorer (sign tool с хорошим GUI). Он имеет значение по умолчанию и не работает ссылка http://timestamp.geotrust.com/tsa если это так, не забудьте изменить ссылку unworking в опции TSA URL (добавить метку времени) с другими рабочими параметрами.

например, эта опция (ссылка) работала для меня отлично: http://tsa.starfieldtech.com


Я испытал ту же проблему TSA, начиная с 2017-04-21. Переключение сhttps://timestamp.geotrust.com/tsa to http://sha256timestamp.ws.symantec.com/sha256/timestamp исправлена наша проблема, так что спасибо за указатель. Конкретная ошибка, которую я получил, используя старый URL, заключалась в том, что jarsigner вернул"java.сеть.socketException: программное обеспечение вызвало прерывание соединения: recv не удалось."

статья базы знаний Verisign AR185, обновлена 2017-03-16, рекомендует аргументы jarsigner " - tsa http://sha256timestamp.ws.symantec.com/sha256/timestamp " где он использовал, чтобы рекомендовать https://timestamp.geotrust.com/tsa . Это изменение документации предполагает, что отключение URL-адреса может быть преднамеренным, но я не знаю, имеет ли это какие-либо последствия для уровня доверия JARs, подписанных с использованием старого сервера timestamp.