Weil hier ein RFC 3161 Timestampserver zwingend benötigt wird (s. Link weiter oben)

Hallo,

Wenn ich Sinn und Zweck des Artikels richtig verstanden habe, dann geht es darum für Win7 und Win8 unterschiedliche Zertifikate einzufügen.

Jetzt wo der Thread praktisch abgeschlossen ist, darf ich ja vielleicht noch eine etwa OT-Frage dazu stellen. Mir sind Sinn, Zweck und Nutzen dieser dualen Vorgehensweise noch nicht recht klar. Welchen Vorteil habe ich davon, im Vergleich zur Verwendung des Sign-Tools von K-Software? Denn, wer braucht unterschiedliche Zertifikate in einer einzigen Datei?

Für Windows 8+ braucht man SHA256 aber für Windows 7 funktioniert das nur, wenn das System ein entsprechendes Update hat.

Ohne das Update kann die Signatur nicht geprüft werden, das geht nur mit dem SHA1.

Also packt man beide Varianten rein (erst SHA1 und dann SHA256) und haut ein Ei drüber. Wer will schon mit den Kunden die hausinterne Update-Politik diskutieren?

Windows XP (Win7?) kennt keine SHA256. Dort ist eine nur mit SHA256 signierte Datei nicht signiert.
Für aktuelle Windowsversionen ist (laut Verisign) ab 2017 gilt eine nur mit SHA1 signierte Datei auch nicht mehr als signiert da SHA1 als geknackt angesehen wird.

Also brauchst du (solange du noch alte Windowsversionen unterstütz) beide Signaturen in der Exe damit unter allen Windowsversionen deine Exe als signiert angesehen wird.

Vielen Dank, jetzt ist mir das klar. Das ist dann auch ein gutes (technisches) Argument, beide Signaturen aufzunehmen.

Hallo Leute,

weil ich es gerade sehe, die Adresse hat sich geändert von:
nachmehr dazu unter:Axel

Danke für den Hinweis, jetzt läuft die 256er Signierung wieder.