VeriSign 클래스 3 인증서는 Windows에서 신뢰할 수 없습니까?

Question

Verisign 클래스 3 코드 서명 인증서로 디지털 서명 된 모든 실행 파일이있는 Windows 데스크톱 응용 프로그램을 배포합니다. 대다수의 사용자에게는 이것이 제대로 작동하는 것 같습니다.

그러나 소수의 사용자가 인증서가 유효하지 않다고보고합니다. 그들은 메시지가 "처리되었지만 트러스트 공급자가 트러스트하지 않은 루트 인증서로 종료되었습니다"라는 메시지가 나타납니다.. 이것은 오류 코드 CERT_E_UNTRUSTEDROOT (0x800B0109)에 해당합니다. 이것은 또한 완전히 업데이트 된 Windows 7 컴퓨터에서보고되었습니다. 아마도 내 인증서는 괜찮지 만, Windows는 때때로 VeriSign 인증서를 신뢰하지 않습니다.

왜 Windows가 VeriSign을 신뢰하지 않는 경우가 있습니까? Windows에 인증서를 신뢰하도록 알려주는 설치 프로그램 (서명도 가능)에 추가 할 수있는 것이 있습니까?

Answer 1

Microsoft가 Windows Update를 통해 롤아웃하지만 "선택적 업데이트"라는 태그가 붙은 루트 인증서가 자주 업데이트됩니다. 따라서 모든 사용자가 설치할 수있는 것은 아니며 수동으로 설치해야 할 수도 있습니다. 자동 설치는 종종 루트 인증서 업데이트가 아닌 "중요 업데이트"만 설치하도록 설정되기 때문에 "완전히 업데이트 된"컴퓨터에도 적용됩니다.

데스크톱 응용 프로그램의 유형에 따라 서명 할 때 특정 규칙을 따라야 할 수도 있습니다. 예를 들어 Windows 보안 센터와 상호 작용하는 응용 프로그램은 기본적으로 드라이버와 동일한 서명 방법을 필요로합니다. 즉, 인증서 체인이 서명 (/acsigntool으로 전환)과 함께 포함됩니다. VeriSign 인증서 here에 적용 가능한 MSCV-VSClass3.cer을 얻을 수 있습니다.

이 프로세스는 종종 교차 서명으로 불리며, 이는 잘못된 이름 인 것처럼 보입니다. 이것은 드라이버 바이너리 또는 카탈로그 교차 서명을 얻는 한 단계이지만 중요한 단계는 Microsoft가 드라이버 (또는 더 일반적으로 카탈로그 파일 요즘)에 서명하는 것입니다. 이는 실제 교차 서명입니다.