質問
コードサイニング証明書を購入しました。
タイムスタンピング・サービスを利用してソフトウェアに署名したいのですが、タイムスタンプサーバの URL を教えてください。
回答
最新情報
コードサイニング証明書/EVコードサイニング証明書を利用して署名操作をする時に指定するタイムスタンプサーバのURLです。
2021年1月2日以降、デジサートのタイムスタンプサーバはSHA-1署名のサポートを終了いたしました。タイムスタンプサーバの引数にSHA-1のアルゴリズムを指定(例:timestamp.digicert.com/?alg=sha1)してもそれらの値は利用されません。
タイムスタンプの仕様変更については以下をご参照ください。
DigiCert Stopped Issuing SHA-1 Code Signing Certificates
https://knowledge.digicert.com/alerts/end-of-issuance-for-sha1-code-signing-certificates.html
2022年5月以降タイムスタンプサーバのルート証明書は「DigiCert Trusted Root G4」に変更されました。
Javaをご利用の環境でタイムスタンプが原因で検証エラーになる場合は、Java 8 Upgrade 91 (8u91).のリリースより「DigiCert Trusted Root G4」が登録されている情報がありますので、バージョンなどをご確認ください。
Java以外の利用でクライアント環境にルート証明書「DigiCert Trusted Root G4」が無い場合、以下サイトよりルート証明書を入手することが出来ます。
https://knowledge.digicert.com/generalinformation/INFO4231.html
2022年6月14日から8月8日までの期間におきた不具合については【解消いたしました】タイムスタンプ付コードサイニング証明書の署名検証エラーについてをご参照ください。
2022年8月8日以降、タイムスタンプサーバはレガシー環境に対応するためクロスルート設定となりました。「DigiCert Trusted Root G4」がクライアント環境になくても「DigiCert Assured ID Root CA」をルートとして検証いたします。
2022年9月15日から9月23日までの期間、タイムスタンプサーバの有効期間が1年未満になっていましたが、2022年9月23以降、業界基準で最大となる135ヶ月(11年)の有効期間を持つ新しいタイムスタンプ用証明書に交換して復旧いたしました(参照:タイムスタンプサーバご利用のお客様へ:タイムスタンプ再署名のご案内)。
署名したファイルのタイムスタンプ情報を確認する(WindowsOS)
Signtoolコマンドを使用してファイル署名を確認していただき、表示された署名情報の中からタイムスタンプの部分を確認します。詳細な内容についてはMicrosoft社の情報もご確認ください。
コマンド>signtool verify /pa /v 署名済みファイル名
署名内容の中から「The signature is timestamped:」の部分を確認します。
タイムスタンプの証明書「Issued to: DigiCert Timestamp 2022 - 2」の日付が2023/11/22と表示されています。
署名したファイルをWindowsOS上で確認する方法。
①署名ファイルを選択してマウスの右ボタンをクリックします。
②右ボタンをクリックして表示されたメニューからプロパティを選択します。
署名ファイルのプロパティ情報が表示されます。
デジタル署名がついている場合は、③「デジタル署名」のタブが表示されます。
署名の一覧表示を確認して(赤枠)④詳細ボタンをクリックします。
デジタル署名の詳細情報が表示されます。
画面(A)の「証明書表示」をクリックすると署名に利用されたEVまたはOVコードサイニング証明書の情報を表示することが出来ます。
ここではタイムスタンプの情報を確認するする方法ですので、⑤の副署名が表示されていることを確認して⑥詳細をクリックします。
タイムスタンプサーバのデジタ署名の詳細が表示されますので、⑦証明書の表示をクリックするとタイムスタンプの有効期限が表示されます。
Javaアプレットやその他の署名確認方法については署名ツールのベンダなどの情報をご確認ください。
タイムスタンプサーバの変更に関する過去のお知らせ
2019年10月30日 通知
タイムスタンプサーバの変更に関するお知らせ
https://knowledge.digicert.com/ja/jp/alerts/ALERT2672.html
2013年1月10日情報追加
タイムスタンプ証明書発行元変更の影響により、一部の環境で証明書の信頼チェーンが確立できない事象をうけ、タイムスタンプ証明書の発行元を従来のThawte Timestamping CA へ戻しました。
GeoTrust Global CA から発行されたタイムスタンプ証明書を利用して問題が発生している場合は、改めて署名しなおすことで回避することが出来ます。
http://timestamp.verisign.com/scripts/timstamp.dll
2012年12月20日情報追加
タイムスタンプ証明書の発行元が変更となり、一部の環境で証明書の信頼チェーンが確立できない事例が発生していることを確認しました。
一時的に旧タイムスタンプもご利用いただくことが可能ですので、以下をご利用ください。
http://216.168.253.67/scripts/timstamp.dll
2012年12月11日情報追加
当初の予定が変更となり、2012年12月11日にタイムスタンプサーバのアップグレードにより、以下の通りIPアドレスが変更されました。
URL:notarization.verisign.com、timestamp.verisign.com
旧IPアドレス:216.168.253.67
新IPアドレス:69.58.181.58
ファイアーウォールをIPアドレスで設定されている場合は影響を受けますので、アップデートしてください。
タイムスタンプサーバの変更に関するお知らせ
2012年11月8日にタイムスタンプサーバのアップグレードによりIPアドレスが変更されます。
URL:notarization.verisign.com、timestamp.verisign.com
旧IPアドレス:216.168.253.67
新IPアドレス:69.58.181.58
ファイアーウォールをIPアドレスで設定されている場合は影響を受けますので、アップデートしてください。