🔐 О цифровой подписи с меткой времени В прошлом посте мы начали разбирать проблему с установкой клиента VPN. Предположительно более новая версия решает проблему. Сегодня о причине ошибки. Напомню, журнал установки драйверов гласил, что сертификат отозван. В форуме Cisco сотрудник компании объяснил это тем, что Microsoft вывела из обращения сертификат SHA-1, с помощью которого подписан драйвер в проблемной версии клиента. По этому поводу я пообщался с Вадимсом Подансом, который на PKI собаку съел. Изучив цифровые подписи драйвера, Вадимс отверг теорию с SHA-1. ℹ️ Он объяснил, что у подписи есть временной штамп, а на момент подписания сертификат был валиден (3️⃣ и 5️⃣ на картинке). Поэтому подпись должна проходить проверку даже при отзыве или по истечении сертификатов в цепочке. Матчасть в блоге на английском: Digital signatures and timestamps. На русском есть небольшая выдержка из личной переписки - в форуме. Кроме того, программа без проблем установилась на тестовой ВМ. То есть проблема выглядела локальной. Эксперт предложил проверить, не помещен ли корневой сертификат в список утративших доверие. В #PowerShell: Get-ChildItem cert:\currentuser\disallowed Однако автор темы уже потерял к ней интерес и перестал отвечать. Поэтому о мотивах отзыва можно только гадать. Возможно, ИТ-отдел таким способом форсировал использование более свежей версии. Так или иначе, нюанс интересный. А пикантности ему придает дезинформация на сайте вендора ✌️