Суть проблемы:
Для подписывания своих exe-шников использую Code Signing от Certum, валидный, естественно SHA256.
Последние лет 5 подписывал так (двумя подписями SHA1+SHA256):



Со второй подписью SHA256 + TimeStamp SHA256 все понятно, все работает - вопросов нет.

Первая подпись SHA1 - для обратной совместимости с XP/Vista.

В конце 2020 все это подписывание еще работало, счас стал подписывать файлы для новой версии, но возникли проблемы.
Собственно, я их предполагал но сейчас не могу найти решение.

/t http://time.certum.pl - не использовал т.к с переходом на SHA256-сертификаты они тупо лепят штамп времени SHA256 и на XP имеем "Invalid algorithm specified"

/t http://timestamp.verisign.com/scripts/timstamp.dll
в прошлом году еще работал и сервер времени корректно подписывал сертификатом Symantec Time Stamping Services Signer - G4
сам сертификат был SHA1 и подпись SHA1 - как надо
который правда [действителен с 18.10.2012 по 30.12.2020], т.е. на настоящий момент издох.
Новый SHA1 видимо они не выпустили, и сервис также похоже сдох.
Пишет сейчас: SignTool Error: The specified timestamp server either could not be reached or returned an invalid response.

Надо еще объяснить про /ac crosscert.crt -скачан когда-то отсюда
https://docs.microsoft.com/en-us/windows-hardware/drivers/install/cross-certificates-for-kernel-mode-code-signing
Вот этот: Certum Trusted Network CA Но опять же Expiration date 2021/04/15 (уже тоже сдох)
Зачем это использовал (еще со старым Certum, который был SHA1) - честно уже не помню,
возможно нужно было для подписывания драйвера очень давно, но строчка осталась.
Подозреваю для подписывания обычных exe-шников она погоды не делает, на описанную проблему никак не влияет (можно вообще убрать).

В общем я поигрался со списком других серверов времени:
https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710

1 http://timestamp.globalsign.com/scripts/timstamp.dll
2 http://timestamp.globalsign.com/?signature=sha2
3 http://rfc3161timestamp.globalsign.com/advanced
4 https://timestamp.geotrust.com/tsa
5 http://timestamp.sectigo.com
6 http://timestamp.wosign.com
7 http://tsa.startssl.com/rfc3161
8 http://time.certum.pl
9 http://timestamp.digicert.com
10 https://freetsa.org
11 http://dse200.ncipher.com/TSS/HttpTspServer
12 http://tsa.safecreative.org
13 http://zeitstempel.dfn.de
14 https://ca.signfiles.com/tsa/get.aspx
15 http://services.globaltrustfinder.com/adss/tsa
16 https://tsp.iaik.tugraz.at/tsp/TspRequest
17 http://timestamp.apple.com/ts01
18 http://timestamp.entrust.net/TSS/RFC3161sha2TS
19 http://tsa.starfieldtech.com/

Ни один вариант проблемы не решил.

С опцией /t <адрес сервера времени>
1) Либо SignTool Error: The specified timestamp server either could not be reached or returned an invalid response.
2) Либо подписывает SHA256 (как в случае с /t http://time.certum.pl) "Invalid algorithm specified" на XP
3) получилось только с /t http://tsa.starfieldtech.com/ (сертификат времени SHA256 но подписал SHA1 как хотел), и на Win10 подпись выглядит прилично, но на XP опять облом: The timestamp signature and/or certificate could not be verified or is malformed

Опция /tr <адрес сервера времени>/td sha1 - иногда дает формальный результат, но на XP этот штамп времени по определению виден не будет.

Задача вообще в 2021г. решаемая, или бобик сдох, поезд ушел?
Т.е. реально есть такой живой сервер времени, который мне может поставить SHA1 штамп времени опцией /t?

Просто я свой софт формально поддерживаю для всех OS отXP до Win10 (не сложно мне это).
На XP это подписывание никогда реально не было нужно, но если брать Висту (хотя ясно, ее уже ни у кого не стоит),
то если формально, то там тоже надо SHA1 и окна "Непроверенный издатель" если не подписать выскакивать там будут.

Т.е. мне надо определиться,
то ли подписывать только SHA256 и иже с им (обидно(C)),
или таки копать дальше.

Некоторые выбирают сдаться:
Retirement of SHA-1 signing for McAfee content on January 1, 2021
End of Life for SHA-1 Code Signing

На Win7 (во всяком случае на штатно обновленном) проблем нет, SHA256 подписи видятся и работают штатно.
На тестовой висте попробовал ради интереса установить
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4090450
Оно не встало, вроде установилось, но потом "Идет отмена обновлений/изменений", т.е не установилось.

Но суть не в этом, понятно что погуглив, потанцевав с бубнами на своих тестовых системах я м.б. заставлю и висту и XP/2003 видеть и работать с SHA256.
Но этим 200% не будет заниматься обычный юзер, который по какой-то причине фанат XP/2003/Vista/2008, хоть ему мануал пиши.
Поэтому это не решение.

Что касается "подписывать модули для работы в ядре ОС Windows" (драйвера),
об этом речь не идет, просто подписываю exe-шники,
поэтому кросс-сертификат /ac crosscert.crt наверно вообще тут лишний

Суть в том что SHA1 сервер времени /t http://timestamp.verisign.com/scripts/timstamp.dll сдох (вместе с его сертификатом),
единственная альтернатива от GoDaddy так понимаю http://tsa.starfieldtech.com/ системам XP/Vista неизвестна и доверенной не является (The timestamp signature and/or certificate could not be verified or is malformed), а другой рабочей альтернативы я не нашел.
Т.е подписать для XP/Vista чтоб они "из коробки" и без танцев с бубном видели красивую "цифровую подпись" заверенную time-штампом я более не могу.

Отказываться от первой (SHA1) подписи молча или с комментом? Работать программа на XP/Vista от этого не перестанет, единственный драйвер подписан крайний раз лет 7 назад, работает включая Win 10 исправно и изменений/перекомпиляций не планируется.
Визуально будет "Непроверенный издатель" при установке и запуске административных операций и только на Висте и Win2008 (без R2).
Честно, я сомневаюсь что у меня остались реальные пользователи этих OS. Один тут доставал как то года 2 тому назад, начал с вопроса о поддержке Win 2000, потом ковырялся у себя на Win2003, но кажется так и не купил.
Я эти OS как бы поддерживаю, но с комментом (но я то знаю что все OK до сих пор)
** Limited support. Some features may not work or work incorrectly. Windows XP, Windows Server 2003, Windows Vista, Windows 7 and Windows 8 are no longer supported by Microsoft.

или

Пытаться поискать еще рабочий timestamp сервер времени с SHA1? (Запрыгнуть в последний вагон последнего поезда который если вдруг и есть, то ясен пень идет в тупик на распил - вопрос не очень долгого времени).

С имеющимся драйвером у меня все в порядке, как написал выше. Подписан давно, к изменению не планируется.


Из дистрибутива SP2, да бог с ней.

Ну видимо придется ставить одну подпись SHA256. Я еще потыкался, но SHA1 timestamp корректного сервера так и не нагуглил. видимо их уже не осталось.

Если ставить одну подпись SHA256,
то на XP как бы еще "эстетическая" проблема вылазит.

Когда делал SHA1+SHA256, он на XP/Vista показывал только красивый SHA1, а SHA256 не показывал вообще.
А если только SHA256, то он его и показывает, без Timestamp, при этом с красным крестиком и текстом "This digital signature is not valid" ("The digital signature of the object did not verify").

Короче решил я этот вопрос, еще повоюем.
Проанализировал, как подписывают свои инсталляторы в 2021г производители софта (кто еще на плаву и лепит новые версии).
А как попало. Варианты такие:
1) вообще перестали подписывать, хотя раньше это делали
2) только SHA256, с этим ясно, как завещал MS
3) лепят SHA1+SHA256 но SHA1 проставлен абы было, т.е. time-сервера, штампуют SHA256 штамп времени поверх SHA1 подписи, при этом Comodo/Sectigo сейчас вообще штампует время SHA384 не глядя (лично проверял) - на XP/Vista этим SHA1 обеспечен "Invalid algorithm specified".

Но обратил внимание, что некоторые Comodo/Sectigo подписи от 19г. подписанные еще нормальным SHA1+штамп времени SHA1 на Win2003 могут не взлетать (отсутствует корневой сертификат центра авторизации).
XP/Vista старые, корневые сертификаты давно не обновлялись, корневого сертификата может не быть.
http://timestamp.verisign.com/scripts/timstamp.dll - он очень старый был, его все знали.

Дмитрий773) получилось только с /t http://tsa.starfieldtech.com/ (сертификат времени SHA256 но подписал SHA1 как хотел), и на Win10 подпись выглядит прилично, но на XP опять облом: The timestamp signature and/or certificate could not be verified or is malformed
https://www.starfieldtech.com/ -вот и он, поезд вне расписания, искомый рабочий TimeStamp сервер с поддержкой SHA-1. Win7-Win10 этот CA знают, XP/Vista - не успели получить инфу до окончания поддержки.

Что делаем:
1) подписываем так


(/ac crosscert.crt наверно правильнее убрать, но он здесь погоды похоже вообще не делает)
2) Root-сертификат "Starfield Root Certificate Authority - G2" из Win10 экспортируем в файл starfield.cer
Этот файл пихаем в дистрибутив инсталлятора своей проги

3) Дальше инсталлятор продукта (запускаемый под админом) тупо ложит этот starfield.cer в "Доверенные корневые центры сертификации" целевой машины (для наглядности тестовый код под спойлером)



Издержка, то что при запуске конкренто инсталлятора в первый раз (заметно это будет как правило только на Висте) он таки скажет "Непроверенный издатель" но только один раз из-за отсутствия этого самого рут-сертификата для штампа времени в хранилище. Но я и раньше этот фокус делал с тем же своим certum, потому как та же виста и certum-root не всегда находит.

Задачу решил (надолго ли).

http://tsa.starfieldtech.com Неужели и он издох? А я даже не успел свою новую версию допилить, не все доделано и не все подписано. Стоко усилий.
Здесь вот коммент внизу:

Elbaan commented May 27, 2021 http://tsa.starfieldtech.com is no longer available

https://www.secureserver.net/help/what-if-i-notice-a-problem-with-an-ssl-or-code-signing-certificate-6798?prog_id=504762&locale=en&pl_id=504762

Не подписывает, по http страничка не доступна.
Хотя google еще помнит:
http://webcache.googleusercontent.com/search?q=cache:lyWqeUSiomUJ:tsa.starfieldtech.com/ &cd=2&hl=ru&ct=clnk&gl=ru

М.б. конечно еще взвизгнет заработает...