ste*_*d76 3 java sign code-signing trusted-timestamp thawte
我们有一个使用CA(Thawte)证书签名的Java Web Start应用程序.该应用程序分发给数百名客户.他们在服务器上托管它,在客户端计算机上通过互联网或内联网运行.现在它完美无缺.问题是应用程序是在没有时间戳的情况下签名的.证书到期后客户会怎样?他们应该能够启动应用程序吗?如果没有,我们如何帮助他们?将他们的服务器URL添加到例外站点列表是否有帮助?
我们尝试更改本地时间以假装证书过期.然后,由于安全性,应用程序被阻止 将URL添加到例外站点列表没有帮助:
java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Response is unreliable: its validity interval is out-of-date
at com.sun.deploy.security.RevocationChecker.checkOCSP(Unknown Source)
at com.sun.deploy.security.RevocationChecker.check(Unknown Source)
at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)
at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)
at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
at com.sun.deploy.security.TrustDecider.isAllPermissionGrantedInt(Unknown Source)
at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)
at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResourcesHelper(Unknown Source)
at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResources(Unknown Source)
at com.sun.javaws.Launcher.prepareResources(Unknown Source)
at com.sun.javaws.Launcher.prepareAllResources(Unknown Source)
at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
at com.sun.javaws.Launcher.launch(Unknown Source)
at com.sun.javaws.Main.launchApp(Unknown Source)
at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
at com.sun.javaws.Main.access$000(Unknown Source)
at com.sun.javaws.Main$1.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
Suppressed: com.sun.deploy.security.RevocationChecker$StatusUnknownException
at com.sun.deploy.security.RevocationChecker.checkCRLs(Unknown Source)
... 19 more
Caused by: java.security.cert.CertPathValidatorException: Response is unreliable: its validity interval is out-of-date
at sun.security.provider.certpath.OCSPResponse.verify(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at sun.security.provider.certpath.OCSP.check(Unknown Source)
at com.sun.deploy.security.RevocationChecker$2.run(Unknown Source)
at com.sun.deploy.security.RevocationChecker$2.run(Unknown Source)
at java.security.AccessController.doPrivileged(Native Method)
at com.sun.deploy.security.RevocationChecker.doPrivilegedOCSPCheck(Unknown Source)
... 20 more
我们能做什么?当然,我们要求Thawte续签我们的证书并要求我们的客户升级到辞职申请.但我们无法涵盖所有这些.当他们问我们时,我们需要为他们提供一些快速建议.到期时间即将到来,欢迎任何评论.
怎么了?
WebStart的行为在很大程度上取决于它所属的JRE版本.
这些是我们的测试结果,其中一个应用程序使用来自官方证书autority的有效证书进行签名,但在证书过期后没有时间戳.通过直接javaws.exe在不同版本中执行并更改用于模拟的系统时钟,在Windows 7上使用x64 JRE 进行测试:
我们注意到WebStart尝试使用从浏览器启动时系统上当前安装的最新版本.在浏览器中更改JNLP文件的应用程序是不够的(Firefox).使用Programm Files\Java文件夹中安装的JRE和JDK的查找策略.javaws.exe从命令行或Windows链接调用确实执行要测试的版本.您可以在Java控制台(成功启动)或任务管理器命令行列(委托给jp2launcher.exe另一个版本的代理)中查看该版本.
解决方法
http://myhost:12345/my/app/test.jnlp异常站点时http://myhost:12345/确实有效.使用IP地址myhost代替或myhost.in-my-domain.com不匹配.请参阅http://java.com/de/download/faq/exception_sitelist.xml....\javaws.exe <jnlp-url>可能是一个出路.签署时间戳和警告
甲骨文表示,使用官方时间戳机构(TSA)签署时间戳可以防止签名过期.这使您可以在将来的版本中防止出现问题并提供更新版本.
请注意此警告:即使签名证书到期,WebStart也会对带有时间戳的签名感到满意.但是,它会在您的TSA证书到期时阻止应用程序并声明"证书已过期或尚未生效".在我们的测试中,这是在2020-03-16使用TSA http://tsa.starfieldtech.com/.您可以Timestamp:在输出中看到此截止日期keytool -printcert -jarfile <your-signed.jar>.
时间戳只会让你在这枚定时炸弹的时钟上多出几年.根据您的应用程序类型,这可能不是问题,但对于必须在未来10年运行的封闭环境中的嵌入式应用程序来说,这是一个杀手.(用j8u66测试)
从2016-01-07更新:Oracle Support对此问题的最终答案是"没有错误.行为是预期的和有意的.肯定没有变化." 这意味着在没有过期的情况下,无法签署应用程序.
| 归档时间: |
|
| 查看次数: |
2071 次 |
| 最近记录: |