Para que un archivo firmado por Authenticode sea verificable por Windows después de que el certificado de firma original haya caducado (generalmente 1-3 años después de la emisión), el archivo también debe tener una marca de tiempo firmada criptográficamente que Windows pueda verificar.
Hay un número de servicios de marca de tiempo Authenticode que firmarán tu binario por ti gratis (si están conectados y trabajando en ese momento).
No es suficiente que el certificado asociado con la firma de marca de tiempo simplemente se encadene de nuevo a una de las CA raíz de confianza en el almacén de certificados de Windows, o de lo contrario se podría usar su propia clave Authenticode para firmar la marca de tiempo, haciendo todo el ejercicio no tiene sentido (puede hacer una firma usando un certificado caducado, luego falsificar una marca de tiempo del pasado).
¿Hay un atributo de marca de tiempo X.509 que Windows verifique en el certificado antes de aceptar la firma? Si es así, ¿cómo puede obtener dicho certificado?
¿O hay una jerarquía de confianza de marca de tiempo Authenticode separada?