Apéndice 4: Problemas de firma de controladores
A continuación se describen dos problemas conocidos de firma de controladores.
Problema de firma con el sistema operativo anterior
Cada nueva versión de Windows y, posteriormente, en los Service Packs publicados, los certificados raíz de los proveedores de CA certificados de Microsoft, los proveedores nuevos o existentes con nuevos certificados se agregan a la imagen del sistema operativo. Por ejemplo, Vista, XP, etc. Los sistemas operativos pueden tener problemas de firma desconocidos o problemas de firma no firmados por el controlador si el equipo sometido a prueba no está conectado a Internet. Si el equipo sometido a prueba está conectado a Internet, los nuevos certificados se descargan automáticamente cuando se instala un controlador y no habrá ningún problema. A veces, los proveedores de CA también pueden ayudar a resolver los problemas cuando el equipo sometido a prueba no está conectado a Internet.
Error del código 52
Hay un error conocido para el sistema operativo Windows 7 x64, cuando se firma un archivo de catálogo (.cat) mediante un nuevo certificado de firma publicado de VeriSign que usa el algoritmo SHA256. Si abre el archivo cat firmado y ve la firma y selecciona la pestaña Detalles, observará lo siguiente:
Para resolver el problema, puede pedir a VeriSign que proporcione un certificado de reemplazo sin costo alguno firmado con el algoritmo hash SHA1.
Como alternativa, puede comprar otro certificado SHA1 y firmar el archivo con dos firmas como se muestra a continuación si desea conservar ambos certificados. Tenga en cuenta que solo los archivos .sys pueden estar firmados dualmente porque son archivos PE.
Signtool sign /fd sha256 /ac C:\MyCrossCert\Crosscert.cer /s my /n “MyCompany Inc. “ /ph /as /sha1 XX...XX C:\DriverDir\toaster.SYS
Donde XX... XX es el hash del certificado que está usando para la firma secundaria. Agregue /tr a la firma de marca de tiempo.
Nota Revise el Aviso de seguridad de Microsoft (2880823) "Desuso del algoritmo hash SHA-1 para el Programa de certificados raíz de Microsoft", que describe un cambio de directiva en el que Microsoft ya no permitirá que las entidades de certificación raíz emitan certificados X.509 mediante el algoritmo hash SHA-1 para los fines de la firma de código y SSL después del 1 de enero de 2016.
Microsoft dejará de usar el certificado SHA1 a partir del 1 de enero de 2016. Todos los proveedores de CA deben emitir certificados de firma con el algoritmo hash SHA256.
Windows dejará de aceptar certificados de firma de código SHA1 sin marcas de tiempo después del 1 de enero de 2016.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de