Отзыв PlayReady
Отзыв — это процесс идентификации клиентов, которые скомпрометировали безопасность и не позволяют этим клиентам получать доступ к дополнительным лицензиям для расшифровки защищенного содержимого.
Когда корпорация Майкрософт определяет клиент с скомпрометированной безопасностью, устройство может быть отозвано и добавлено в список отзыва. Список отзыва периодически загружается серверами лицензий, которые выдают лицензии для защищенного содержимого. Серверы лицензий используют этот список отзыва, чтобы запретить лицензии на устройства, которые были отозваны, тем самым не позволяя устройству воспроизводить только что защищенное содержимое.
Списки отзыва обновляются на устройствах, если они не обновлены. Список отзыва также может быть выдан с лицензиями. Компонент DRM на устройстве проверяет этот список отзыва перед передачей содержимого на другие устройства. Предотвращая обмен данными с отозванными компонентами, отозванные приложения больше не работают. После отзыва единственный способ исправить ситуацию — заменить отозванный элемент или удалить отозванный компонент из более новой версии списка отзыва.
Корпорация Майкрософт создает и поддерживает список отзыва и его структуру управления версиями. Клиенты PlayReady могут скачать этот список по следующей ссылке:
Список отзыва PlayReady(https): https://aka.ms/revinfo
Список отзыва PlayReady(http): https://go.microsoft.com/fwlink/?LinkId=110086
Согласно требованиям правил соответствия для продуктов PlayReady, компании, работающие на сервере PlayReady, должны обновлять списки отзыва сертификатов пакета средств разработки программного обеспечения PlayReady для каждого сервера PlayReady раз в неделю. Это гарантирует, что любой скомпрометированный клиент получает запросы на лицензии, отклоненные в разумный срок после его добавления корпорацией Майкрософт в список отзыва.
Начиная с PlayReady Server версии 4.3, серверное приложение может явно игнорировать один или несколько отозванных хэшей и продолжать выдавать содержимое им, даже если они отозваны. Это может быть полезно для компаний, которые создают и распространяют защищенное содержимое, и кто хочет больше контроля над тем, где это содержимое может передаваться.
Чтобы использовать эту функцию, необходимо создать НОВЫЙ XML-файл, содержащий хэши сертификатов, которые вы хотите игнорировать, а также добавить новую запись в файл web.config реализации RMSDK. XML-файл имеет следующий формат.
<?xml version="1.0" ENCODING="utf-8"?>
<RevAllowInfo>
<AllowList>
<CertificateHash>2C4OCYBGE3XZ3ODIUVUWD0SVLWH4W1NX9EA5DMJZ/PK=</CertificateHash>
<CertificateHash>9OHU9A1KAJYI9BUWQWAVXBOO7R4XS+GG8HV0ESDBTNW=</CertificateHash>
</AllowList>
</RevAllowInfo>
Данные в узле CertificateHash должны соответствовать хэшу отозванной модели или сертификата компании. Корпорация Майкрософт намерена опубликовать эти сведения вместе с соответствующими сведениями о модели для будущих отзывов.
Также необходимо ссылаться на этот XML-файл из конфигурации сервера.
Для развертываний RMSDK на основе .Net Core:
- XML-файл должен быть добавлен в виде проекта элемента.
- Строка RevocationAllowFile в файле config/RMSDKConfig.cs должна быть обновлена с помощью пути к XML-файлу.
Для развертываний RMSDK на основе IIS:
- Добавьте новый ключ с именем "REVOCATIONALLOWFILE", который указывает на XML-файл в файл web.config.
- Например, если XML-файл выше был назван "REVOCATIONALLOWSAMPLE.XML", файл web.config будет обновлен следующим образом.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<appSettings>
...
<add key="RevocationAllowFile" value="REVOCATIONALLOWSAMPLE.XML">
...