[UPDATE] Oracle właśnie zrewidowała krypto mapę drogową (https://www.java.com/en/jre-jdk-cryptoroadmap.html), będą nie potępiać SHA-1 dla codeSigning: 2017-03-14 Target date changed from 2017-04-18 to 2017-07-18. Narrowed scope from all SHA-1 usage: only TLS will be affected, *code signing will not not be affected at this time*.Java 9 wycofuje certyfikaty SHA1 lub inny problem w pracy?
Nie wpływa to w żaden sposób, grzywna odpowiedź otrzymałem poniżej, ponieważ bez wątpienia będzie to miało zastosowanie w przyszłości.
-
Original post:
Próba uruchomienia naszej aplikacji Java Webstart rozmieszczone na JRE 9 ea 153, otrzymuję następujące okienko:
Patrząc dalej w szczegółach , Widzę, że certyfikat będzie ważny przez jakiś czas:
, dlatego zastanawiam się, czy powodem jest zaniechanie SHA1?
To z pewnością brzmi jak polityka zgodna z (others' in the industry), ale wiadomość nie brzmi tak naprawdę dla osób przyjaznych dla neofitów (szczególnie, jeśli jest przeznaczona dla użytkowników końcowych), więc zastanawiam się.
Szukałem mapy drogowej. This to co znalazłem, ale nie jestem pewien, czy mam poprawnie poprawnie interpretując ten akapit:
Disable SHA-1 in certificate chains anchored by roots included by default in Oracle's JDK; local or enterprise CAs are not affected. Signed code that is timestamped before 2017-01-01 is not affected.
jako przyczynę niepowodzenia powyżej. Byłbym bardzo wdzięczny za potwierdzenie.
FWIW, nasz certyfikat jest wydawany przez urząd certyfikacji, który, jak przypuszczam, różni się od urzędu certyfikacji "przedsiębiorstwa".
Dziękuję.
Czy możesz spróbować podpisać to za pomocą lokalnego certyfikatu? Tylko po to, aby potwierdzić, że używany urząd certyfikacji nie będący urzędem certyfikacji przedsiębiorstwa jest problemem w tym miejscu? Ale mocno podejrzewam, że twoje założenie jest słuszne. – Timmeey
Certyfikat jest wydawany przez Comodo, jeśli to pomaga. Używamy go do podpisywania słoików przez dłuższy czas, dla naszych użytkowników, którzy nie są wewnętrzni, ale rozsiadają się po całym świecie. Nie jestem pewien, czy to dodaje cokolwiek do dyskusji, ale dziękuję za ważenie. Musiałbym zagłębić się w tworzenie lokalnego certyfikatu, to nie jest coś - nie jest to coś, z czym codziennie się bawi. –
Dzięki za dodatkowe informacje. Jeśli ten podpisany Jar ma być używany przez użytkowników końcowych, nie ma mowy, aby pakiet podpisany SHA1 w 2017 roku działał. Wycofanie SHA1 zostało ogłoszone dawno temu. Jedynym sposobem byłoby zainstalowanie lokalnego urzędu certyfikacji lub czegoś takiego, ale tak się nie stanie na komputerach użytkowników końcowych (ani nie powinno to być). Dla użytkowników końcowych potrzebujesz nowego ważnego certyfikatu od twojego urzędu certyfikacji. Twój certyfikat wygasłby w ciągu kilku miesięcy. Więc przejdź do zarządzania, aby autoryzować nowy certyfikat i porozmawiaj ze zmianą zarządzania, aby autoryzować zmianę certyfikatów ;-) – Timmeey