背景

ほとんどのデジタル署名ファイルには、コンテンツが改ざんされていないことを確認するコンテンツ署名と、ファイルがいつ署名されたかを確認するための別のカウンタ署名が含まれています。

これらのファイルでは、コード署名証明書の有効期限が切れている場合でも、コード署名証明書の有効範囲内で署名されたファイルは有効期限の観点から有効なままとなります。これは、カウンタ署名のタイムスタンプによって、証明書の有効期間中にファイルが署名されたことを確認できるためです。

まれにカウンタ署名/タイムスタンプが存在しないファイルでは、証明書の有効期限が切れると有効と見なされません。これは、証明書の有効期間中にファイルが署名されたかどうかを判断できなくなったためです。

証明書の失効は、有効期限とは別の概念です。失効は、以前に有効だった証明書が信頼できなくなったこと、有効期間の範囲が期限切れでなくても信頼すべきではないと示すために使用されます。

Carbon Black Cloud の期限切れの証明書の処理方法

Carbon Black Cloud は、Carbon Black Cloud がハッシュを初めて検出した場合にのみ、ファイル署名の有効性を確認します。この方法により、次のようなエッジ ケースが発生する可能性があります。

• タイムスタンプのないハッシュが証明書が有効なときにマシン 1 で検出され、有効期限が切れたときにマシン 2 で検出された場合、マシン 1 はファイルを証明書承認の対象として扱い続けます。マシン 2 は、ファイルを最初に無効/期限切れとして検出したため、ファイルを適格として扱いません。マシン 1 は最初に有効と見なしました。
  注： これはタイムスタンプ付きファイルには適用されません。これは、ファイルが有効範囲中に署名された場合に検証できるためです。
• 証明書が失効することが判明する前にハッシュが検出された場合、そのハッシュは承認され、後で取り消された証明書が見つかった場合でも、そのマシン上で承認されたままとなります。センサーが証明書が失効していることを認識した後に表示される、失効した証明書によって署名された新しいハッシュは、証明書の承認によって承認されませんが、他のレピュテーションによって承認される可能性があります。

要約すると、証明書の有効期限切れと失効は、システムに表示される新しいハッシュのレピュテーションに影響を与える可能性がありますが、アセット上にすでに存在するハッシュのハッシュレピュテーションには影響を与えません。センサーが証明書が失効していると判断した場合、または異なるセンサーに異なる信頼されたルート証明書ストアがある場合に、証明書の有効期限が切れているかどうか、カウンタ署名が存在しているかどうかに基づき、マシンに証明書承認ルールが異なるように適用される可能性があります。