VeriSignクラス3証明書はWindowsによって信頼されていませんか？

Question

私は、Verisignクラス3コード署名証明書によってデジタル署名されたすべての実行可能ファイルを持つWindowsデスクトップアプリケーションを配布します。大多数のユーザーにとって、これはうまくいくようです。

ただし、少数のユーザーが証明書が無効であると報告します。彼らは、メッセージ"証明書チェーンが処理されましたが、信頼プロバイダによって信頼されていないルート証明書で終了しました"というメッセージが表示されると言います。。これはエラーコードCERT_E_UNTRUSTEDROOT (0x800B0109)に対応します。これは、完全に更新されたWindows 7マシンでも報告されています。おそらく私の証明書はOKですが、WindowsはしばしばVeriSign証明書を信頼しません。

なぜWindowsはVeriSignを信頼しないことがありますか？ Windowsに証明書を信頼するように指示するインストーラ（署名付き）に追加できるものはありますか？

Answer 1

MicrosoftがWindows Updateからロールアウトするルート証明書は頻繁に更新されますが、「オプションの更新」としてタグ付けされています。したがって、すべてのユーザーがインストールされているわけではなく、手動でインストールする必要がある場合もあります。自動インストールは「重要な更新」のみをインストールするように設定されていることが多いため、これは「完全に更新された」マシンにも当てはまります。ルート証明書の更新はそうではありません。

デスクトップアプリケーションの種類によっては、署名する際に特定の規則に従わなければならない場合もあります。たとえば、Windowsセキュリティセンターと対話するアプリケーションでは、基本的にドライバと同じ署名方法が必要です。つまり、証明書チェーンは署名（/acはsigntoolに切り替わります）とともに埋め込まれます。ベリサインの証明書hereに適用されるMSCV-VSClass3.cerを入手できます。

このプロセスはクロスサインと呼ばれることが多く、これは誤解を招くことがあります。これはドライバのバイナリやカタログのクロスサインを得るための1つのステップですが、重要なステップはMicrosoftが実際のクロスサインであるドライバ（あるいはより一般的にはカタログファイル）に署名することです。