Timestamp (zaman damgası), bir dosyanın belirli bir tarih ve saatte imzalandığını kanıtlayan kriptografik bir delildir. Kod imzalamada timestamp kullanmak, sertifika süresi dolsa bile imzanızın geçerli kalmasını sağlar. Timestamp olmadan, sertifika süresi dolduğunda tüm imzalarınız geçersiz olur.
Timestamp Neden Hayati Önem Taşır?
Kod imzalama sertifikaları genellikle 1-3 yıl geçerlidir. Sertifika süresi dolduğunda:
| Durum | Timestamp VAR | Timestamp YOK |
|---|---|---|
| Sertifika geçerli | İmza geçerli ✓ | İmza geçerli ✓ |
| Sertifika süresi dolmuş | İmza geçerli ✓ | İmza GEÇERSİZ ✗ |
| Sertifika iptal edilmiş | İptalden önce yapılan imzalar geçerli | Tüm imzalar geçersiz |
Görüldüğü gibi, timestamp kullanmadan imzalanan bir yazılım, sertifika süresi dolduğunda imzasız yazılım gibi davranır. Bu Windows SmartScreen uyarısına, güvenlik engellemelerine ve kullanıcı güvensizliğine yol açar.
Timestamp Nasıl Çalışır?
- Yazılım imzalanırken, imzanın hash değeri Timestamp Authority (TSA) sunucusuna gönderilir
- TSA, hash değerine güvenilir saatini ekler ve kendi sertifikası ile imzalar
- İmzalanan dosyaya TSA'nın zaman damgası yanıtı eklenir
- Doğrulama sırasında hem imza hem de timestamp ayrı ayrı kontrol edilir
RFC 3161 vs Authenticode Timestamp
| Özellik | RFC 3161 | Authenticode (Eski) |
|---|---|---|
| Standart | IETF RFC 3161 | Microsoft proprietary |
| Hash Algoritması | SHA-256 destekler | Sadece SHA-1 |
| 2026 Uyumluluk | Tam uyumlu ✓ | Kullanılmamalı ✗ |
| SignTool Parametresi | /tr | /t |
2026'da RFC 3161 standardı zorunludur. Eski /t parametresi yerine her zaman /tr kullanın.
Doğru Timestamp Kullanımı
signtool sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /a "uygulama.exe"Dikkat: /td sha256 parametresini mutlaka ekleyin. Bu, timestamp hash algoritmasını SHA-256 olarak ayarlar.
Popüler Timestamp Sunucuları
| Sağlayıcı | RFC 3161 URL | Ücretsiz |
|---|---|---|
| DigiCert | http://timestamp.digicert.com | Evet |
| Sectigo | http://timestamp.sectigo.com | Evet |
| GlobalSign | http://timestamp.globalsign.com/tsa/r6advanced1 | Evet |
| Certum | http://time.certum.pl | Evet |
| SSL.com | http://ts.ssl.com | Evet |
Tüm bu timestamp sunucuları ücretsizdir ve herhangi bir CA'dan alınan sertifika ile kullanılabilir.
Sık Sorulan Sorular
Timestamp sunucusu ücretsiz mi?
Evet, tüm büyük sertifika otoritelerinin timestamp sunucuları ücretsizdir. Hangi CA'dan sertifika aldığınızdan bağımsız olarak istediğiniz TSA'yı kullanabilirsiniz.
Timestamp sunucusu çöktüğünde ne olur?
Timestamp sunucusuna erişilemezse imzalama başarısız olur. Yedek bir timestamp URL tanımlamanız veya retry mekanizması eklemeniz önerilir.
Timestamp olmadan imzalamışsam ne yapmalıyım?
Sertifikanız hâlâ geçerliyse, yazılımı yeniden imzalayarak bu sefer timestamp ekleyin. Sertifika süresi dolmuşsa, yeni sertifika almanız ve yeniden imzalamanız gerekir.
Yorumlar
Henüz yorum yapılmamış. İlk yorumu siz yapın!
Yorum Yaz