Sto cercando di capire l'elaborazione del timestamp nel meccanismo di verifica dell'autenticode e sembra piuttosto semplice, ma davvero non capisco come la firma possa essere valida mentre entrambi i certificati (codice e timestamp) non sono in periodo di validità.
Formato di firma eseguibile portatile di Windows Authenticode contiene una descrizione dettagliata dell'autenticazione del processo, ma non c'è un caso, quando la firma è valida dopo che il certificato di firma con data e ora è scaduto.
Secondo RFC3161, non appena il certificato, usato per firmare un timestamp, scade, anche il timestamp diventa scaduto, quindi tale timestamp dovrebbe essere rifatto o autenticato per rinnovare il trust esistente in questo timestamp (vuol dire il certificato dovrebbe essere rinnovato?).
Btw, che dire del software scritto dieci anni fa? C'è un meccanismo con una firma infinita?