Also ich habe von meiner Homepage mal ein ganz altes Setup-Programm aus 2009 runter geladen, wo die Signierungs-Zertifikate längst abgelaufen sind. Der Aufruf dieser Dateien wird von Windows nicht beanstandet, sondern ganz normal das blaue Fenster angezeigt und ich werde als verifizierter Herausgeber genannt.
Wenn also eine einmal signierte Setup-Datei "auf ewig" akzeptiert wird, dann könnte ich ja letztlich meine Setup-Variante ändern:
Ich erstelle nicht jedesmal ein Setup-Paket (eine EXE-Datei), welche mein jeweiliges Programm enthält, sondern ich erstelle (mit meinem derzeit ja noch gültigen Signierungs-Zertifikat) eine für alle Setup-Projekte verwendbare Setup.exe Datei. Die enthält dann nicht mehr selbst alle Programmteile, sondern Sie entpackt eine mitgelieferte Ressourcen-Datei (oder zIP-Datei), welche anhand einer Setuplist einen eben variablen Inhalt haben kann.
Alles das packe ich in einer ZIP-Datei, der User lädt die von meiner Homepage, entpackt das in einen Ordner und führt die Setup.exe Datei aus, welche das Programm wie bisher installiert (müsste da kaum was an dem Setup-Programm ändern, statt die Dateien aus der eigenen Resource zu laden, lädt das Programm die eben aus einer externen Datei).
Dann würde ich kein neues Codesigning Zertifikat mehr benötigen (jedenfalls solange ich nichts an der Setup-Datei ändere).
Oder begehe ich hier einen Denkfehler?
Most likely as himitsu pointed, will not work.
Also i want to correct or elaborate on the time of signing he mentioned, digital signature doesn't have timestamps by themselves nor have time at all, their structure and specification doesn't have that, but these signature can be timestamped with additional and specific timestamp signature, preferably form trusted TimeStamp Issuer, in other words you can have your digital signature with your CA trusted issued certificate and without the timestamp, no way to verify its singing time, has it signed after expiry date ?!!
The normal behavior is to not trust it, yet it might simply be marked as can't verify, while might show the publisher detail with this can't verify!
And this what i want to ask you to test, sign it with an old CA trusted issued certificate, but don't not timestamp it, please share your finding with us, specially if you have Windows 11.
ps: you can try with an old one where expired CA if you have one, but also you might have one where its CA is still valid, try both if you can, if you are up to testing something new and unorthodox, also for educational purposes