PowerShell Set-AuthenticodeSignature - IncludeChain Options 优点/缺点？

Question

使用 Set-AuthenticodeSignature 时，有一个名为 IncludeChain 的选项。虽然有关于每个选项是什么的文档，但我无法发现关于每个设置的优点/缺点的很多指导(当您选择一个设置而不是另一个设置时)。

我在示例中看到 IncludeChain 的任何地方，它总是设置为 All 。我认为 All 可能是最好的答案，但我想了解每种设置的优缺点。

Signer

NotRoot (默认)

All

除了 All 使文件变得更大之外，每个设置的具体优点和缺点是什么？

引用

https://technet.microsoft.com/en-us/library/hh847874.aspx

http://go.microsoft.com/fwlink/?LinkID=113391

How Can I Prevent Needing to Re-sign My Code Every 1 or 2 Years?

例子

$certPfx = "super secret location"
$certPassword = "super secret password"
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($certPfx, $certPassword)

Set-AuthenticodeSignature -Filepath "ps1 file location" `
  -Cert $cert `
  -TimeStampServer "url to timestamp server" `
  -IncludeChain All `
  -HashAlgorithm SHA256

Answer 1

默认的 NotRoot 是最好的选择。

签名者

优点:当你只放签名者证书时，签名大小相对较小。

缺点:如果接收者没有所有信息来构建链，有效签名可能会失效。此外，从 Internet 检索证书会导致签名验证期间出现明显延迟。

NotRoot

优点:通过附加中间 CA 证书加快链构建，从而减少签名验证时间。在没有关于链证书的额外信息可用的情况下(例如，通过本地商店或 AIA 扩展)，这些证书填补了空白并极大地帮助链构建。

缺点:每个中间 CA 证书的签名大小增加约 2kb。

所有

优点:通过附加中间 CA 证书加快链构建，从而减少签名验证时间。

缺点:每个 CA 证书的签名大小增加约 2kb。此选项包括根 CA，这是冗余信息。如果客户端已经拥有受信任的根证书(因此它已经安装)，则包含的根 CA 证书不会提供任何有用的信息。如果客户端没有根证书，则将其包含在签名中也没有意义。