在时间戳请求中包括TSA证书

Question

我目前正在研究时间戳，并无意中发现了一个参数fRequestCerts/requestSignerCertificates/certReq，根据文档(1，2)，该参数告诉TSA将包含用于在响应中签名时间戳令牌的证书。

在修改此参数时，我注意到Windows在验证自签名TSA证书时的行为有所不同。更具体地说，当参数设置为真Windows时，显然将自签名的TSA证书视为值得信任的证书。当参数设置为false时，Windows将它们视为不可信任的。

不幸的是，我找不到关于这件事的更详细的信息。所以我的问题是：

• 我为什么要使用这个参数？
• 它如何影响信任？

Answer 1

事实证明，这种行为是一个漏洞。有关它的详细信息可以在这里找到https://about.signpath.io/blog/2020/08/26/on-the-importance-of-trust-validation.html。