Ils le sont.
Cependant on n’est pas ici en présence d’un fichier signé à la volée, mais d’un fichier signé une fois puis distribué. Et Avec les certificats numériques c’est la date de SIGNATURE qui est à comparer à la date d’expiration du certificat, pas la date à laquelle la signature est vérifiée. Et heureusement, vous imaginez les fabriquants de matériel informatique devoir resigner et redistribuer leurs drivers Windows tous les 24 mois (durée de validité max d’un certificat de signature de code chez les principaux fournisseurs).
La seule possibilité d’invalider une signature numérique, c’est de révoquer explicitement le certificat chez son émetteur, ce qui entraînera son inscription dans la liste publique des certificats révoqués accessible par le protocole oscp (et donc cette vérification nécessite une connexion réseau).
Du coup, ça laisse quand même plusieurs pistes plus ou moins probables liées à cette signature numérique:
- La vérification de la signature dans le nac est bugguee et se base sur la validité à date de vérification au lieu de date de signature (et là je sais de quoi je parle j’ai personnellement fait cette connerie pour un équipement que j’ai développé pour mon employeur il y a quelques années...). Peu probable en pratique car du coup personne ne pourrait réussir une installation...
- Le nac essaye de contacter l’émetteur du certificat pour vérifier sa révocation et le considère comme révoqué si la connexion à la base de révocation de l’émetteur est impossible.
d’ailleurs, du coup, vous avez essayé de changer la date du nac (genre reculer d’un an) pour voir si ça change quelque chose ?