Comme je l’avais déjà expliqué l’an dernier, je ne suis pas fan des scripts PowerShell signés. Ceux-ci donnent un faux sentiment de sécurité. Dernièrement, je suis tombé sur une situation qui a anéanti le peu de bien que je pouvais en penser.

Il se trouve qu’un script signé a une limitation qui n’est pas visible de premier abord. Passé la date de validité du certificat qui a servi à la signature, le script n’est plus utilisable. Oui, vous lisez bien. On ne peut plus exécuter le script. Quand on en utilise beaucoup, ce n’est pas terrible (vraiment pas).

Cela fait des années que je signe des binaires, des msi, ou du ClickOnce. Après expiration des certificats, je n’ai jamais rencontré de problème d’exécution, ou de déploiement. Les fichiers signés restent utilisables malgré l’expiration du certificat qui a servi à les signer. Je ne m’attendais donc pas à un tel comportement.

Moralité

PowerShell, c’est génial. Je ne saurais plus vivre sans. Mais la signature des scripts est un véritable enfer dans lequel il est préférable de ne pas mettre les pieds. Ou alors, il faut être vigilant sur le contenu des scripts signés. Il faut aussi faire attention au fait que la signature implique que ceux-si ont une date limite d'utilisation.

Si demain je dois à nouveau signer un script, et le distribuer, mon premier reflex sera d’ajouter dans celui-ci un commentaire indiquant la date de péremption de son certificat.

Autrement dit, je distribuerai des scripts avec une date limite de consommation.