<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div><div><span style="background-color: rgba(255, 255, 255, 0);">My experience of the last ten years of advising FontLab customers tells me that: </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">1. Only a small percentage of the smaller font foundries/developers ever wanted to put DSIG in their fonts, mostly because obtaining the certificates was somewhat burdensome and costly. </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Also, availability of code signing tools has been problematic, as attested last year by </span><span style="background-color: rgba(255, 255, 255, 0);">Adobe's Read Roberts: </span></div><div><div><p style="box-sizing: border-box; margin-bottom: 16px; margin-top: 0px !important;"></p><blockquote type="cite"><p style="box-sizing: border-box; margin-bottom: 16px; margin-top: 0px !important;"><font color="#000000"><span style="background-color: rgba(255, 255, 255, 0);">The document about font signing in the AFDKO is really old (yes, more than 10 years), and I will take out of the next release, as it is outdated - there are now many places and workflows to get digital certs. </span></font></p><p style="box-sizing: border-box; margin-top: 0px; margin-bottom: 16px;"><font color="#000000"><span style="background-color: rgba(255, 255, 255, 0);">The Adobe team still uses essentially the same workflow as described on: <a href="http://www.microsoft.com/typography/developers/dsig/" style="box-sizing: border-box; text-decoration: none;">www.microsoft.com/typography/developers/dsig/</a>. However, this page is also really outdated. In order to sign under Windows 8 and higher, you need the latest MS signcode tool, which is now called 'signtool.exe' and is available through the Windows SDK <a href="https://dev.windows.com/en-US/downloads/windows-10-sdk" style="box-sizing: border-box; text-decoration: none;">https://dev.windows.com/en-US/downloads/windows-10-sdk</a>.</span></font></p><p style="box-sizing: border-box; margin-top: 0px; margin-bottom: 16px;"><font color="#000000"><span style="background-color: rgba(255, 255, 255, 0);">You also need a 64-bit version of the mssipotf.dll library to sign on a 64 bit system. I don't know where anyone else is getting this, but I got a copy by asking Greg Hitchcock nicely. This has been the same since around 2012.</span></font></p><p style="box-sizing: border-box; margin-top: 0px; margin-bottom: 16px;"><font color="#000000"><span style="background-color: rgba(255, 255, 255, 0);">An additional point of interest is that ' Microsoft, starting 1st January 2016, is enforcing restrictions in handling of SHA-1 signed binaries.'. The Adobe IT group decided that that meant the Adobe Type team needed to use SHA-256 instead of SHA-1 for its DSIG's. This does work with the existing tools. I doubt it matters, since there is no sign that DSIG's are checked for anything other than existence. There are a lot of fonts that have a DSIG which is empty.</span></font></p></blockquote><br></div></div><div><span style="background-color: rgba(255, 255, 255, 0);">2. </span><span style="background-color: rgba(255, 255, 255, 0);">At least some of the recent Microsoft Word versions for Windows (2010, 2013?, 2016?) require(d?) the DSIG table (even a dummy one) to be present in TT-flavored OT fonts in order for the user-selectable OT features such as stylistic sets to become operational. CFF-flavored OT fonts worked without DSIG. </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><div><span style="background-color: rgba(255, 255, 255, 0);">So some font developers resorted to adding a dummy DSIG i.e. one that contained only a header but 0 signatures. </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">Tools exist that have the functionality of adding dummy DSIGs (eg. FontForge or some Python scripts). </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">However, font makers consistently reported to FontLab that the only reason they have done this was to work around the “discriminations” imposed by some implementations, that is, to get OT features to work in Office, and to get the “green OpenType icon” instead of the “blue TrueType icon” in Windows. </span></div></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">I generally understood that most font makers have viewed the necessity to add dummy DSIGs to .ttfs to work around these discriminations as an annoyance and a burden (though if dummy signing is present out of the box in most font-making tools, it won’t matter that much). </span></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div><span style="background-color: rgba(255, 255, 255, 0);">See:</span></div><div><a href="http://typedrawers.com/discussion/192/making-ot-ttf-layout-features-work-in-ms-word-2010">http://typedrawers.com/discussion/192/making-ot-ttf-layout-features-work-in-ms-word-2010</a></div><div><span style="background-color: rgba(255, 255, 255, 0);"><br></span></div><div>3. There were discussions about DSIG in WOFF2 and due to complications in handling it, I believe it was decided that DSIG should not be included in WOFF2 at all. See:</div><div><a href="https://lists.w3.org/Archives/Public/public-webfonts-wg/2014May/0022.html">https://lists.w3.org/Archives/Public/public-webfonts-wg/2014May/0022.html</a></div></div><div><br></div><div id="AppleMailSignature">It seems to me that overall, any workflows that make the DSIG table “mandatory” are cumbersome, and it would be especially so if any workflows required actual valid signatures to be present in the fonts (fortunately, it seems that dummy DSIGs with 0 signatures work OK with Windows and Office but this makes it feel even more like a hack). </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">I guess it may be OK to keep DSIG as is for the benefit of those foundries who are happy to use it (though reading Read Roberts' remarks suggest that even Adobe isn't overly enthusiastic). But overall, I personally woul be happier if we got rid of it altogether, or treat it as “obsolete”. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Either way, I’d like to urge implementors (esp. Microsoft) to not rely on the presence of the DSIG table for any discrimination. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Best,</div><div id="AppleMailSignature">Adam</div><div id="AppleMailSignature"><br>Sent from my mobile phone.</div></body></html>