AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

Code Signing - Grundsatzfragen

Ein Thema von Ares · begonnen am 12. Mai 2010 · letzter Beitrag vom 11. Mai 2011
Antwort Antwort
Seite 2 von 3     12 3   
madas

Registriert seit: 9. Aug 2007
207 Beiträge
 
#11

Re: Code Signing - Grundsatzfragen

  Alt 1. Jun 2010, 13:04
Als Tipp: Sucht mal bei "Gockel" nach OpenSSL und self signed.
  Mit Zitat antworten Zitat
ak-ac

Registriert seit: 10. Apr 2009
26 Beiträge
 
#12

Re: Code Signing - Grundsatzfragen

  Alt 1. Jun 2010, 14:55
Zitat von rwachtel:
Wo klingt das eingeschränkt? Ein Comodo-Zertifikat ist ein Comodo-Zertifikat. Punkt.
manchmal gibts doch lieznzbestimmungen nach dem motto, kostenlos nur für private nutzung. dachte nur, dass es das ja auch für nutzung für sharewaretools gibt - weils ja nur per registrierung geht...
  Mit Zitat antworten Zitat
Benutzerbild von H4ndy
H4ndy

Registriert seit: 28. Jun 2003
Ort: Chemnitz
515 Beiträge
 
Delphi XE3 Professional
 
#13

Re: Code Signing - Grundsatzfragen

  Alt 1. Jun 2010, 15:26
Zitat von madas:
Als Tipp: Sucht mal bei "Gockel" nach OpenSSL und self signed.
Fuer "offizielle" Software kann man keine selbstsignierten Zertifikate nuzten, da das Root-Cert nicht in den Speichern der Anwender ist und somit trotzdem eine Warnung kommt. Sowas kann man fuer Testzwecke mal machen und auf dem eigenen Rechner das generierte Zertifikat installieren. Dafuer braucht man uebrigens auch kein extra OpenSSL, sondern einfach nur die Tool-Suite von Microsoft zur EXE-Signierung.
Manuel
  Mit Zitat antworten Zitat
madas

Registriert seit: 9. Aug 2007
207 Beiträge
 
#14

Re: Code Signing - Grundsatzfragen

  Alt 1. Jun 2010, 19:14
Zitat von H4ndy:
Zitat von madas:
Als Tipp: Sucht mal bei "Gockel" nach OpenSSL und self signed.
Fuer "offizielle" Software kann man keine selbstsignierten Zertifikate nuzten, da das Root-Cert nicht in den Speichern der Anwender ist und somit trotzdem eine Warnung kommt. Sowas kann man fuer Testzwecke mal machen und auf dem eigenen Rechner das generierte Zertifikat installieren. Dafuer braucht man uebrigens auch kein extra OpenSSL, sondern einfach nur die Tool-Suite von Microsoft zur EXE-Signierung.
Tja dann musste mal richtig suchen. Mit OpenSSL kannste Dein eigenes CA erstellen. Dieses in den Root-Cert Speicher geworfen und schon werden alle
Programme die Du mit deinem Code Signing Zertifikat (das mit dem CA erstellt wurde) signiert hast ohne Warnung ausgeführt.

Grüße.

PS: Das Ganze geht auch für https Zertifikate.
  Mit Zitat antworten Zitat
Benutzerbild von H4ndy
H4ndy

Registriert seit: 28. Jun 2003
Ort: Chemnitz
515 Beiträge
 
Delphi XE3 Professional
 
#15

Re: Code Signing - Grundsatzfragen

  Alt 1. Jun 2010, 19:28
Zitat von madas:
Tja dann musste mal richtig suchen. Mit OpenSSL kannste Dein eigenes CA erstellen. Dieses in den Root-Cert Speicher geworfen und schon werden alle
Programme die Du mit deinem Code Signing Zertifikat (das mit dem CA erstellt wurde) signiert hast ohne Warnung ausgeführt.
Dein eigenes CA kann auch das MS-Tool ausspucken. Das tut aber nix zur Sache, dass es keine brauchbare Methode ist.
Wenn ich meine EXE signiere, dann soll das auch auf allen Windowsen laufen, OHNE dass man eigenes Rootzertifikate beim User "einschmuggeln" muss. Das ist ja eben der Sinn dahinter, dass die Signierung von einer bekannten Stelle aus zertifikiert wird.

Fuer meinen Webserver hab ich auch alle SSL-Zertifikate selbst erstellt und signiert, aber nur fuer den persoenlichen Gebrauch. Wenn ich was serioeses haben woellte fuer was Leute Geld ausgeben, dann wuerde ich mir auch ein "echtes" SSL-Zertifikat kaufen.

Kurz: Es geht um die Chain of Trust, und die ist bei selbstsignierten Sachen nicht oder nur unzureichend gegeben.
Manuel
  Mit Zitat antworten Zitat
Benutzerbild von BUG
BUG

Registriert seit: 4. Dez 2003
Ort: Cottbus
2.094 Beiträge
 
#16

Re: Code Signing - Grundsatzfragen

  Alt 1. Jun 2010, 19:31
Zitat von H4ndy:
Fuer "offizielle" Software kann man keine selbstsignierten Zertifikate nuzten, da das Root-Cert nicht in den Speichern der Anwender ist und somit trotzdem eine Warnung kommt.
Zitat von madas:
Dieses in den Root-Cert Speicher geworfen und schon werden alle
Programme die Du mit deinem Code Signing Zertifikat (das mit dem CA erstellt wurde) signiert hast ohne Warnung ausgeführt.
Dass das funktioniert, hat er ja nicht bezweifelt. Man kauft ja Zertifikate, weil die Root-Zertifikate schon auf dem Rechner des Users liegen und vertrauenswürdig sind.

Zitat von madas:
PS: Das Ganze geht auch für https Zertifikate.
Wer installiert sich denn Root-Certifikate aus dem Internet, weil eine Website das fordert.
Würden das alle machen, könnte man sich das Signieren auch direkt sparen.

Ist ja nicht so, das Zertifikate erfunden wurden, um Entwickler zu ärgern.
Intellekt ist das Verstehen von Wissen. Verstehen ist der wahre Pfad zu Einsicht. Einsicht ist der Schlüssel zu allem.
  Mit Zitat antworten Zitat
Grolle

Registriert seit: 5. Nov 2004
Ort: Coesfeld
1.268 Beiträge
 
Delphi 2010 Professional
 
#17

AW: Code Signing - Grundsatzfragen

  Alt 4. Aug 2010, 22:18
Hallo,

unter http://www.startssl.com/ bekommt man ein class2 Zertifikat (code signing) für 49 USD für 2 Jahre. In den nächsten Tagen werde ich in meinem Blog ein Tutorial dazu verfassen (Thema ist gerade aktuell - Link folgt).

Viele Grüße ...

  Mit Zitat antworten Zitat
rob74

Registriert seit: 13. Sep 2006
Ort: München
22 Beiträge
 
Delphi XE Starter
 
#18

AW: Re: Code Signing - Grundsatzfragen

  Alt 8. Aug 2010, 22:58
Zitat von Ares:
Das Stammzertifikat von Comodo ist ja nicht automatisch in Windows enthalten.
Ist es nicht? Bei Microsoft ist es aber gelistet:
http://download.microsoft.com/downlo...ber%202009.pdf

Ich werde nachher mal eine frische VM aufsetzen und prüfen, was bei meinen Anwendungen so angezeigt wird. Updates der Stammzertifikate werden von Microsoft per Windows-Update ausgeliefert. Man kann das auch manuell nachinstallieren:
http://support.microsoft.com/kb/931125
Hallo,

die Frage, welche CAs bei welchen Windows-Versionen default-mäßig "mit dabei" sind, interessiert mich auch brennend. Für die Code-Signierung besonders interessant wäre zu wissen, welche CAs bei Windows Vista "mit ausgeliefert" wurden. Leider liefert die verlinkte PDF-Datei keine Antwort auf diese Frage - da steht zwar, welche CAs schon vor dem Update vorhanden waren, aber nicht seit wann. Ich habe zwar nach älteren Versionen der PDF-Datei gegooglet, aber das älteste was ich gefunden habe war März 2009, alle anderen verlinken nur die Microsoft-Knowledge-Base-Seite, und wenn man den Links folgt landet man auf der aktuellen Version der Seite, nicht auf der "alten". Da hilft scheinbar wirklich nur ein frisches Vista installieren und damit testen...

Erschwerend kommt hinzu, dass die Root-Certificate-Updates zwar per Windows Update ausgeliefert werden, aber leider nur als optionale Updates. Frag' mal ein paar Benutzer, ob sie schon mal optionale Updates installiert haben, die meisten werden gar nicht wissen, wie sie das machen sollen...

Edit: laut http://www.entrust.net/knowledge-bas...te.cfm?tn=7740 lädt Windows Vista ein unbekanntes Root-Zertifikat automatisch nach, wenn es dem Windows-Update-Server bekannt ist, ohne dass der User was davon merkt. Außer natürlich er hat in dem Moment grad keine Internet-Verbindung, oder das Zertifikat-Update wurde vom Administrator deaktiviert, oder oder oder...

Geändert von rob74 ( 8. Aug 2010 um 23:12 Uhr)
  Mit Zitat antworten Zitat
Mschmidt

Registriert seit: 4. Jul 2010
Ort: Berlin
62 Beiträge
 
Delphi XE2 Professional
 
#19

AW: Code Signing - Grundsatzfragen

  Alt 9. Aug 2010, 19:56
Noch ein Tipp - wenn du deine Software bei Microsoft registrieren möchtest
um z.b. Punkte im Partnerprogramm zu erhalten (nur relevant für Unternehmen) oder ein Logo wie "Compatible with Windows 7" u.a.
musst du ein Verisign Zertifikat verwenden Alle anderen werden komischweise nicht akzeptiert.

:-mschmidt
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.851 Beiträge
 
Delphi 11 Alexandria
 
#20

AW: Code Signing - Grundsatzfragen

  Alt 9. Aug 2010, 20:25
Und ein Zertifikat von VeriSign ist mit das teuerste
Markus Kinzler
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 18:19 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz