Gut, wenn jemand Uwe Raabe nicht vertraut, wird er auch keine meiner Programme installieren. Somit ist mein Zertifikat nicht relevant. Im anderen Fall aber schon. Immerhin steht in dem Zertifikat mein Name und meine Email und es ist von einer allgemein anerkannten Stelle ausgestellt worden. Damit kann sich nicht mal eben jemand seine Programme für meine ausgeben indem er sich ein Zertifikat erstellen lässt, in dem sowohl mein Name als auch meine Email steht und das von einer vertrauenswürdigen Stelle kommt.

Ein Elster-Zertifikat mit einer anonymen Nummer ist aber niemandem direkt zuzuordnen (außer man ist das Finanzamt oder hat eine Draht dahin s.u). Insbesondere kann ich als Benutzer nicht unterscheiden, ob das Programm von Heinz Müller dem Guten oder Fritz Meyer dem Bösen kommt. Damit ist das Zertifikat für diesen Fall vollkommen nutzlos. Helfen tut es wenn überhaupt nur bei denen die sich gar nicht ansehen was sie da installieren und das macht es eigentlich ja noch schlimmer.

Man muss ja auch mal den Zweck eines Elster-Zertifikats hervorheben: Es dient dazu, den Einreicher z.B. einer Umsatzsteuervoranmeldung gegenüber dem Finanzamt zu legitimieren und die übertragenen Daten dem passenden Steuerkonto zuzuordnen. Auch andere eGovernment Dienste unterstützen es, wobei sie sich dann die nötigen Daten von der Finanzverwaltung holen - erst damit erfährt die Stelle den Namen für das Zertifikat (wenn der Nutzer vorher eingewilligt hat). Für eine Legitimierung gegenüber anderen taugt es erstmal nicht.

Das Finanzamt stellt in der Regel jedem Antragsteller ein solches Zertifikat aus - auch Betrügern, Steuerhinterziehern und Trojaner-Programmierern, solange sie eine Steuernummer haben.

Ich würde jedenfalls keine Software installieren, die nur mit einem solchen Zertifikat daher kommt.

Ich glaube zwar das das eine Diskussion um des Kaisers Bart ist [1] und wir prinzipiell der gleichen Meinung sind aber sei es drum.

Das ein Name und eine EMail Adresse im Zertifikat steht macht nichts besser oder schlechter. Erst wenn man das tatsächlich selbst überprüft, also versucht den Herausgeber zu kontaktieren, wird das unter Umständen wichtig. Im Grunde das Equivalent zu Schrödingers Katze, so lange niemand prüft kann da drin stehen was will.

Das kannst Du auch bei einem anderen Zertifikat nicht wirklich. Der Unterschied liegt nicht darin wer in einem Zertifikat ausgewiesen ist sondern darin wer zertifiziert. Wenn es (viele) Fälle gibt in denen eine Zertifizierungstelle "einen Bösen" zertifiziert dann verliert die Zertifizierungstelle vertrauen und die meisten werden dieser Stelle nicht mehr vertrauen.

Du argumentierst im Grunde damit das der Weg des OP, wenn er funktionieren würde, dazu führen würde früher oder später das Vertrauen in diese Art von Zertifikaten verloren ginge. Das ist wohl richtig und auch im Interesse der meisten hier, aber es beantwortet nicht die Frage des OP.

Wenn man den ganzen Thread verfolgt hat der OP lediglich einen Weg gesucht

diese Meldungen zu unterdrücken und diesen Weg meint er für sich gefunden zu haben.

[Quote]Helfen tut es wenn überhaupt nur bei denen die sich gar nicht ansehen was sie da installieren und das macht es eigentlich ja noch schlimmer.[/Qute]

Schlimmer für den OP oder schlimmer für die meisten anderen ?

Aber ich behaupte, das dass im konkreten Fall gar keine große Rolle spielen würde. Man müsste sich natürlich die Distributionswege des OP ansehen, aber wenn er seine Freeware auf seiner eigenen Website anbietet, mit und/oder ohne Code, dann nimmt die ungewöhnliche Zertifizierung ja lediglich die ansonsten wahrscheinlich auf seiner Website zu findenden Bitte vorweg sich nicht an den Meldungen zu stören.

Kein Zertifikat tut das, das Vertrauen liegt immer in der Zertifizierungsstelle.

Der Prozess nachzuweisen wer man ist, ist aber durchaus ähnlich wie bei anderen Zertifizierungstellen auch.

Ich glaube nicht das es jemanden gibt der ernsthaft darüber zweifelt das man mit genügend krimineller Energie eine GmbH, LTD oder was auch immer Gesellschaft, wo auch immer (Code Signing ist ja kein Urdeutsche Angelegenheit) angemeldet bekommt, zumal eine Reihe von Ländern deutlich niedrigere Standards haben als wir, und sich so ein Zertifikat zum Code-Signing erschwindeln kann.

Ich auch nicht, dann lieber gleich ohne, aber das war nicht die Frage des OP.

cu Ha-Joe

[1] ich bin mir ziemlich sicher das das Ausführen einer einer Exe mit einem Elster Zertifikat nur auf dem eigenen Rechner nicht zu einer Fehlermeldung führt, da dieser Rechner das Zertifikat kennt. Aber vielleicht kann der OP das ja mal prüfen.

Wieso soll denn der Rechner das Zertifikat kennen? Da Elster heute eine reine Browseranwendung ist, wird lokal nichts installiert und auch kein Zertifikat im Zertifikatsspeicher abgelegt.

// EDIT:
Also bei mir kann das Zertifikat auf dem lokalen PC nicht verifiziert werden.

Das Zertifikat selber muß auch nicht unbedingt direkt bekannt sein.
Es reicht auch, wenn ein zugrundeliegendes Zertifikat dem Windows bekannt wäre.

Ist schließlich bei den normalen Code-Signing-Zertifikaten auch nicht anders, wo ebenfalls Windows "dein" Zertifikat selbst garnicht kennt, aber dort vertraut es dann eben der Zertifikatsaussteller.
OK, abgesehn von den Selbst-Signierten, welche man wirklich direkt bekannt macht.

Die ElsterRootCA ist aber eben keine Standardausgabestelle. Deshalb lassen sich deren Zertifikate auch nicht einfach so validieren. Ich habe es ja ausprobiert.

Ich habe auf einem meiner PCs das Elster Zertifikat eingesetzt um PDF und XML Dokumente vor Veränderungen zu schützen. Im Grunde eine Art Emulation der Funktionen einer Massensignaturkarte [1]. War eine Art Proof of Concept wie man ein TR-Resiscan kompatibles Verfahren ohne Massensignaturkarte sinnvoll umsetzen kann. Kann sein das ich dabei das Zertifikat selbst in den Zertifikatspeicher geladen habe. Da habe ich unterstellt das der OP das ähnlich gemacht hat. Aber das ändert doch nichts an dem was ich geschrieben habe ?

cu Ha-Jö

[1] Eine Exe scannt eine vorher festgelegte Anzahl Dokumente, exportiert diese als PDF und legt in jede der erzeugten PDFs eine versteckte GUID als Kennung ab. Paralell dazu wird eine vor dem Export eine vorher definierte Anzahl an zufälligen Dokumenten nochmal zum Prüfen vorgelegt - also angezeigt. Über all das wird ein Protokoll als PDF geführt, die GUIDs der einzelnen exportierten PDF Dateien finden sich im Protokoll wieder.

Die exportierten Dokumente werden mit einem Zertifikat versehen (in diesem Fall das Elster Zertifikat) und gegen Veränderungen geschützt, das Protokoll enthält Daten zum eingesetzten Zertifikat, dem Zeitpunkt / Zeitstempel des Scanns und wird mit einer qualifizierten Signatur versehen.

Auf braucht man keine Massensignaturkarte um Massen zu signieren.

Aber Software ganz ohne Codesigning Zertifikat dann schon eher ,oder?

Wie ist das mit den ganzen Apple Zertifikaten die man erzeuugt um Apps für den Appstore zu entwickeln? Kann man die zum Signieren von EXE files benutzen?

Selbst wenn, die "Kosten" ja auch 99 EUR / Jahr.

Das, was mich daran besonders stört, ist der gewaltige Preisaufschlag, den diese Firmen für "Virtuelles Nichts" veranschlagen.
Die Erstellungkosten liegen im Cent-Bereich, plus ein paar Kosten für Server und Verwaltung und etwas Kosten für die Identitätsprüfung,
das darf meiner Ansicht nach nicht mehr als 100-200 EUR / Jahr kosten, alles andere ist grober, vorsätzlicher Wucher.

Ich habe jedoch im Bereich Zertifikate bisher schon vieles gesehen, von 1000 EUR bis Ende offen, und das quasi ohne Gegenwert,
weil weder Identität garantiert wird, noch irgendeine Verantwortung übernommen wird.
Zum Beispiel für echte Zertifikate einer Prüfstelle wie TÜV, SGS usw., bekommt man zum ähnlichen Preis eine komplette technische Prüfung
mit Messung, Prüfbericht und Zertifikat von einer akkreditierten Stelle.
Auch das ist sicher oft überteuert, aber zumindest hat es einen entsprechenden, höheren Gegenwert als ein Signaturzertifikat.

Das Einzige, was wirklich helfen würde, wäre, wenn sich jetzt alle Entwickler mal vor den Zentralen Microsoft, Apple, Google, Mozilla, usw.
festkleben und protestieren würden und die Herausgabe transparenter Kostenaufstellungen und Preisreduzierungen fordern würden.

(aber sowas passiert ja in der wirklichen Welt ja nicht ... )

Du musst halt Arbeitslos/Student sein mit reichen Eltern am besten Einzelkind mit Aussicht auf Erbschaft von nem Zweithaus... aber diese Leute interessiert eher welches bild über ihre eigne Tugendhaftigkeit sie auf Instagram verbreiten können. Leute die genig haben von dem FANG Monopol, können es sich nicht leisten sich irgendwo festzukleben.
(btw. Netflix... das hätte ein monopol bleiben sollen)

Vermutlich würde meine Frau mich auch nicht mehr ernstnehmen, wenn ich meinen Standpunkt dadurch klar machen würde, dass ich mich bei uns im Treppenhaus festklebe.

Was du mir sagen willst ist , wir können die APP Zertifikate aus dem Mac exportieren und unsere EXE Datei damit signieren?

Er fragte auch nur, obs ginge.

Aber was sollte Microsoft ein Zertifikat von Apple interessieren?
Bzw. gibt es denn eine RootCA davon, welche Windows kennt, um jenes Zertifikat verifizieren zu können?