Habe ich das jetzt richtig verstanden dass ab Mai 2023 auch die einfacheren, "günstigen" OV-Zertifikate einen USB-Dongle bei der Signierung einer exe brauchen? Bei den EV-Zertifikaten ist das schon länger Standard, für mein Build-Script war das aber ein No-go, da ich dabei nicht ein USB-Dongle an den Build-Server hängen kann, bzw. keine manuelle Kontrolle über den Build-Prozess habe. Daher benutze ich ein Software-basiertes OV-Zertifikat (Organization Validation), zwar mit geringerer Vertrauenswürdigkeit aber für mein Hobby-Projekt ausreichend.

https://cabforum.org/2022/04/06/ball...-requirements/
https://sectigo.com/ssl-certificates-tls/code-signing

Vincent Parret hatte da mal was zu geschrieben: Code Signing with USB Tokens

JA, laut Mitteilung meines Zertifizierers (Quelle: PSW Group). Die Fristen der Zertifizierungsstellen:

• GlobalSign: Neue Anforderungen ab dem 24. April 2023
• Sectigo: Neue Anforderungen ab dem 08. Mai 2023
• DigiCert: Neue Anforderungen ab dem 01. Juni 2023

Ab den genannten Fristen entfällt die Wahlmöglichkeit und jedes OV Code Signing-Zertifikat muss auf einem Hardware-Token oder HSM ausgestellt werden.

Empfehlung: Sich noch ein Zertifikat mit 3 Jahren Laufzeit ausstellen lassen. Bestehende Zertifikate behalten ihre Gültigkeit. Alle Angaben ohne Gewähr!

Bis bald...
Thomas

Ja, das gilt demnächst. Für alle Zertifikate die davor ausgestellt werden, gilt weiterhin die alte Regel.

(Quelle: PSW Group)

Nachtrag: neben einem Token ist auch ein Zertifikat auf einem HSM möglich.

Die Kosten für den Hardware-Token belaufen sich - abhängig von der Zertifizierungsstelle - auf etwa 150€. (Quelle: PSW Group)

Danke an alle für die Bestätigung. Die Kosten finde ich jetzt auch nicht so dramatisch, nur der Aufwand für die Signierung steigt schon an. Noch habe ich da 2 Jahre Zeit, solange mein Zertifikat noch gültig ist. Danach oder eher vorher werde ich mich damit aber dann mal befassen müssen.

Wer sein Code-Signing Zertifikat (OV) verlängern muss, wird wenig Freude an den neuen Preisen haben. Ein Zertifikat, das vor 2 Jahren mit einer Laufzeit für 2 Jahre noch 179 EUR gekostet hat, steht aktuell, noch ohne Extrakosten für das Token, für 649 EUR in der Preisliste meines Anbieters. Für 3 Jahre mit Token werden es wahrscheinlich knapp 1000 EUR sein. Preisvergleiche könnten sich wieder lohnen.

Bis bald...
Thomas

Haben das jetzt eigentlich die Zertifizierungsaussteller unter sich ausgemacht oder woher kommt die Anforderung ? Es klingt ja schon fast so als wäre es eine gesetzliche Anforderung. Welches Recht ? US oder EU?

Richtig, das haben die wohl mehr oder weniger unter sich ausgemacht.
https://cabforum.org/baseline-requir...urrent-Version

Ganz so als ob sich alle Bäcker geeinigt und selbstverpflichtet haben, jetzt nur noch Brötchen in der Goldfolientüte verkaufen zu dürfen

Die Forderung nach mehr Sicherheit in Form von Hardware kann man ja nachvollziehen. Es sind wohl schon Zertifikate bei Nvidia gestohlen worden, womit dann Trojaner und Viren als vertrauenswürdig zum Download angeboten wurden. Die neuen Preise finde ich aber auch überzogen. Vor allem Kleinunternehmer und OpenSource-Entwickler dürften daran zu knabbern haben.