Danke, das kannte ich noch gar nicht.

Exakt genauso machen wir das auch. Funktioniert super + mit Signotaur hat sich das Neu-Eingeben des Passwords endlich erübrigt.
BTW: Irgendwie habe ich es geschafft, den USB-Token zu töten - ich denke, da war was miut Admin-PW oder so, aber Sectige hat anstandslos eine neuen Token bereitgestellt + die Restlaufzeit angerechnet.

Ich stehe Ende des Monats vor dem selben Problem: Das Zertifikat erneuern.

Im Prinzip habe ich einen einfacheren Fall, ein Entwickler und Codeeingabe wäre auch kein großes Problem. Also ginge wohl der USB Token. Ich muss auch keine Treiber signieren.
Nach meinen Recherchen und dem lesen hier stellen sich mir aber doch fragen was ich kaufen soll.

Generell: EV oder OV? Bisher hatte ich auch nur OV, aber der Bericht, dass Smart Screen da ewig kein ok gibt macht mich nachdenklich. Man bindet sich ja allgemein 3 Jahre. EV kostet halt ca 600 Euro, OV gut 1000 Euro bei Certum.
Was sind da eure Erfahrungen?

Dann wäre die 2. Frage: Dongle oder Cloud. Die Cloud hat ein signing limit bei ssl.com, was für mich aber reicht.
Aber wie zuverlässig funktioniert das?
Kann man das auch von 2 Rechnern alternativ machen?
Final: würdet ihr das cloud signing empfehlen? Es ist ja doch einiges günstiger.

Schon im Voraus…. Vielen dank für eure Meinungen und Hilfen

Also unsere Firma benutzt DigiCert. Davon kann ich allen nur abraten! Furchtbare, verwirrende Webseiten, katastrophal unübersichtliche Anleitung, überhaupt nicht hilfreiche Fehlermeldungen ("...failed." end of story).

Nach noch mal etwas rechnen scheint cloud signing bei ssl.com doch recht teuer wegen der 15 Euro/Monat.
Bei Certrum gibt es auch ein code signing in der cloud für gut 400 Euro für ein OV Certifikat für 3 Jahre. Das hört sich preislich schon ganz gut an. Gibt es da Erfahrungen?

Wir benutzen seit vielen Jahren nur OV von Sectigo. Seit kurzem auch mit USB. Wir hatten damit noch nie einen Smartscreen. Kunden haben auch nichts in dieser Richtung berichtet. Die Cloud-Dienste sind grundsätzlich nicht an eine Maschine gebunden und können von beliebig vielen Rechnern aus verwendet werden.

Ich dachte das wurde grade deswegen auf USB/Cloud geändert, damit es nicht raubkopiert und nicht "einfach so" sonstwo ausgeführt werden kann?

Verschwörungstheorie on
Das wurde als Grund vorgeschoben, in Wahrheit ging es darum, mit den Zertifikaten mehr Geld verdienen zu können, und dabei idealerweise die lästigen Einzelprogrammierer und kleinen Firmen aus dem Markt zu drängen. Ach ja: Und Microsoft wollte dabei auch mitverdienen, indem sie den Cloudservice anbieten.
Verschwörungstheorie off

Cloud heißt im Prinzip ja immer auch eine Authentifizierung des Clients gegenüber dem Server. Ohne das jetzt zu wissen: Ich hätte das als Serviceprovider aus Sicherheitsgründen so implementiert, dass man die Clients, die signieren dürfen, beim Server registrieren muss. Dabei aber nicht einfach nur irgendwelche Anmelde-Informationen übermittelt werden sondern etwas kryptographisch sicheres, wie z.B. Private/Public-Key Paare ähnlich wie bei ssh, wo man den Public Key auf den Server laden muss. Vermutlich ist das aber natürlich nicht direkt so gelöst, sondern das macht eine Client-Software für einen unter der Haube.

Es gab auch die Möglichkeit ein kostenloses SSL-Rootzertifikat z.B. des Firefox zu nutzen, für die CodeSignierung.
Es gibt/gab SSL-Zertifikate, welche auf ein Zertifikat aufbauen, das Windows kennt (und auch Linux), womit ein Teil auch durch Windows validiert werden konnte.

Wir hatten das Thema vor ein paar Monaten auch mal beim "Frühstück", weil ich auch danach gefragt hatte. In der Runde wurde das "Code Signing in the Cloud" von Certum als recht tauglich gesehen - https://shop.certum.eu/ev-code-signi...the-cloud.html.

Kannst du ggf. auch mal Gerd zu ansprechen, der hat schon seit einiger Zeit Erfahrungen damit und war wohl recht zufrieden.