In bin zwar selber ab und zu der Meinung, daß Menschen im Internet etwas besser aufpassen könnten, aber was Du da von Dir gibst klingt ja schon recht arrogant. Schreibst Du nur Software für Eliten?

Übrigens habe ich jeden Tag mit einem knappen Dutzend Menschen zu tun, die eine Produktfälschung bezahlt haben, was mit Sicherheit nicht passieren würde, wenn diese sich besser über die Herkunft erkundigt hätten - gerade da könnte es unheimlich helfen, wenn signierte Dateien eher die Regel als die Ausnahme wären!

Und zu guter letzt soll es ja noch Leute geben, die rein zum Spaß programmieren und somit Deinen "spätestens"-Zeitpunkt nicht erreichen.

Moin, moin,

Wie ist das eigentlich: Wenn ich neue Programmversionen herausgebe.
Muß für die dann jedesmal ein neues Zertifikat beantragt werden?

Grüße // Martin

Quatsch! Arrogant sollte das nicht klingen. Aber stell Dir mal vor, wenn es andersrum wäre: Ein anderer Global-Player (laß es Oracle oder SAP sein) verlangt von Microsoft, daß die das Betriebssystem für die Software lizenzieren - so nach dem Motto: "Windows Vista ist certified for SAP" oder "SAP Ready". Was meinste, was MS dazu sagen würde? Die wären dann genauso "arrogant".

Dagegen habe ich nichts - doch es sollte bezahlbar bleiben. Nicht jeder kleine Hobby-Programmierer kann mal so eben 500 Euronen hinknallen. Stell' Dir vor, wie arm unsere Softwarelandschaft wäre ohne die ganzen kleinen Tools, die das (IT)Leben so erfreulich machen? Und spätestens wenn MS mir noch mehr Steine in den Weg legt, damit meine Software läuft ohne das der Benutzer irgendwelche Klick-Orgien machen muß, höre ich mit Free- und Shareware auf. Ich kann dem Benutzer ja schlecht in der Doku empfehlen, daß er alle Sicherheitsriegel von Vista öffnen soll...

Zum Glück nicht. Du musst Deine neuen Programmdateien dann lediglich mit Deinem bestehenden Zertifikat neu signieren. Das kannst Du beliebig oft wiederholen.

gute frage ist ein Zitat von dir.

Ich erwarte ein Betriebsystem und alles was ich brauche um damit richtig arbeiten zu können. Patch und Updates sind doch auch kostenlos warum also die Zertifikate nicht? Das gehört doch quasi zum Produkt dazu.

Das habe ich nicht gesagt ich werde nur nicht gerne abgezockt.

Ok, da bin ich ganz Deiner Meinung! Nur gegen das "ist nur sinnvoll um Microsofts Taschen zu füllen" hab ich etwas

Was mir dazu gerade noch einfällt: wenn man mit seinem Personalausweis Heise an nem Messestand besucht, kann man dort seinen PGP-Key von Heise signieren lassen, was wie ich finde ein gutes Beispiel dafür ist, wie seriöse Signierung auch kostenlos oder zumindest günstig stattfinden kann.
Sowas ähnliches für Entwickler, die Privatpersonen sind, wäre sicherlich nicht schlecht.

Wo übrigens noch viel mehr "abgezockt" wird: für Symbian oder Windows Mobile muss man jede Signatur einzeln bezahlen! für den Authenticode-Windows-normal-Jahrespreis bekommt man da gerade mal 10 Signaturen, ist nicht viel mit Ausprobieren.

Hm wenn ich dass so verfolge, dann warte ich auf "Delphi für Wine"... // Grüße // Martin

Gibt es für Dich, siehe erster Post im Thread (von Daniel). Wenn Du aber Deine Anwendung weitergeben willst, dann ist die nicht mehr für Dich sondern für andere. Und Microsoft macht die Zertifikate nicht selbst, da gibt es eine Menge anderer Anbieter. Somit können die Dir keine kostenfrei ausstellen

Egal, ich sehe, dass Du der "Geiz ist geil"-Meinung nach läufst, die hier gar nicht passt. Somit wirst Du auf Deinem Standpunkt bleiben und ich auf meinem.

......

So eine Zertifizierung gibt es. Jedoch Testet (i.d.R.) Oracle bzw. SAP selbst ob ihre (aktuellen) Versionen unter den neuen Windows-Versionen laufen und gibt diese erst danach frei.

Hanebüchend....

hier werden Zertifikate (für Signierung) mit dem Label "certified for" verwechselt. Bitte bitte informiert Euch doch mal vorher.

Ein Zertifikat, dass auf eine Person oder eine Firma/Organisation ausgestellt ist, stellt praktisch die digitale Identität dar. Wenn diese Person Programme schreibt, kann das Programm mit dem Zertifikat unterschrieben werden und ist somit dem Unterschreiber eindeutig zuzuordnen. Wenn das Zertifikat von einem der großen Anbieter ausgetstellt wurde, kann jedes Windows überprüfen, ob das Programm wirklich von dem Aussteller kommt und ob das Programm unverändert ist(!), also niemand falschen Programmcode eingeschmuggelt hat.

Wie oft ladet Ihr Programme von irgendeiner Webseite runter und habt keine Möglichkeit zu kontrollieren, ob das wirklich die Software ist, die der Webseiten-Inhaber Euch zur Verfügung stellen wollte? Trotzdem installiert Ihr die Software einfach, womöglich noch mit Adminrechten. Dass vielleicht ein Hacker schon längst das Programm ausgetauscht hat gegen einen Virus, Trojaner, ... bekommt Ihr gar nicht mit. Webserver-Hacks sind heute so alltäglich wie Verkehrsunfälle, selbst den ganz Großen passiert sowas.

Im Besten Fall würde man den Namen des Signierers mit dem DENIC-Eintrag der Domain vergleichen, dann kann man sicher sein, dass das Programm aus der angegebenen Quelle stammt. Ob man dieser Quelle vertraut, sei jedem selbst überlassen. Und ja, ich bin paranoid. Aber nur weil ich paranoid bin, heißt das noch lange nicht, dass SIE nicht trotzdem hinter mir her sind.

Ein Label "Certified for..." heißt dagegen, dass die Software einer Reihe von Tests unterzogen wurde und diese bestanden hat. Ohne jeden Zusammenhang mit (Signatur-)Zertifikaten.

Wartet einfach nur mal ein paar Jahre ab, dann wird eh jeder Internet-Bürger ein Zertifikat haben, für Online-Banking, für Behördengänge, für Mailversand/-empfang. Dann kann man damit halt auch Programme signieren.

Und wenn sich jemand wie im Orginalposting beschrieben, eine eigene Zertifizierungsstelle (Root-Zertifikat) erzeugt und damit seine Programme unterschreibt, ist das für den Privatgebrauch völlig ausreichend. Den öffentlichen Zertifikatsteil des Root-zertifikats (ohne den Private Key!!!) kann man ja an Freunde und Bekannte mitverteilen, dann können die alle weiteren Programmupdates überprüfen.