Code Signing - Wie mache ich es richtig ?
 

Hallo zusammen,

ich habe mich im Internet über Code-Signing informiert. Die Preise sind ja teilweise ganz schön happig. Ich habe aber noch ein paar Fragen dazu :

1. Mit welchem Anbieter habt Ihr bis jetzt die bessere Erfahrung gemacht ?
2. Welchen Anbieter würdet Ihr mir empfehlen, wenn ich eigene Programme und für Kundenaufträge Programme signieren möchte ?
3. Würdet Ihr dem Kunden die Kosten für die Signierung des Programms auf's Auge drücken, wenn er eine haben möchte, oder geht das auch über das eigene Zertifikat ?
4. Signiert Ihr alle Programme die Ihr selber erstellt oder für einen Kundenauftrag ?

Ansonsten plaudert doch bitte ein bisschen aus dem Nähkästchen, was Ihr bis jetzt für Erfahrungen mit Code-Signing gemacht habt.

AW: Code Signing - Wie mache ich es richtig ?
 

Hallo,

ganz kurz:

1. Wir haben ein Zertifikat von VeriSign und hatten bisher keine größeren Probleme. Allerdings haben wir auch nie einen anderen Anbieter ausprobiert. AFAIK kann man nur mit VeriSign-Zertifikaten auch Treiber signieren (WHQL) und sich im Microsoft WinQual-Portal anmelden.
2. siehe oben.
3. Die Frage stellt sich für uns nicht, da wir die Software direkt an Endkunden vertreiben. Wenn der Kunde in Deinem Fall die Software also in seinem Namen signieren möchte, so brauch er ein eigenes Zertifikat. Der Name desjenigen, auf den das Zertifikat ausgestellt wurde, erscheint zumindest ab Windows Vista im UAC-Dialog.
4. Wir signieren grundsätzlich jede Datei die binären Code enthält (DLL, EXE, OCX). Das ist Voraussetzung für das Windows Logo-Programm, an dem einige unserer Anwendungen teilnehmen. Das Paketierungstool "InstallShield" bietet die Möglichkeit die Referenzdaten vor dem Erzeugen eines Setups automatisch zu signieren.

Ansonsten ist zu beachten:

Es gibt die Möglichkeit Dateien mit und ohne Timestamp zu signieren. Da die Entwicklungsrechner und Buildmaschinen hier grundsätzlich nicht ans Internet angeschlossen sind, haben wir zunächst die Signierung ohne Timestamp vorgenommen. Dies führt jedoch dazu, dass die Signierung ungültig wird, sobald das Ablaufdatum des Zertifikats gekommen ist.

Signierst Du hingegen mit Timestamp, dann bleibt die Signatur auch über das Ablaufdatum hinaus gültig.

Grüße
Stefan

AW: Code Signing - Wie mache ich es richtig ?
 

@Dawn du hast es perfekt beschrieben.

Wir nutzen auch Verisign und für unwichtige Sachen teilweise Comodo.

Diesen Beitrag möchte ich euch noch ans Herz legen:
http://www.delphipraxis.net/151308-c...atzfragen.html

AW: Code Signing - Wie mache ich es richtig ?
 

Günstige Zertifikate gibt es z.B. bei k-software, mit denen ich eigentlich ganz gute Erfahrungen gemacht habe. Das sind auch Comodo Zertifikate, die für den normalen Gebrauch sicher ausreichen sollten.

Ansonsten kann ich den Ausführungen von Dawn87 nichts hinzufügen :thumb:, möchte aber den Hinweis auf den TimeStamp unbedingt nochmal hervorheben. Da mein Build-Server die Setups auch gleich hochlädt, ist das mit dem Internet-Zugang hier auch kein Problem.

Man sollte die Wirkung einer zertifizierten Software nicht unterschätzen. Es ist immerhin der erste Eindruck nach dem Download.

AW: Code Signing - Wie mache ich es richtig ?
 

Hallo zusammen,

danke erstmal für eure Antworten.

Diesen Beitrag habe ich gelesen. War auch recht informativ.

Die Preise von k-software sind ganz gut zum ausprobieren und testen. Das werde ich in den nächsten Tagen mal machen.

AW: Code Signing - Wie mache ich es richtig ?
 

Wie auch schon in dem genannten Thread mehrfach erwähnt kannst Du bei Tucows bei identischer(!) Leistung noch mehr Geld sparen.

AW: Code Signing - Wie mache ich es richtig ?
 

Ja, nur die Registrierung in der Webseite funktioniert nicht wirklich gut.
Ich kann z.B. Software UpToDate dort nicht eintragen :-(

Mehrfach versucht - die Webseite sagt mein Download ist nicht verfügbar.
Kann ich nicht glauben, da ständig die Software heruntergeladen wird.

AW: Code Signing - Wie mache ich es richtig ?
 

Und das hat jetzt genau was mit einem Zertifikat zu tun? :gruebel:

AW: Code Signing - Wie mache ich es richtig ?
 

Hi,

schon mal an startssl.com gedacht? Hatte dazu mal nen Tutorial geschrieben Klick .... Habe mit denen bisher nur positive Erfahrungen gemacht (verwende inzwischen auch ein Wildcard Domain Zertifikat). Die Kosten belaufen sich insgesamt auf 60 EUR.

Viele Grüße ...

AW: Code Signing - Wie mache ich es richtig ?
 

Wenn man ein Zertifikat von z.B. StartSSL erwirbt, hat es eine Laufzeit von 2 Jahren. Was passiert denn nach den 2 Jahren? Kann man so ein Zertifikat automatisch verlängern lassen?

AW: Code Signing - Wie mache ich es richtig ?
 

Wenn ich das ganze richtig verstanden habe, dann bleibt das Zertifikat nach 2 Jahren erhalten, wenn Du die Software mit einem Timestamp zetifiziert hast und dieser Timestamp vor dem Ablaufdatum ist.

AW: Code Signing - Wie mache ich es richtig ?
 

Was erhalten (bzw. besser: gültig) bleibt, sind die Signaturen, die innerhalb der zwei Jahre mit dem Zertifikat und Timestamping erstellt wurden.

Das Zertifikat "bleibt erhalten" (klar, die Datei wird nicht Remote von Deinem Rechner gelöscht), kann aber nicht mehr zum Signieren verwendet werden.

Verlängern lassen kann man ein Zertifikat selber nicht - das Datum ist da mit drin - wohl aber den Vertrag mit dem Anbieter. Dann bekommt man ein neues Zertifikat mit neuem Gültigkeitszeitraum.

Aus dem Grund macht es unserer Erfahrung nach Sinn, Skripte zum Signieren das Quell-Zertifikat per Subject und nicht per Serial oder Hash auswählen zu lassen, sonst muss man alle 1 bzw. 3 Jahre die Skripte anpassen bzw. übersieht je nach Fehlerbehandlung, dass nicht mehr signiert wird.