Zertifikate und Signierung von Freeware?
 

Hallo,

ich schreibe immer wieder kleine Tools, die ich dann als Freeware bereitstelle.
Jetzt verunsichert der Chromebrowser beispielsweise einen Interessenten, wenn er den Download zunächst als "möglicherweise schädlich" kennzeichnet. Auch Windows meckert rum, das Programm könne schädlich sein.

Schlecht für's Image, wenn man es doch grundsätzlich gut meint. Vor Jahren war das kein Problem.

Also bin ich auf die Signierung mit Zertifikaten gekommen und habe dazu schon einiges im Forum gelesen - und gelernt, daß die richtig Geld kosten können.
Toll, und dann mache ich mit meinen Tools nur Verluste, wenn ich sie für lau bereitstelle. Macht keinen Spaß mehr.

Ich habe bemerkt, daß ich ja ein Zertifikat habe. Hat mich nichts gekostet -- das Elster-Zertifikat.

Könnte ich dieses Zertifikat nicht zur Signierung verwenden? Hat das mal jemand probiert?

AW: Zertifikate und Signierung von Freeware?
 

Nein.

Du kannst dir auch die Eigenschaften des Zertifikats anschauen und sehen wofür du das verwenden kannst. Definitiv nicht zum signieren von Anwendungen.

AW: Zertifikate und Signierung von Freeware?
 

Und wen müsste Microsoft dem Ausgeber für diese Zwecke ja vertrauen.

AW: Zertifikate und Signierung von Freeware?
 

Ich wollte mir letztens auch ein Zertifikat besorgen. Erst einmal für ein Jahr. Schon die Vorbereitung ist so stressig und kompliziert, dass ich es sofort gelassen habe.
Ein günstiges kostet für ein Jahr mit allen Zusatzkosten wie Notar etwa 150€ bis 200€.

AW: Zertifikate und Signierung von Freeware?
 

Und um sich um diesen Kram nicht kümmern zu müssen wurden App Stores erfunden.

AW: Zertifikate und Signierung von Freeware?
 

Codesigning Zertifikate z.B. von Sectigo (früher Comodo) gibt es schon für 99 Euro pro Jahr (all inclusive).

Ich überlege daher auch schon, für die Signierung von Installationsprogrammen mir eines zuzulegen. Auch wenn ich nur Quelltexte ausliefere, der Download und Start des Installationsprogramms sollte niemanden unnötig verunsichern.

Wenn ich meine mit Innosetup lokal erstellten Installationsprogramme starte, gibt Windows keine Warnmeldungen aus (ausser, dass der Herausgeber unbekannt ist). Auf dem Kundenrechner mag das ganz anders sein, deshalb sollte man das sowieso ausgiebig mit verschiedenen Browsern und Betriebssystemen testen.

AW: Zertifikate und Signierung von Freeware?
 

Mir wird die Non-EV-Variante (Code Signing) für 167 Dollar im Jahr angezeigt.
Und wenn ich weiter auf Buy now klicke sind es plötzlich für 1 Jahr 179 Dollar.

99€ steht da nirgendwo und ein ähnlicher Dollarpreis auch nicht.

AW: Zertifikate und Signierung von Freeware?
 

Hm. Mal ein Gedanke. Wäre ein Gemeinschaftszertifikat möglich? Also ein Zertifikat welches von mehreren Entwicklern genutzt werden kann? Wenn ja hätte ich eine Idee, die man aber noch ausarbeiten müsste und mehrer Personen müssten mitspielen.

AW: Zertifikate und Signierung von Freeware?
 

Will keine Werbung machen, aber über Reseller wie k-software kann man schon für unter 90 USD an eines kommen: https://www.ksoftware.net/code-signing-certificates/
Und: Die sind Reseller für Sectigo

AW: Zertifikate und Signierung von Freeware?
 

Beim Googlen nach Sectigo und Codesign findet man diesen deutschen Reseller: psw-group.de

Mit diesem (für 99 Euro) hatte ich gute Erfahrungen mit einem Codesign Zertifikat für einen Unternehmenskunden.

AW: Zertifikate und Signierung von Freeware?
 

Du kannst dir ein Zertifikat holen, womit du wiederum Zertifikate signieren kannst.

Der Aussteller vertraut dir (dass du das vertrauensvoll machst) und darum auch denen, denen du vertraust. So funktioniert die Zertifikat-Welt.

Aber wenn der Aussteller dir nicht mehr vertraut (weil du zu leichtfertig vertraust), dann entzieht er dir das Vertrauen und somit auch allen, denen du vertraut hast.

In der Theorie geht das ...

AW: Zertifikate und Signierung von Freeware?
 

Interessant. Wäre zumindest mutig, man muss sich ja nicht umsonst eine Authentisierung durchführen (Ausweis und Versorgerrechnung an die Anschrift im Ausweis oder halt Auszug Handelsregister o.ä.). Dann stünde diejenige, die das macht mit ihrem "guten Namen" dafür gerade. Es müsste dann schon eine Organisationen (Verein? GbR?) sein, die das Zertifikat beantragt. Geht Deine Idee in diese Richtung?

AW: Zertifikate und Signierung von Freeware?
 

Diese (intermediate) sind aber bedeutend teuerer und ggf. an weitere Bedingungen geknüpft.

AW: Zertifikate und Signierung von Freeware?
 

Er hatte nicht nach den Kosten gefragt, allerdings sollte das klar sein, dass so ein Zertifikat nicht für kleines Geld zu haben ist, denn dann würde ein jeder sich so eins holen und lustig drauf los vertrauen.

Es ist aber immer wieder schön zu sehen, wenn das jemand selber machen möchte, weil er das ja viel billiger hinbekommt. Also einfach machen lassen.

Dann warten wir eine gewisse Zeit ab und schauen uns mal die Bilanz an. Dann stellen wir fest, dass die Preise meistens gar nicht so weit auseinanderliegen, oder die Unternehmung in der Versenkung entschwunden ist.

AW: Zertifikate und Signierung von Freeware?
 

Ihr dürft die überhöhten Notarkosten nicht vergessen.

AW: Zertifikate und Signierung von Freeware?
 

Ja. Das Problem ist die erste vertrauenswürdige Person in der Kette zu finden, die bereit ist für alle anderen zu bürgen.

AW: Zertifikate und Signierung von Freeware?
 

Ich fasse mal kurz zusammen, damit Windows nicht moppert "nicht vertrauenswürdige Quelle" soll man für seine Freeware mal so eben 100€ in die Hand nehmen, oder aber meine Software in ein Appstore stecken (lassen).

Wenn jemand meine Software nutzen will, dann darf er das gerne tun, aber immer nur "as is".
Wenn ihm das so nicht passt, dann muß er es eben lassen.

Meine Meinung.

Gruß
K-H

AW: Zertifikate und Signierung von Freeware?
 

Über den Link https://www.digicert.com/friends/sysdev/ bekommst Du bei DigiCert ein Zertifikat für 74 USD/Jahr. Diesen Link bekommt man öfter mal von Microsoft "zugesteckt", um Einsteigern diese Thematik zu erleichtern.

AW: Zertifikate und Signierung von Freeware?
 

Auf der Seite sehe ich nicht, wie man sich authentifizieren kann. Kannst du da weitere Infos geben?

AW: Zertifikate und Signierung von Freeware?
 

Da ich auch gerade nach einer Möglichkeit der Code-Signierung schaue habe ich mal ein Zertifikat beantragt. Benötigt werden folgende Dinge:

1.) Kopie zum Beispiel des Personalausweises oder Führerschein
2.) UND Kopie eines offiziellen Schreibens, aus welchem die Korrektheit der Adresse hervorgeht (z.B. Stromrechnung)
3.) Video-Anruf über Skype zur Identifizierung und Unterzeichnung des Zertifikats

Punkte 1 und 2 sind erledigt. Jetzt warte ich auf Rückmeldung, damit ich den Videoanruf machen kann. Falls gewünscht, werde ich nochmals berichten.

AW: Zertifikate und Signierung von Freeware?
 

Machst Du das als Privatperson, oder Firma ?
Bei letzerem wird normalerweise auch DUNS abgefragt, und evtl. andere ´Nachweise.

AW: Zertifikate und Signierung von Freeware?
 

Eigentlich schade, daß embarcadero keine Zertifikate im Angebot hat, weil ja jeder Entwickler irgendwann über dieses Thema stolpert. :roll:

AW: Zertifikate und Signierung von Freeware?
 

Was genau für ein Zertifikat benötige ich denn, ich habe so viele unterschiedliche Produkte und Preise entdeckt!?
Auf trustico.de habe ich zB "Positive SSL" für 19.70€ pro Jahr entdeckt - würde das nicht reichen?

Und dann, wenn ich also ein Zertifikat erworben habe, wie bekomme ich das an meine Anwendung ran - welches Tool nehme ich dafür?

AW: Zertifikate und Signierung von Freeware?
 

Das ist ein reines SSL Zertifikat. Für das Signieren einer Anwendung funktioniert das leider nicht.

AW: Zertifikate und Signierung von Freeware?
 

Du musst das Signtool mit passenden Parametern aufrufen:

https://docs.microsoft.com/de-de/dot...s/signtool-exe

Hier würde ich nur noch SHA256 nehmen und SHA1 (wegen XP-Support) gar nicht mehr machen.

AW: Zertifikate und Signierung von Freeware?
 

Kann man damit auch Kommandozeilentools signieren, ohne daß ihre Startfähigkeit eingeschränkt wird?

AW: Zertifikate und Signierung von Freeware?
 

Für manuelles Signing verwende ich k-sign von K Software, da ich von denen auch das Zertifikat habe (ist aber kein Muss). Damit kann man auch ein Dual-Signing machen und neuere und ältere Windows-Versionen bedienen.

AW: Zertifikate und Signierung von Freeware?
 

Eben habe ich CAcert.org entdeckt - kostenlose Zertifikate...
https://de.wikipedia.org/wiki/CAcert

Hat jemand Erfahrungen, was das Codesigning mit Zertifikaten von CAcert angeht?

AW: Zertifikate und Signierung von Freeware?
 

Das kann die MS-Exe auch. Jedoch haben wir mittlerweile die SHA1-Signierung rausgeschmissen, da wir XP nicht mehr bedienen (Hat AFAIK auch Darstellungsfehler darunter).

AW: Zertifikate und Signierung von Freeware?
 

Man kann unter bestimmten Voraussetzungen auch CACert Codesigning Zertifikate erstellen ...

https://de.wikipedia.org/wiki/CAcert...%C3%BCrdigkeit

AW: Zertifikate und Signierung von Freeware?
 

Also wenn es nicht in Windows installiert ist, dann ist es für einen Sinnlos.
Man kann wohl schlecht sagen: "Hey, installier erstmal das Zertifikat von hier ..".

AW: Zertifikate und Signierung von Freeware?
 

Bist du Dir da so sicher? Ich signiere seit Anfang diesen Jahres mit meinem Elster-Zertifikat und es klappt problemlos. Im Eigenschaften-Dialog tauchen die gewünschten 6 Reiter (und nicht nur 5) auf. Unter dem neuen Reiter "Digitale Signaturen" steht: "Die digitale Signatur ist gültig" - und damit müsste doch zumnindest Windows zufrieden sein.

Die bekannten Nachteile sind:

- Der "Zertifikatsinhaber" ist eine anonyme Nummer (10 stellig) und nicht mein Name
- Im Feld "E-Mail" steht "Nicht verfügbar"

Wie sieht es bei euch aus? Mehr noch als die 100 Euro/Jahr war ich das komplizierte Bestellverfahren leid. Das Elster-Zertifikat ist afaik 5 Jahre gültig und man hat es ja sowieso. Ich habe die .pfx Datei sogar von einem ganz anderen Rechner kopiert weil die Buchhaltung bei mir nicht auf dem Entwicklungs-PC läuft.

AW: Zertifikate und Signierung von Freeware?
 

Damit mag Windows vielleicht zufrieden sein, ich als installierender Anwender aber sicher nicht. So ein Elster-Zertifikat kann ja jeder haben und ich kann ja nicht unterscheiden, ob das nun dein Zertifikat ist oder das von dem bösen Hacker, der mir seinen Trojaner unterschieben will.

AW: Zertifikate und Signierung von Freeware?
 

Na ja, ein bisschen mehr ist es schon. Immerhin musst Du für Elster registriert sein und zumindest einmal gegenüber dem FA verifiziert haben das Du auch tatsächlich Du bist. [1]

Sicherer als mit einem Elster Zertifikat bist Du bei einem komerziellen Zertifikat auch nicht wirklich. Letztendlich ist das immer eine Frage des Vertrauens.

Allerdings glaube ich nicht das sich ein fremdes Windows mit einem Zertifikat zufriedengibt welches nur auf meinem Rechner als vertrauenswürdig ausgewiesen (im Zertifikatssspeicher vorhanden) ist, auf einem anderen Rechner aber nicht im Zertifikatsspeicher ist.

Cu Ha-Jö

[1] https://www.elster.de/eportal/regist...swahl/hinweis2

AW: Zertifikate und Signierung von Freeware?
 

Wenn Windows nicht mehr "Jammert" hat es für 99% der Einsatzfälle seinen Zweck erfüllt.
ob das aber von Elster so gedacht war?
Ist etwas schönes, das damit jeder seine Exe signieren kann ohne viel Geld auszugeben (auch wenn es die o.g. Einschränkungen gibt)

Aber ob das von Erfinder so gewollt war oder einfach nur "lass wir mal alles zu. Mal schauen welche Nutzung uns noch einfällt"

AW: Zertifikate und Signierung von Freeware?
 

Da fragt man sich sogar, warum bei Erzeugung dieses Elster Zertifikates nicht sowieso der Name des Anforderers
reingeschrieben wird. Das Finanzamt hat den sowieso. Sollte vom Aufwand her auch nicht zu hoch sein.

Oder beruft sich da mal wieder jemand auf den Datenschutz?

AW: Zertifikate und Signierung von Freeware?
 

Gut, wenn jemand Uwe Raabe nicht vertraut, wird er auch keine meiner Programme installieren. Somit ist mein Zertifikat nicht relevant. Im anderen Fall aber schon. Immerhin steht in dem Zertifikat mein Name und meine Email und es ist von einer allgemein anerkannten Stelle ausgestellt worden. Damit kann sich nicht mal eben jemand seine Programme für meine ausgeben indem er sich ein Zertifikat erstellen lässt, in dem sowohl mein Name als auch meine Email steht und das von einer vertrauenswürdigen Stelle kommt.

Ein Elster-Zertifikat mit einer anonymen Nummer ist aber niemandem direkt zuzuordnen (außer man ist das Finanzamt oder hat eine Draht dahin s.u). Insbesondere kann ich als Benutzer nicht unterscheiden, ob das Programm von Heinz Müller dem Guten oder Fritz Meyer dem Bösen kommt. Damit ist das Zertifikat für diesen Fall vollkommen nutzlos. Helfen tut es wenn überhaupt nur bei denen die sich gar nicht ansehen was sie da installieren und das macht es eigentlich ja noch schlimmer.

Man muss ja auch mal den Zweck eines Elster-Zertifikats hervorheben: Es dient dazu, den Einreicher z.B. einer Umsatzsteuervoranmeldung gegenüber dem Finanzamt zu legitimieren und die übertragenen Daten dem passenden Steuerkonto zuzuordnen. Auch andere eGovernment Dienste unterstützen es, wobei sie sich dann die nötigen Daten von der Finanzverwaltung holen - erst damit erfährt die Stelle den Namen für das Zertifikat (wenn der Nutzer vorher eingewilligt hat). Für eine Legitimierung gegenüber anderen taugt es erstmal nicht.

Das Finanzamt stellt in der Regel jedem Antragsteller ein solches Zertifikat aus - auch Betrügern, Steuerhinterziehern und Trojaner-Programmierern, solange sie eine Steuernummer haben.

Ich würde jedenfalls keine Software installieren, die nur mit einem solchen Zertifikat daher kommt.

AW: Zertifikate und Signierung von Freeware?
 

Ich glaube zwar das das eine Diskussion um des Kaisers Bart ist [1] und wir prinzipiell der gleichen Meinung sind aber sei es drum.

Das ein Name und eine EMail Adresse im Zertifikat steht macht nichts besser oder schlechter. Erst wenn man das tatsächlich selbst überprüft, also versucht den Herausgeber zu kontaktieren, wird das unter Umständen wichtig. Im Grunde das Equivalent zu Schrödingers Katze, so lange niemand prüft kann da drin stehen was will.

Das kannst Du auch bei einem anderen Zertifikat nicht wirklich. Der Unterschied liegt nicht darin wer in einem Zertifikat ausgewiesen ist sondern darin wer zertifiziert. Wenn es (viele) Fälle gibt in denen eine Zertifizierungstelle "einen Bösen" zertifiziert dann verliert die Zertifizierungstelle vertrauen und die meisten werden dieser Stelle nicht mehr vertrauen.

Du argumentierst im Grunde damit das der Weg des OP, wenn er funktionieren würde, dazu führen würde früher oder später das Vertrauen in diese Art von Zertifikaten verloren ginge. Das ist wohl richtig und auch im Interesse der meisten hier, aber es beantwortet nicht die Frage des OP.

Wenn man den ganzen Thread verfolgt hat der OP lediglich einen Weg gesucht

diese Meldungen zu unterdrücken und diesen Weg meint er für sich gefunden zu haben.

[Quote]Helfen tut es wenn überhaupt nur bei denen die sich gar nicht ansehen was sie da installieren und das macht es eigentlich ja noch schlimmer.[/Qute]

Schlimmer für den OP oder schlimmer für die meisten anderen ?

Aber ich behaupte, das dass im konkreten Fall gar keine große Rolle spielen würde. Man müsste sich natürlich die Distributionswege des OP ansehen, aber wenn er seine Freeware auf seiner eigenen Website anbietet, mit und/oder ohne Code, dann nimmt die ungewöhnliche Zertifizierung ja lediglich die ansonsten wahrscheinlich auf seiner Website zu findenden Bitte vorweg sich nicht an den Meldungen zu stören.

Kein Zertifikat tut das, das Vertrauen liegt immer in der Zertifizierungsstelle.

Der Prozess nachzuweisen wer man ist, ist aber durchaus ähnlich wie bei anderen Zertifizierungstellen auch.

Ich glaube nicht das es jemanden gibt der ernsthaft darüber zweifelt das man mit genügend krimineller Energie eine GmbH, LTD oder was auch immer Gesellschaft, wo auch immer (Code Signing ist ja kein Urdeutsche Angelegenheit) angemeldet bekommt, zumal eine Reihe von Ländern deutlich niedrigere Standards haben als wir, und sich so ein Zertifikat zum Code-Signing erschwindeln kann.

Ich auch nicht, dann lieber gleich ohne, aber das war nicht die Frage des OP.

cu Ha-Joe

[1] ich bin mir ziemlich sicher das das Ausführen einer einer Exe mit einem Elster Zertifikat nur auf dem eigenen Rechner nicht zu einer Fehlermeldung führt, da dieser Rechner das Zertifikat kennt. Aber vielleicht kann der OP das ja mal prüfen.

AW: Zertifikate und Signierung von Freeware?
 

Wieso soll denn der Rechner das Zertifikat kennen? Da Elster heute eine reine Browseranwendung ist, wird lokal nichts installiert und auch kein Zertifikat im Zertifikatsspeicher abgelegt.

// EDIT:
Also bei mir kann das Zertifikat auf dem lokalen PC nicht verifiziert werden.

AW: Zertifikate und Signierung von Freeware?
 

Das Zertifikat selber muß auch nicht unbedingt direkt bekannt sein.
Es reicht auch, wenn ein zugrundeliegendes Zertifikat dem Windows bekannt wäre.

Ist schließlich bei den normalen Code-Signing-Zertifikaten auch nicht anders, wo ebenfalls Windows "dein" Zertifikat selbst garnicht kennt, aber dort vertraut es dann eben der Zertifikatsaussteller.
OK, abgesehn von den Selbst-Signierten, welche man wirklich direkt bekannt macht.