Unbekannter Herausgeber
 

Hallo liebes Forum,

sobald man ein eigens erstelltes Programm installieren will (z B mit Inno Setup) kommt bei Windows 11 bekanntlich die Meldung: "Möchten Sie diese Application von einem unbekannten Herausgeber..." Wie kann ich an dieser Stelle meine kleine Firma angeben?

Ich habe zu dem Thema bei Google nichts gefunden, vielleicht habe ich auch die falschen Suchbegriffe verwendet.

Viele Grüße und Danke für Antworten.

AW: Unbekannter Herausgeber
 

Du benötigst ein Zertifikat, mit welchem du deine Programme signieren kannst (kostet Geld). Es gibt dazu viele Meldungen hier in DP.
Suche nach "Code Signing Certificate"

AW: Unbekannter Herausgeber
 

Es geht auch kostenlos, mit selbsterstellten Zertifikaten,
aber dann muß man das Zerzifikat dann auch überall, zur Prüfung, installieren, wo dieses Setup/EXE ausgeführt werden soll.

Das Kaufen ist dafür, dass man sein Zertifikat von dem Zertifikat eines großen Anbieters abgeleitet bekommt, welches bereits überall vorinstalliert ist.

AW: Unbekannter Herausgeber
 

Das Thema ist CodeSignatur, dazu gibt es hier ein deutschsprachiges Video:
https://www.youtube.com/watch?v=UhhaNX2zQwY

AW: Unbekannter Herausgeber
 

Sofern man seine Software nicht nur im Freundes- oder Bekanntenkreis verteilen möchte, wird man um gekaufte Zertifikate kaum herum kommen. Dadurch wird ja nur sichergestellt, dass die Software wirklich von "DelphiUser123" kommt, wenn die Software behauptet, dass sie von "DelphiUser123" kommt. Dadurch, dass man den "großen" Zertifikaten vertraut, ist das dann halbwegs "sicher".

Wenn man vorher ein vom "DelphiUser123" erstelltes Zertifikat installieren muss, damit die Behauptung "ich komme von DelphiUser123" als wahr angezeigt wird, dann ist der Zusatznutzen recht stark beschränkt. Und selbst wenn du mehrere Programme vertreiben willst, und dafür immer das gleiche Zertifikat nutzen willst (ist dann ja sinnvoll), so könnte ein Angreifer, der dein Setup um einen Trojaner ergänzt hat, immer noch hingehen und behaupten: Vertrau mir. Für dieses Setup brauchst du ein neues Zertifikat von mir ...

Ich habe im letzten halben Jahr auch danach gesucht. Problem war für mich, dass es bei den kostengünstigen Händlern (unter 100€/Jahr, z.B. comodo, k-Software) in letzter Zeit "Umstrukturierungen" gegeben hat, und dass die jetzt zwar in vielen Fällen das Geld eingesackt haben, dann aber nicht der Verifikationsprozess durchgeführt haben und folglich auch kein Zertifikat ausgestellt haben. Man hat für sein Geld also exakt nichts bekommen. Das habe ich dann lieber gelassen. Und grob 500€/Jahr bei anderen Anbietern ist mir der "Spaß" dann auch nicht wert für mein Hobby.

AW: Unbekannter Herausgeber
 

Aua. Aber das ist dann vermutlich ein EV (Extended Validation) Zertifikat mit Hardware Token. Die kosten von digicert anscheinend knapp 700€ für ein Jahr.

Ich verwende seit zwei Jahren Sectigo Zertifikate (99€ Brutto, Organization Validation, ohne Hardware Token). Damit gab es keine besonderen Hürden bei der Validierung durch eine externe Zertifizierungsstelle.

Ob ein Code Signing Zertifikat unbedingt notwendig ist, das ist eine andere Frage. Der Trend geht eher zu einer Erhöhung der Sicherheitsstandards (siehe Browserunterstützung für unverschlüsseltes HTTP).

AW: Unbekannter Herausgeber
 

Gerade wenn man das als Hobby betreibt und seine Software für wenig oder kein Geld unter die Leute bringen will bieten sich eigentlich auch App Stores an - Die sind ja durchaus auch erfunden worden, um eben dieses Problem zu lösen.

AW: Unbekannter Herausgeber
 

Wir benutzen auch ein Sectigo Zertifikat. Ist wirklich günstig und wir hatten noch nie Probleme damit.

AW: Unbekannter Herausgeber
 

Ne, nicht EV, sondern das einfache. Das kostet bei digicert auch schon knapp unter 500 Euro. Sectigo aktuell auch immerhin 160€/Jahr (für drei Jahre). Haben die die Preise erhöht, oder habe ich falsch geguckt? Bei den "Unter-100€"-Zertifikaten bzw- Resellern habe ich vermehrt negative Erfahrungen aus jüngerer Zeit gelesen. Da ich den Nutzen für meinen Fall auch nicht als so extrem ansehe, habe ich das Vorhaben dann erstmal nach hinten geschoben.

App Stores könnte ich mir mal anschauen, das ist tatsächlich auch ein "Issue" auf dem Github-Repo. Aber ob in meinem Fall der MS-Store (und der damit verbundene Aufwand) mir noch deutlich Mehrwert bringt, als es das listing bei Heise, Chip, Netzwelt, Computer-Bild etc. tut, wage ich einfach mal zu bezweifeln. ;-)

Aber geht ja nicht um mich hier. Ich wollte nur klarstellen, dass self-signing imho nur einen begrenzten Nutzen hat, wenn man ein "grünes Setup" für Windows haben will. Ob sich die Kosten für ein Zertifikat lohnen, muss man dann selbst wissen.

AW: Unbekannter Herausgeber
 

Würde über einen deutschen Vermittler kaufen. Da kannst du vorher anrufen und die Modalitäten der Validierung besprechen. Ich habe seit vielen Jahren gute Erfahrungen bei Code-Signing Zertifikaten mit der PSW Group gemacht.

Bis bald...
Thomas