Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Habe ich das jetzt richtig verstanden dass ab Mai 2023 auch die einfacheren, "günstigen" OV-Zertifikate einen USB-Dongle bei der Signierung einer exe brauchen? Bei den EV-Zertifikaten ist das schon länger Standard, für mein Build-Script war das aber ein No-go, da ich dabei nicht ein USB-Dongle an den Build-Server hängen kann, bzw. keine manuelle Kontrolle über den Build-Prozess habe. Daher benutze ich ein Software-basiertes OV-Zertifikat (Organization Validation), zwar mit geringerer Vertrauenswürdigkeit aber für mein Hobby-Projekt ausreichend.

https://cabforum.org/2022/04/06/ball...-requirements/
https://sectigo.com/ssl-certificates-tls/code-signing

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Vincent Parret hatte da mal was zu geschrieben: Code Signing with USB Tokens

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

JA, laut Mitteilung meines Zertifizierers (Quelle: PSW Group). Die Fristen der Zertifizierungsstellen:

• GlobalSign: Neue Anforderungen ab dem 24. April 2023
• Sectigo: Neue Anforderungen ab dem 08. Mai 2023
• DigiCert: Neue Anforderungen ab dem 01. Juni 2023

Ab den genannten Fristen entfällt die Wahlmöglichkeit und jedes OV Code Signing-Zertifikat muss auf einem Hardware-Token oder HSM ausgestellt werden.

Empfehlung: Sich noch ein Zertifikat mit 3 Jahren Laufzeit ausstellen lassen. Bestehende Zertifikate behalten ihre Gültigkeit. Alle Angaben ohne Gewähr!

Bis bald...
Thomas

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Ja, das gilt demnächst. Für alle Zertifikate die davor ausgestellt werden, gilt weiterhin die alte Regel.

(Quelle: PSW Group)

Nachtrag: neben einem Token ist auch ein Zertifikat auf einem HSM möglich.

Die Kosten für den Hardware-Token belaufen sich - abhängig von der Zertifizierungsstelle - auf etwa 150€. (Quelle: PSW Group)

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Danke an alle für die Bestätigung. Die Kosten finde ich jetzt auch nicht so dramatisch, nur der Aufwand für die Signierung steigt schon an. Noch habe ich da 2 Jahre Zeit, solange mein Zertifikat noch gültig ist. Danach oder eher vorher werde ich mich damit aber dann mal befassen müssen.

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Wer sein Code-Signing Zertifikat (OV) verlängern muss, wird wenig Freude an den neuen Preisen haben. Ein Zertifikat, das vor 2 Jahren mit einer Laufzeit für 2 Jahre noch 179 EUR gekostet hat, steht aktuell, noch ohne Extrakosten für das Token, für 649 EUR in der Preisliste meines Anbieters. Für 3 Jahre mit Token werden es wahrscheinlich knapp 1000 EUR sein. Preisvergleiche könnten sich wieder lohnen.

Bis bald...
Thomas

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Haben das jetzt eigentlich die Zertifizierungsaussteller unter sich ausgemacht oder woher kommt die Anforderung ? Es klingt ja schon fast so als wäre es eine gesetzliche Anforderung. Welches Recht ? US oder EU?

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Richtig, das haben die wohl mehr oder weniger unter sich ausgemacht.
https://cabforum.org/baseline-requir...urrent-Version

Ganz so als ob sich alle Bäcker geeinigt und selbstverpflichtet haben, jetzt nur noch Brötchen in der Goldfolientüte verkaufen zu dürfen :-D

AW: Signierung der exe mit AuthentiCode demnächst nur noch mit Hardware-Token?
 

Die Forderung nach mehr Sicherheit in Form von Hardware kann man ja nachvollziehen. Es sind wohl schon Zertifikate bei Nvidia gestohlen worden, womit dann Trojaner und Viren als vertrauenswürdig zum Download angeboten wurden. Die neuen Preise finde ich aber auch überzogen. Vor allem Kleinunternehmer und OpenSource-Entwickler dürften daran zu knabbern haben.