PureBoard

Hallo in die Runde,

da Windows inzwischen Executables blockiert die kein Herstellerzertifikat haben,
wird unsignierte Software Laien und ängstliche Naturen wohl nicht mehr erreichen.

Gibt es schon jemand im Forum, der Software signiert? Wo, wie kann man das erwerben?
Oder geht das wie im Web auch mit kostenlosen Tools ala LetsEncrypt?

Ciao Dige

Versuchs mal damit: https://docs.microsoft.com/de-de/window ... dfrom=MSDN

Mal eine blöde Frage: Wenn jeder damit so einfach seine Software signieren kann, was soll die Signatur dann bringen, außer dass der eigene Name oder die Firma drin steht? Braucht man nicht erst ein verifiziertes Hersteller-Zertifikat, das auf einem Root-Zertifikat von Microsoft aufbaut, sodass die Kette geschlossen ist?

Naja, wenn man das Programm nur in der eigenen Firma einsetzt reicht auch eine Signierung über die eigene Root-CA.
Ansonsten hast Du wohl recht. Will man das Programm überall einsetzen ist ein Code Signing Zertifikat von z.B. DigiCert etc. von Nöten.
Da das ganze nach 2 Jahren abläuft darf man den ganzen Spaß dann auch schön regelmäßig wiederholen.

Ach und es gibt übrigens auch eine SignGUI die erleichtert das Ganze ein bischen:

http://www.briggsoft.com/signgui.htm

Ja das stimmt. Ein richtiges Zertifikat ist aber teuer, kommt drauf an, ob sich das für ein kostenloses angebotenes Programm überhaupt lohnt.
Hier hat man weitere Informationen inkl. Links zu den Shop-Seiten (Symantec, Certum, ... (siehe "Step 2: Buy a new code signing certificate")): https://docs.microsoft.com/en-us/window ... ertificate
Ich würde es für mich nicht machen. All meine Programme werden von mir kostenfrei angeboten und bin nicht bereit, dafür mehrere hundert Euro auszugeben.

NicTheQuick hat geschrieben:Mal eine blöde Frage: Wenn jeder damit so einfach seine Software signieren kann, was soll die Signatur dann bringen, außer dass der eigene Name oder die Firma drin steht? Braucht man nicht erst ein verifiziertes Hersteller-Zertifikat, das auf einem Root-Zertifikat von Microsoft aufbaut, sodass die Kette geschlossen ist?

Veränderungen der Anwendung zwischen Entwickler und User werden ausgeschlossen. Wenn die Signatur ungültig ist wurde die Datei verändert. Dazu würde auch ein Hashwert reichen, klar, aber viel mehr ist eine Signatur auch nicht, mal abgesehen von der Identität.

Bei Java ist das noch etwas anders: wenn man nicht mit einem ordentlichen Zertifikat (ausgestellt von einem Root CA) signiert kann man es ggf. gar nicht starten (zumindest über JNLP/Java Web Start nicht). Damit hatten wir bei der Umstellung von Java 6 auf Java 7 und direkt danach Java 8 echt heftige Probleme. Java 7 hat selbstsignierte noch zugelassen, Java 8 dann nur noch mit Root CA wenn ich mich recht erinnere.

Ich habe jetzt ein bisschen weiter gedacht. Nur, wenn die Exe mit einer von Microsoft zertifizierten Signatur signiert wurde, kann sie doch anstandslos ausgeführt und hoffentlich auch von ihrem eigenen Virenscanner sicher durchgewunken werden. Entsteht trotzdem ein Schaden bzw. ist es ein verkappter Virus oder Trojaner, kann durch die gültige Signatur festgestellt werden, wer der Hersteller ist und wer dafür haften muss.

Ja, das ist dann so richtig schön teuer

https://docs.microsoft.com/en-us/window ... ertificate

Wenn ich das richtig überblicke, kann man nicht mit einem "eigenen" Zertifikat signieren. Ohne rund 85 EUR pro Jahr abzudrücken geht's wohl nicht

??? ich habe da mal ne blöde frage ...... warum funktionieren meine Programme dann auf anderen Rechner?

Gruss TFT