Einzelnen Beitrag anzeigen

hanvas

Registriert seit: 28. Okt 2010
168 Beiträge
 
Delphi 11 Alexandria
 
#38

AW: Zertifikate und Signierung von Freeware?

  Alt 16. Mär 2024, 18:40
Sicherer als mit einem Elster Zertifikat bist Du bei einem komerziellen Zertifikat auch nicht wirklich. Letztendlich ist das immer eine Frage des Vertrauens.
Gut, wenn jemand Uwe Raabe nicht vertraut, wird er auch keine meiner Programme installieren. Somit ist mein Zertifikat nicht relevant. Im anderen Fall aber schon. Immerhin steht in dem Zertifikat mein Name und meine Email und es ist von einer allgemein anerkannten Stelle ausgestellt worden. Damit kann sich nicht mal eben jemand seine Programme für meine ausgeben indem er sich ein Zertifikat erstellen lässt, in dem sowohl mein Name als auch meine Email steht und das von einer vertrauenswürdigen Stelle kommt.
Ich glaube zwar das das eine Diskussion um des Kaisers Bart ist [1] und wir prinzipiell der gleichen Meinung sind aber sei es drum.

Das ein Name und eine EMail Adresse im Zertifikat steht macht nichts besser oder schlechter. Erst wenn man das tatsächlich selbst überprüft, also versucht den Herausgeber zu kontaktieren, wird das unter Umständen wichtig. Im Grunde das Equivalent zu Schrödingers Katze, so lange niemand prüft kann da drin stehen was will.

Zitat:
Insbesondere kann ich als Benutzer nicht unterscheiden, ob das Programm von Heinz Müller dem Guten oder Fritz Meyer dem Bösen kommt. Damit ist das Zertifikat für diesen Fall vollkommen nutzlos.
Das kannst Du auch bei einem anderen Zertifikat nicht wirklich. Der Unterschied liegt nicht darin wer in einem Zertifikat ausgewiesen ist sondern darin wer zertifiziert. Wenn es (viele) Fälle gibt in denen eine Zertifizierungstelle "einen Bösen" zertifiziert dann verliert die Zertifizierungstelle vertrauen und die meisten werden dieser Stelle nicht mehr vertrauen.

Du argumentierst im Grunde damit das der Weg des OP, wenn er funktionieren würde, dazu führen würde früher oder später das Vertrauen in diese Art von Zertifikaten verloren ginge. Das ist wohl richtig und auch im Interesse der meisten hier, aber es beantwortet nicht die Frage des OP.

Wenn man den ganzen Thread verfolgt hat der OP lediglich einen Weg gesucht

Zitat:
Jetzt verunsichert der Chromebrowser beispielsweise einen Interessenten, wenn er den Download zunächst als "möglicherweise schädlich" kennzeichnet. Auch Windows meckert rum, das Programm könne schädlich sein.
diese Meldungen zu unterdrücken und diesen Weg meint er für sich gefunden zu haben.

[Quote]Helfen tut es wenn überhaupt nur bei denen die sich gar nicht ansehen was sie da installieren und das macht es eigentlich ja noch schlimmer.[/Qute]

Schlimmer für den OP oder schlimmer für die meisten anderen ?

Aber ich behaupte, das dass im konkreten Fall gar keine große Rolle spielen würde. Man müsste sich natürlich die Distributionswege des OP ansehen, aber wenn er seine Freeware auf seiner eigenen Website anbietet, mit und/oder ohne Code, dann nimmt die ungewöhnliche Zertifizierung ja lediglich die ansonsten wahrscheinlich auf seiner Website zu findenden Bitte vorweg sich nicht an den Meldungen zu stören.

Zitat:
Man muss ja auch mal den Zweck eines Elster-Zertifikats hervorheben... Für eine Legitimierung gegenüber anderen taugt es erstmal nicht.
Kein Zertifikat tut das, das Vertrauen liegt immer in der Zertifizierungsstelle.

Zitat:
Das Finanzamt stellt in der Regel jedem Antragsteller ein solches Zertifikat aus - auch Betrügern, Steuerhinterziehern und Trojaner-Programmierern, solange sie eine Steuernummer haben.
Der Prozess nachzuweisen wer man ist, ist aber durchaus ähnlich wie bei anderen Zertifizierungstellen auch.

Ich glaube nicht das es jemanden gibt der ernsthaft darüber zweifelt das man mit genügend krimineller Energie eine GmbH, LTD oder was auch immer Gesellschaft, wo auch immer (Code Signing ist ja kein Urdeutsche Angelegenheit) angemeldet bekommt, zumal eine Reihe von Ländern deutlich niedrigere Standards haben als wir, und sich so ein Zertifikat zum Code-Signing erschwindeln kann.

Zitat:
Ich würde jedenfalls keine Software installieren, die nur mit einem solchen Zertifikat daher kommt.
Ich auch nicht, dann lieber gleich ohne, aber das war nicht die Frage des OP.

cu Ha-Joe

[1] ich bin mir ziemlich sicher das das Ausführen einer einer Exe mit einem Elster Zertifikat nur auf dem eigenen Rechner nicht zu einer Fehlermeldung führt, da dieser Rechner das Zertifikat kennt. Aber vielleicht kann der OP das ja mal prüfen.
  Mit Zitat antworten Zitat