Die ElsterRootCA ist aber eben keine Standardausgabestelle. Deshalb lassen sich deren Zertifikate auch nicht einfach so validieren. Ich habe es ja ausprobiert.

Ich habe auf einem meiner PCs das Elster Zertifikat eingesetzt um PDF und XML Dokumente vor Veränderungen zu schützen. Im Grunde eine Art Emulation der Funktionen einer Massensignaturkarte [1]. War eine Art Proof of Concept wie man ein TR-Resiscan kompatibles Verfahren ohne Massensignaturkarte sinnvoll umsetzen kann. Kann sein das ich dabei das Zertifikat selbst in den Zertifikatspeicher geladen habe. Da habe ich unterstellt das der OP das ähnlich gemacht hat. Aber das ändert doch nichts an dem was ich geschrieben habe ?

cu Ha-Jö

[1] Eine Exe scannt eine vorher festgelegte Anzahl Dokumente, exportiert diese als PDF und legt in jede der erzeugten PDFs eine versteckte GUID als Kennung ab. Paralell dazu wird eine vor dem Export eine vorher definierte Anzahl an zufälligen Dokumenten nochmal zum Prüfen vorgelegt - also angezeigt. Über all das wird ein Protokoll als PDF geführt, die GUIDs der einzelnen exportierten PDF Dateien finden sich im Protokoll wieder.

Die exportierten Dokumente werden mit einem Zertifikat versehen (in diesem Fall das Elster Zertifikat) und gegen Veränderungen geschützt, das Protokoll enthält Daten zum eingesetzten Zertifikat, dem Zeitpunkt / Zeitstempel des Scanns und wird mit einer qualifizierten Signatur versehen.

Auf braucht man keine Massensignaturkarte um Massen zu signieren.

Schlimmer noch - ich habe mit meiner Aussage einen Bock geschossen. Das Zertifikat wird nur auf meinem eigenen Rechner als gültig erkannt (wohl weil ich es zuvor dort mal installiert hatte). Fazit: so nett die Idee mit dem Elster Zertifikat erscheinen mag, sie taugt nicht.

Nutzen kann man es ja, aber wird halt wie ein "normales" Self-Signed behandelt.

Und ich weiß nicht, ob Fremde deine geheime Steuernummer kennen sollten.

Aber Software ganz ohne Codesigning Zertifikat dann schon eher ,oder?

Wie ist das mit den ganzen Apple Zertifikaten die man erzeuugt um Apps für den Appstore zu entwickeln? Kann man die zum Signieren von EXE files benutzen?

Selbst wenn, die "Kosten" ja auch 99 EUR / Jahr.

Das, was mich daran besonders stört, ist der gewaltige Preisaufschlag, den diese Firmen für "Virtuelles Nichts" veranschlagen.
Die Erstellungkosten liegen im Cent-Bereich, plus ein paar Kosten für Server und Verwaltung und etwas Kosten für die Identitätsprüfung,
das darf meiner Ansicht nach nicht mehr als 100-200 EUR / Jahr kosten, alles andere ist grober, vorsätzlicher Wucher.

Ich habe jedoch im Bereich Zertifikate bisher schon vieles gesehen, von 1000 EUR bis Ende offen, und das quasi ohne Gegenwert,
weil weder Identität garantiert wird, noch irgendeine Verantwortung übernommen wird.
Zum Beispiel für echte Zertifikate einer Prüfstelle wie TÜV, SGS usw., bekommt man zum ähnlichen Preis eine komplette technische Prüfung
mit Messung, Prüfbericht und Zertifikat von einer akkreditierten Stelle.
Auch das ist sicher oft überteuert, aber zumindest hat es einen entsprechenden, höheren Gegenwert als ein Signaturzertifikat.

Das Einzige, was wirklich helfen würde, wäre, wenn sich jetzt alle Entwickler mal vor den Zentralen Microsoft, Apple, Google, Mozilla, usw.
festkleben und protestieren würden und die Herausgabe transparenter Kostenaufstellungen und Preisreduzierungen fordern würden.

(aber sowas passiert ja in der wirklichen Welt ja nicht ... )

Du musst halt Arbeitslos/Student sein mit reichen Eltern am besten Einzelkind mit Aussicht auf Erbschaft von nem Zweithaus... aber diese Leute interessiert eher welches bild über ihre eigne Tugendhaftigkeit sie auf Instagram verbreiten können. Leute die genig haben von dem FANG Monopol, können es sich nicht leisten sich irgendwo festzukleben.
(btw. Netflix... das hätte ein monopol bleiben sollen)

Vermutlich würde meine Frau mich auch nicht mehr ernstnehmen, wenn ich meinen Standpunkt dadurch klar machen würde, dass ich mich bei uns im Treppenhaus festklebe.

Was du mir sagen willst ist , wir können die APP Zertifikate aus dem Mac exportieren und unsere EXE Datei damit signieren?

Er fragte auch nur, obs ginge.

Aber was sollte Microsoft ein Zertifikat von Apple interessieren?
Bzw. gibt es denn eine RootCA davon, welche Windows kennt, um jenes Zertifikat verifizieren zu können?

Das ist eine schöne Vorstellung, ich glaube, ich probier das mal aus.

Deine Eltern sollten sich dort ankleben.

> Eltern haften für ihre Kinder



Wie bereits mehrfach erwähnt, kann man so einige Zertifikate nutzen, zum Signieren,
aber das Prüfen ist die Herausforderung ... entweder man registriert es selbst oder man nutzt im System bekannte Rootzertifikate.