Hallo,

ich schreibe immer wieder kleine Tools, die ich dann als Freeware bereitstelle.
Jetzt verunsichert der Chromebrowser beispielsweise einen Interessenten, wenn er den Download zunächst als "möglicherweise schädlich" kennzeichnet. Auch Windows meckert rum, das Programm könne schädlich sein.

Schlecht für's Image, wenn man es doch grundsätzlich gut meint. Vor Jahren war das kein Problem.

Also bin ich auf die Signierung mit Zertifikaten gekommen und habe dazu schon einiges im Forum gelesen - und gelernt, daß die richtig Geld kosten können.
Toll, und dann mache ich mit meinen Tools nur Verluste, wenn ich sie für lau bereitstelle. Macht keinen Spaß mehr.

Ich habe bemerkt, daß ich ja ein Zertifikat habe. Hat mich nichts gekostet -- das Elster-Zertifikat.

Könnte ich dieses Zertifikat nicht zur Signierung verwenden? Hat das mal jemand probiert?

Nein.

Du kannst dir auch die Eigenschaften des Zertifikats anschauen und sehen wofür du das verwenden kannst. Definitiv nicht zum signieren von Anwendungen.

Und wen müsste Microsoft dem Ausgeber für diese Zwecke ja vertrauen.

Ich wollte mir letztens auch ein Zertifikat besorgen. Erst einmal für ein Jahr. Schon die Vorbereitung ist so stressig und kompliziert, dass ich es sofort gelassen habe.
Ein günstiges kostet für ein Jahr mit allen Zusatzkosten wie Notar etwa 150€ bis 200€.

Und um sich um diesen Kram nicht kümmern zu müssen wurden App Stores erfunden.

Codesigning Zertifikate z.B. von Sectigo (früher Comodo) gibt es schon für 99 Euro pro Jahr (all inclusive).

Ich überlege daher auch schon, für die Signierung von Installationsprogrammen mir eines zuzulegen. Auch wenn ich nur Quelltexte ausliefere, der Download und Start des Installationsprogramms sollte niemanden unnötig verunsichern.

Wenn ich meine mit Innosetup lokal erstellten Installationsprogramme starte, gibt Windows keine Warnmeldungen aus (ausser, dass der Herausgeber unbekannt ist). Auf dem Kundenrechner mag das ganz anders sein, deshalb sollte man das sowieso ausgiebig mit verschiedenen Browsern und Betriebssystemen testen.

Bist du Dir da so sicher? Ich signiere seit Anfang diesen Jahres mit meinem Elster-Zertifikat und es klappt problemlos. Im Eigenschaften-Dialog tauchen die gewünschten 6 Reiter (und nicht nur 5) auf. Unter dem neuen Reiter "Digitale Signaturen" steht: "Die digitale Signatur ist gültig" - und damit müsste doch zumnindest Windows zufrieden sein.

Die bekannten Nachteile sind:

- Der "Zertifikatsinhaber" ist eine anonyme Nummer (10 stellig) und nicht mein Name
- Im Feld "E-Mail" steht "Nicht verfügbar"

Wie sieht es bei euch aus? Mehr noch als die 100 Euro/Jahr war ich das komplizierte Bestellverfahren leid. Das Elster-Zertifikat ist afaik 5 Jahre gültig und man hat es ja sowieso. Ich habe die .pfx Datei sogar von einem ganz anderen Rechner kopiert weil die Buchhaltung bei mir nicht auf dem Entwicklungs-PC läuft.

Damit mag Windows vielleicht zufrieden sein, ich als installierender Anwender aber sicher nicht. So ein Elster-Zertifikat kann ja jeder haben und ich kann ja nicht unterscheiden, ob das nun dein Zertifikat ist oder das von dem bösen Hacker, der mir seinen Trojaner unterschieben will.

Na ja, ein bisschen mehr ist es schon. Immerhin musst Du für Elster registriert sein und zumindest einmal gegenüber dem FA verifiziert haben das Du auch tatsächlich Du bist. [1]

Sicherer als mit einem Elster Zertifikat bist Du bei einem komerziellen Zertifikat auch nicht wirklich. Letztendlich ist das immer eine Frage des Vertrauens.

Allerdings glaube ich nicht das sich ein fremdes Windows mit einem Zertifikat zufriedengibt welches nur auf meinem Rechner als vertrauenswürdig ausgewiesen (im Zertifikatssspeicher vorhanden) ist, auf einem anderen Rechner aber nicht im Zertifikatsspeicher ist.

Cu Ha-Jö

[1] https://www.elster.de/eportal/regist...swahl/hinweis2

Wenn Windows nicht mehr "Jammert" hat es für 99% der Einsatzfälle seinen Zweck erfüllt.
ob das aber von Elster so gedacht war?
Ist etwas schönes, das damit jeder seine Exe signieren kann ohne viel Geld auszugeben (auch wenn es die o.g. Einschränkungen gibt)

Aber ob das von Erfinder so gewollt war oder einfach nur "lass wir mal alles zu. Mal schauen welche Nutzung uns noch einfällt"