Sofern man seine Software nicht nur im Freundes- oder Bekanntenkreis verteilen möchte, wird man um gekaufte Zertifikate kaum herum kommen. Dadurch wird ja nur sichergestellt, dass die Software wirklich von "DelphiUser123" kommt, wenn die Software behauptet, dass sie von "DelphiUser123" kommt. Dadurch, dass man den "großen" Zertifikaten vertraut, ist das dann halbwegs "sicher".

Wenn man vorher ein vom "DelphiUser123" erstelltes Zertifikat installieren muss, damit die Behauptung "ich komme von DelphiUser123" als wahr angezeigt wird, dann ist der Zusatznutzen recht stark beschränkt. Und selbst wenn du mehrere Programme vertreiben willst, und dafür immer das gleiche Zertifikat nutzen willst (ist dann ja sinnvoll), so könnte ein Angreifer, der dein Setup um einen Trojaner ergänzt hat, immer noch hingehen und behaupten: Vertrau mir. Für dieses Setup brauchst du ein neues Zertifikat von mir ...

Ich habe im letzten halben Jahr auch danach gesucht. Problem war für mich, dass es bei den kostengünstigen Händlern (unter 100€/Jahr, z.B. comodo, k-Software) in letzter Zeit "Umstrukturierungen" gegeben hat, und dass die jetzt zwar in vielen Fällen das Geld eingesackt haben, dann aber nicht der Verifikationsprozess durchgeführt haben und folglich auch kein Zertifikat ausgestellt haben. Man hat für sein Geld also exakt nichts bekommen. Das habe ich dann lieber gelassen. Und grob 500€/Jahr bei anderen Anbietern ist mir der "Spaß" dann auch nicht wert für mein Hobby.

Aua. Aber das ist dann vermutlich ein EV (Extended Validation) Zertifikat mit Hardware Token. Die kosten von digicert anscheinend knapp 700€ für ein Jahr.

Ich verwende seit zwei Jahren Sectigo Zertifikate (99€ Brutto, Organization Validation, ohne Hardware Token). Damit gab es keine besonderen Hürden bei der Validierung durch eine externe Zertifizierungsstelle.

Ob ein Code Signing Zertifikat unbedingt notwendig ist, das ist eine andere Frage. Der Trend geht eher zu einer Erhöhung der Sicherheitsstandards (siehe Browserunterstützung für unverschlüsseltes HTTP).

Gerade wenn man das als Hobby betreibt und seine Software für wenig oder kein Geld unter die Leute bringen will bieten sich eigentlich auch App Stores an - Die sind ja durchaus auch erfunden worden, um eben dieses Problem zu lösen.

Wir benutzen auch ein Sectigo Zertifikat. Ist wirklich günstig und wir hatten noch nie Probleme damit.

Ne, nicht EV, sondern das einfache. Das kostet bei digicert auch schon knapp unter 500 Euro. Sectigo aktuell auch immerhin 160€/Jahr (für drei Jahre). Haben die die Preise erhöht, oder habe ich falsch geguckt? Bei den "Unter-100€"-Zertifikaten bzw- Resellern habe ich vermehrt negative Erfahrungen aus jüngerer Zeit gelesen. Da ich den Nutzen für meinen Fall auch nicht als so extrem ansehe, habe ich das Vorhaben dann erstmal nach hinten geschoben.

App Stores könnte ich mir mal anschauen, das ist tatsächlich auch ein "Issue" auf dem Github-Repo. Aber ob in meinem Fall der MS-Store (und der damit verbundene Aufwand) mir noch deutlich Mehrwert bringt, als es das listing bei Heise, Chip, Netzwelt, Computer-Bild etc. tut, wage ich einfach mal zu bezweifeln.

Aber geht ja nicht um mich hier. Ich wollte nur klarstellen, dass self-signing imho nur einen begrenzten Nutzen hat, wenn man ein "grünes Setup" für Windows haben will. Ob sich die Kosten für ein Zertifikat lohnen, muss man dann selbst wissen.

Würde über einen deutschen Vermittler kaufen. Da kannst du vorher anrufen und die Modalitäten der Validierung besprechen. Ich habe seit vielen Jahren gute Erfahrungen bei Code-Signing Zertifikaten mit der PSW Group gemacht.

Bis bald...
Thomas

Mit denm Anbieter PSW Group habe ich auch gute Erfahrungen gemacht.
Sectigo Codesigning-Zertifikate kosten aktuell ca. 218€ netto (für drei Jahre).