Die Hardware-Token Problematik haben wir mit virtualhere gelöst. Das haben wir eh schon seit Jahren mit +80 Dongles im Einsatz und ist absolut robust. Auch übers VPN.
Alle Dongles befinden sich im Serverraum der Hauptniederlassung. So kommt nichts weg

Das funktioniert beim Code Signing aber nur dann, wenn die Software für das Token nicht bei jedem Zugriff interaktiv ein Passwort abfragt.

SSLMentor habe ich eben mal überflogen. Wie bei (wahrscheinlich) allen Anbietern, steht auch hier ziemlich viel Unsinn in den Texten.

Ein Beispiel vom Certum EV CODE Sign: "Die Dateisignierung erfolgt bei der Installation des Programms SimplySign Desktop" Wirklich? Bei der Installation?

Oder der hier: "Das Certum Cloud EV CODE Signing-Zertifikat ist ein beliebtes EV-Code-SSL-Zertifikat." Bin ich zu doof? Ein SSL-Zertifikat ist doch für den Webserver und nicht für die Code-Signierung. Vielleicht habe ich auch nur zu wenig Ahnung davon. Aber anhand der Werbetexte ist es oft schwierig einzuschätzen. Müsste man wahrscheinlich einfach mal ausprobieren.

sslmentor.de sind Tschechen mit einer deutschen Domain (mindestens seit 5 Jahren)
aber auch .cz und .com, sowie Facebook, Twitter, Youtube, LinkedIn, ...
http://www.sslmentor.cz/
https://de.mapy.cz/zakladni?source=f...9.1889726&z=17

sslpoint.com sind Chinesen, die scheinbar vorwiegend in Europa handeln, aus China raus ähhh nja
aka https://www.octanius.com.hk/solutions/


Nja, da ist es zumindestens nicht verwunderlich, dass da die Übersetzungen bissl haken,

aber zumindestens war (noch) nichts Schlimmes zu finden.

Für Open Source Projekte scheint Certum interessant zu sein.
Kit mit Karte 69€ pro Jahr, Erneuern 29€ pro Jahr.

Die letzten beiden Punkte fehlen leider, in den OpenSource-Zerzifikaten und sind nur bei den EV-Zertifikaten dabei,
aber gerade das sind oft die Hauptwünsche, an eine Signierung.

Nicht alles kann/will man komplett OpenSource machen ... schade, dass Freeware ausgeschlossen ist.

EV ist aber wohl eh nicht für Einzelpersonen verfügbar.
https://www.ssl.com/de/faq/Welches-C...che-ich-ev-ov/
https://www.ssl2buy.com/wiki/regular...v-code-signing

Vielleicht ist das auch interessant
https://en.delphipraxis.net/topic/93...commendations/
https://www.finalbuilder.com/resourc...ith-usb-tokens
https://en.delphipraxis.net/topic/7187-k-software/
https://en.delphipraxis.net/topic/10...#comment-80992

Wenn demnächst USB Token Pflicht werden, ist es vielleicht gut noch etwas Puffer zu haben bis da die letzten Falten gebügelt sind.
Deshalb hatte ich mir vor geraumer Zeit noch ein 3yr Zertifikat von K-Software angeschafft.

Nach dem üblichen Prozedere mit Hin und Her hatte es bei mir noch geklappt, aber so richtig "smooth" war der Prozess noch nie.
Kann sein, dass es jetzt noch schlimmer geworden ist.

USB ist nicht zwingend, aber Hardware-Token werden erzwungen,
weil es diese Certificate Authority Security Council Group (CASC) das vorschreibt, oder so.

Das können auch andere Hardware Security Module sein, z.B. als Schaltschrank-Einschub mit LAN-Port, oder PCIe-Karte.
https://www.line-gate.com/News/852.html

Es kann aber auch eine "sichere" Cloud benutzt werden.

Oder "Code Signing as Service", aber was der Unterschied zur Cloud ist ... k.A. (ist ja beides irgendwo im Internet auf einem Rechner)
https://www.ssl.com/de/leiten/Codesi...toc-heading-12

Genau, deshalb schnell noch ein traditionelles Zertifikat abgreifen, solange es geht.

Ich vermute mal, dass es nicht nur irrsinnig komplex werden wird, sondern auch mal wieder um Faktoren teurer.
Meine stille Hoffnung ist, dass es nach 3 Jahren wenigstens etwas gesetzt hat und Konkurrenz auftaucht.

Ich vermute stark, dass K-Software dann nicht mehr dabei sein wird, nach deren bisherigen Geschäftspraktiken und -Prozessen zu urteilen.

Da kommt dann die Frage auf, ob ein Zertifikat dann auch noch gültig ist, wenn die ausstellende Firma Pleite geht.
Gut, in dem Fall ist das wohl Comodo, die wird es danach auch noch geben.

Tja, entweder es sind weiterverkäufer, wo du direkt ein Zertifikat von z.B. Comodo bekommst,
oder sie haben sich selbst bei Comodo ein/mehrere Zertifikate besorgt, welche sie dann als Root-Zertifikat für ihre eigenen Kunden benutzen.
So lange ihr Root-Zertifikat gültig ist, sowie auch alle zwischengelagerten Zertifikate und der grundlegende Anbieter (Comodo) seine Authentifizierungsserver nicht abschaltet, wird es noch eine Weile lauffähig sein, zumindestens bis zum Ablauf deines gekauften Zertifikates.

Wenn jemand selbst ein absolutes Root-Zertifikat besitzt (von nichts Anderem geerbt), er geht pleite und seine Authentifizierungsserver nimmt er mit in den Abgrund, dann war's das vermutlich, wenn die Gültigkeit deines Zertifikates nicht mehr geprüft werden kann.