Hanebüchend....

hier werden Zertifikate (für Signierung) mit dem Label "certified for" verwechselt. Bitte bitte informiert Euch doch mal vorher.

Ein Zertifikat, dass auf eine Person oder eine Firma/Organisation ausgestellt ist, stellt praktisch die digitale Identität dar. Wenn diese Person Programme schreibt, kann das Programm mit dem Zertifikat unterschrieben werden und ist somit dem Unterschreiber eindeutig zuzuordnen. Wenn das Zertifikat von einem der großen Anbieter ausgetstellt wurde, kann jedes Windows überprüfen, ob das Programm wirklich von dem Aussteller kommt und ob das Programm unverändert ist(!), also niemand falschen Programmcode eingeschmuggelt hat.

Wie oft ladet Ihr Programme von irgendeiner Webseite runter und habt keine Möglichkeit zu kontrollieren, ob das wirklich die Software ist, die der Webseiten-Inhaber Euch zur Verfügung stellen wollte? Trotzdem installiert Ihr die Software einfach, womöglich noch mit Adminrechten. Dass vielleicht ein Hacker schon längst das Programm ausgetauscht hat gegen einen Virus, Trojaner, ... bekommt Ihr gar nicht mit. Webserver-Hacks sind heute so alltäglich wie Verkehrsunfälle, selbst den ganz Großen passiert sowas.

Im Besten Fall würde man den Namen des Signierers mit dem DENIC-Eintrag der Domain vergleichen, dann kann man sicher sein, dass das Programm aus der angegebenen Quelle stammt. Ob man dieser Quelle vertraut, sei jedem selbst überlassen. Und ja, ich bin paranoid. Aber nur weil ich paranoid bin, heißt das noch lange nicht, dass SIE nicht trotzdem hinter mir her sind.

Ein Label "Certified for..." heißt dagegen, dass die Software einer Reihe von Tests unterzogen wurde und diese bestanden hat. Ohne jeden Zusammenhang mit (Signatur-)Zertifikaten.

Wartet einfach nur mal ein paar Jahre ab, dann wird eh jeder Internet-Bürger ein Zertifikat haben, für Online-Banking, für Behördengänge, für Mailversand/-empfang. Dann kann man damit halt auch Programme signieren.

Und wenn sich jemand wie im Orginalposting beschrieben, eine eigene Zertifizierungsstelle (Root-Zertifikat) erzeugt und damit seine Programme unterschreibt, ist das für den Privatgebrauch völlig ausreichend. Den öffentlichen Zertifikatsteil des Root-zertifikats (ohne den Private Key!!!) kann man ja an Freunde und Bekannte mitverteilen, dann können die alle weiteren Programmupdates überprüfen.