Doch wird sie. z.B. wird entweder Bestätigung von Notar oder eine Telefonrechnung von Telefonkonzern angefordert sowie Rückruf auf (per Telefonbuch überprüfte Telefonnummer?) getätigt (Jedenfalls bei Verisign). Diverse günstiger Anbieter könnten es u.U. mit weniger sorgfalt Betreiben um Kosten zu sparen. 100% sicher ist es nicht, denn sonst wären keine 2 zurückgezogenenen Zertifikate unter Windows vorhanden die eine Privatperson (Firma?) als Microsoft getätigt hat.

Das ist mir neu Bernhard.

Ein Freund von mir hat bei Verisign ein Zertifikat gekauft, da sein Kunden unbedingt wollte, daß er eins kaufen sollte.
Laut seinen Aussagen hat er nur ein Zertifikat bestellt, diesen bezahlt und dann hatte er es ohne jegliche Prüfung.

Mag sein, daß die nach ein paar Missbrauchsfällen eine Kontrolle eingeführt haben, aber zu dem Zeitpunkt als er es gekauft hat, wurde definitiv nix überprüft.

Ich würde mir wünschen, daß diese Zertifikateanbieter viel mehr restriktivere Prüfungen vornehmen und diese von mir aus auch sich bezahlen lassen.
Dann kann der Kunde wenigstens sich auf etwas einigermassen verlassen.

Ganz ohne Prüfung ist das Ganze mit den Zertifikaten mehr Schein als Sein.

Stimm ich dir voll zu. Auch der Weg von Verisign hat seine Angriffmöglichkeiten. So war die letzte überprüfung ein Witz. Anruf von Verisign (an meine Tel.Nr um bitte doch mit Geschäftsführer zu verbinden. Hätte ich jetzt meinen Kollegen gebeten "Chef zu spielen" wäre es kein Problem gewesen da nur einfache Dinge abgefragt wurden (AFAIK Vorname, Geburtsdatum, ...)

Hallo Hans,

brauchst Du das, um Deine Programme für Vista fit zu machen?

Genau dafür ist die Signierung des Codes gedacht. Der Anwender soll bei der Installation des Programmes unter Vista (und künftigen Windows-Versionen) nicht gleich einen Schreck eingejagt bekommen: "Ein unbekanntes Programm versucht auf den Computer zuzugreifen".

Ich habe die Beispieldatei http://www.ksoftware.net/digital_signature_example.exe heruntergeladen; unter Vista Business SP1(RC1) Rechtsklick->Eigenschaften->Digitale Signaturen; es wird angezeigt:

Unter "Details"->"Zertifikat anzeigen" erfährt man:
Alles in Allem sieht das genau so wie die Daten bei einem Zertifikat von Verisign (hab ich auf der Arbeit). Ob das unter künftigen Windows-Versionen noch genau so ist, kann Dir vermutlich nur Microsoft sagen.

Ich hab' dann mal mit einem Hex-Editor ein Byte im Header modifiziert.
Das Programm kann noch immer gestartet werden, jedoch ergibt die Überprüfung des Zertifikates:
"Die digitale Signatur ist ungültig."
Hier hätte ich mir gewünscht, dass Vista bereits beim Start den Anwendung auf diesen Umstand hinweist. Aber das ist wohl nicht der Firma K Software anzulasten, sondern eher Microsoft.

HTH
Achim

hi

ich habe bein Problem beim öffnen der makecert.exe, wenn ich es öffne schließt es sich sofort wieder, und ich finde nur das SDK 1.1, im Verzeichnis Microsoft.Net finde ich nur das 1.1er obwohl(siehe Anhang) ich 2.0 und 3.0 auch installiert habe, was stimmt da nicht??

Hallo,

Im Screenshot links ist vermutlich ein Ausschnitt der installieren Software-Pakete zu sehen (Systemsteuerung). Dort ist ja das .NET SDK 2.0 gelistet. Ist es denn auch installiert?
Schon mal "reparieren" versucht? Bzw. de-installieren und neu installieren?

KalwaDOS

mit reparieren hab ich es jetzt versucht, hat sich aber nichts geändert, ich lade es mir jetzt noch einma herunter und versuche es dann noch einmal.

kann mir wer das Problem mit dem makecert.exe erklähren (siehe voriger Beitrag)

MakeCert ist ein Kommandozeilenprogramm. Da geht nix auf. Du hast vermutlich einfach im Explorer einen Doppelklick darauf gemacht. Öffne eine Eingabeaufforderung und folge den Beispielen am Anfang dieses Threads.

HTH
KalwaDOS

Ja sozusagen, es sieht beim Windows Server, und nun auch beim Vista Client, einfach doof aus, wenn man ein kommerzielles Progrmam verkauft, das zig tausend euro kostet, und dann kommt dieses "unbekannter herausgeber" -> möchte es einfach in dieser hinsicht etwas professioneller haben.

Nur bin ich mir noch nicht ganz sicher, ob sich die mehr investition von VeriSign lohnt oder eher nicht.

Soooooooo, habe mir jetzt mal so ein Teil von Comodo bzw K-Software geholt.

Hat zwar etwas gedauert, bis ich das Zertifikat aus dem Firedox raus, dann in den IE rein, und dann mit openSSL ein .spc und .pvk DAtei erzeugt habe.
Aber nun kann ich mit signCode, meine exe Anwendungen signieren ...

eine Frage habe ich noch, weiß jemand einen Weg, wie ich mir das sparen kann, das ich jedes mal das Passwort eingeben muß beim signieren?

Ich möchte gerne das ganze automatisieren, und da stört diese Eingabe etwas ...

(Weiss auch jemand, ob es das signTool irgnedwo zum runterladen gibt, ohne gleich alles von MSDN zu laden?)