Code Signing bekommst du wohl am angenehmsten bei startssl.com mit einer Class 2 Validierung.
Da hast du dann auch gleich Wildcard-Zertifikate für TLS dabei, das ist ne echt nette Sache^^

Hallo,

Ich habe für alle MEINE Programme nen Installer geschrieben der gleich erstmal in Hintergrund dass Root-CA Zertifikat von mir Importiert und als Vertrauswürdig abspeichert. So kann ich dann ohne Probleme Updater, Service Websites, usw... mit einen eigenen Zertifikat meiner CA,s verschlüßeln und oder Signieren und die User bekommen keine Warnung.

*Die User bekommen schon in kleingedruckten denn Hinweiß mit einen Erklährungslink was genau das Bedeutet.

Dass ist für mich eine sehr schöne Lösung meine Software zu Signieren ohne darfür auch nur einen Cent auszugeben^^^Also muss man nicht immer teure Zertifikate kaufen, aber man sollte einen Server onlin haben der die CRL im Internet veröffendlicht, dass ist die Speerliste für Kompromitierte Zertifikate. Denn sonst ist die sicherheit des gesamten Systems gefärdet. Und ich habe vor kurzten sogar heruasgekriegt wie man EV-Zertifikat erstellt die auch als solche erkannt werden (Haspa Paradox / Grüner Balken wo Name drinnen steht in weißer schrift in Chrome). Und dass macht bei meinen kollegen die zwar auch Programmieren aber nicht auf meinen Wissensstand sind (ja ich weiß, klingt Arrogang^^) sind.

LG, Herbrich

Oder das Zertifikat ist nicht vertrauenswürdig.
Man kann es übrigens genau so machen, signtool.exe und makecert.exe sollten dir ein Begriff sein.
Dazu muss dein Updater dann aber das Zertifikat als bekannt und vertrauenswürdig dem PC einspeichern.

Eine andere Möglichkeit ist, die UAC für das starten des Updates zu deaktivieren. Auch hierzu braucht man
Adminrechte, insofern man aber die Shell elevated, ist die Meldung vom Herausgeber "Microsoft" signiert, denn
es handelt sich um die Shell und weniger um das Update selbst. Danach spielt man kurz an den FLAGs rum, startet das
Update und setzt alles zurück. Die Meldung wird so übergangen.

zn-gong schrieb:

Ich habe für alle MEINE Programme nen Installer geschrieben der gleich erstmal in Hintergrund dass Root-CA Zertifikat von mir Importiert und als Vertrauswürdig abspeichert. So kann ich dann ohne Probleme Updater, Service Websites, usw... mit einen eigenen Zertifikat meiner CA,s verschlüßeln und oder Signieren und die User bekommen keine Warnung.

Mir fehlen die Worte.
Das ist schon fast schlimmer als ein Rootkit...

Bei mir war's egal.

Meiner Meinung wesentlich wichtiger als das Codesigning sind die unendlich Wildcard-Zertifikate. DAS ist geil :>

@zn-gong Und das Zertifikat installierst du wahrscheinlich ungefragt und ohne den User zu informieren? Na ein Glück das ich deine Software niemals anfassen würde.

Zum EV-Cert.: Wers glaubt wird seelig. Auf Serverfault hat einer sehr schön erklärt warum das nicht möglich ist (technisch schon aber praktisch nicht in der freien Wildbahn).

Hallo,

Ungefragt wird die CA nicht installier, desweiteren wird die CA nicht für irgendwelchen mist (zusätzlich) benutzt sondern stellt nur Zertifikate auf einige wenige Domains und par hunderte Sub Domains aus die alerdings alle in Domänen wie herbrich.org, wohngruppe-graumannsweg.com usw.... liegen. Also ist es ausgeschlossen dass da was passiert. Komprimitierte Zertifikate landen in der CRL.

Und für denn IE lassen sich sehr wohl EV-Zertifikate erzeugen, Microsoft hat da in ihrer Hilfe (Windows 7) sogar eine sehr nette Anleitung darfür wie es auf Windows Server 2008 r2 geht.

LG, Herbrich

Komprimitierte Zertifikate landen in der CRL.

DAS glaube ich dir sofort.

Manawyrm schrieb:

Code Signing bekommst du [...] bei startssl.com mit einer Class 2 Validierung.
Da hast du dann auch gleich Wildcard-Zertifikate für TLS dabei

Kann ich bestätigen, bin ebenfalls Class 2-Verifiziert. Musst denen aber deinen Ausweis schicken. Für 60$ ist das nicht übel. Außerdem sind die infinite SSL-Zertifikate ziemlich gut.

Also ich bin noch keine 18, sie haben nichts gesagt...
Ich nehme mal an, frei nach "Hmm, er zahlt Geld, lass Ihn doch :P"

Manawyrm schrieb:

"Hmm, er zahlt Geld, lass Ihn doch :P"

Vermutlich sind sie aus gleichem Grund auch die wohl kompromittierteste CA, seit es PKIs gibt.
Das ist aber eine andere Sache. Immerhin geben sie uns auch eine Möglichkeit, günstig an Zertifikate von einer CA zu kommen, die immerhin in vielen Zertifikatspeichern sind.

Bedenke jedoch die Gesetzte.
Nicht bemerkt?! Personalausweis kopieren verboten! (datenschutzbeauftragter-info.de)
Personalausweis - Kopiereinschränkungen (Wiki)

Edit: Bessere Quelle (der vertrau ich eher): Ausweise dürfen nicht kopiert werden (lawblog.de)