Laden...

Anbieter für Code Signing Certificates für exe

Letzter Beitrag vor 6 Jahren 23 Posts 8.567 Views
Anbieter für Code Signing Certificates für exe

Hallo,

für mein privates Softwareprojekt möchte ich gerne die .exe mit einem Code Signing Certificate signieren, damit die Warnung "Unbekannter Herausgeber" nicht mehr erscheint. Wichtig wäre mir, dass das Zertifikat von Windows 7 und höher anerkannt wird. Außerdem möchte ich nicht, dass Straße und Hausnummer meiner Adresse im Zertifikat enthalten sind. Das ganze sollte auch nicht mehr wie 100€ kosten.

Auf der Suche nach einem passenden Anbieter bin ich auf K Software gestoßen, was hier in älteren Posts auch schon empfohlen wurde. Ist dieser auch heute noch zu empfehlen? Oder gibt es bessere Alternativen?

Außerdem möchte ich nicht, dass Straße und Hausnummer meiner Adresse im Zertifikat enthalten sind.

Bei einem Code Signing Certificate ist nur der Name der Firma oder der Person enthalten.
Bei einem Extended Validation Code Signing Certificat _zusätzlich _die Adresse - immer.

Zertifikate sind auch keine Einmalpreise, sondern Jahrespreise.

K Software sagt mir nichts, ist aber auch nur einer unter vielen Resellern für COMODO Zertifikate.
Die sind eben nur der Vertrieb, nicht der Aussteller eines Zertifikats.

Ich hab meine Zertifikate von StartSSL; ist so mit der bekannteste.

Ich hab meine Zertifikate von StartSSL; ist so mit der bekannteste.

Danke für deine Antwort. StartSSL hatte ich auch schon entdeckt - doch dann habe ich diesen Artikel gefunden: Code Signing - Eine Anleitung.

In den Kommentaren behauptet jemand, dass die Signatur von StartSSL Zertifikaten ungültig wird, sobald die Lebensdauer des Zertifikats erreicht wird. Der Verfasser des Artikels bestätigt dies dann auch.

Das würde bedeuten, dass nach Ablauf der Lebensdauer für alle signierten Binaries wieder die Warnung "Unbekannter Herausgeber" erscheint. Kannst du dies bestätigen?

Alle Zertifikate laufen irgendwann einmal ab, normalerweise kannst du bei der Beantragung zwischen ein bis drei Jahren Laufzeit wählen. Genau aus diesem Grund gibt es die Möglichkeit einen Zeitstempel mit in die Signatur aufzunehmen. Windows prüft dann, ob das Zertifikat zum Zeitpunkt des Signierens gültig war. Hierfür gibt es von den Zertifikatsherausgebern spezielle Zeitserver die du beim Signieren als Option mit angibst.

Siehe zum Beispiel hier: Comodo Timeserver

Und hier die Infos zum Microsoft-Tool für das Signieren (SignTool):
SignTool-Dokumentation

Ein unrühmliche Ausnahme bilden hier aber tatsächlich die Zertifikate von StartSSL mit denen das TimeStamping nicht funktioniert. Diese Zertifikate sind also für das Codesigning nicht wirklich zu empfehlen.

Wir haben gute Erfahrungen mit Zertifikaten von Comodo gemacht, die sind preislich auch noch vertretbar, ich meine wir haben für drei Jahre so um die 300 € bezahlt.

Viele Grüße

Jens

Danke für die Hinweise; der Fehler ist mir nie aufgefallen...

Ich habe gerade heute mein Code Signing-Zertifikat bekommen. Ich habe dies über K Software geordert, die - wie schon gesagt - nur ein Reseller für Comodo sind. Nachdem dann Comodo auch kapiert hat, das ich als Einzelunternehmer trotzdem ein Unternehmen habe, ging das reibungslos.

Habe für ein Jahr USD84,00 bezahlt, also knapp 81€. Probleme mit dem Timestamping hatte ich nicht, das Zertifikat wird auch problemlos von VS2015 angenommen und die resultierende EXE ist dann signiert.

Danke an alle für die Antworten.

Ich habe eben ein Code Signing Zertifikat für 1 Jahr bei K Software bestellt.

Ein unrühmliche Ausnahme bilden hier aber tatsächlich die Zertifikate von StartSSL mit denen das TimeStamping nicht funktioniert. Diese Zertifikate sind also für das Codesigning nicht wirklich zu empfehlen.

Das kann ich so nicht bestätigen - ich habe jetzt die StartSSL-Zertifikate seit ein paar Jahren in Verwendung, nachdem die von K-Software vor ein paar Jahren immer sehr "kompliziert" waren was Einzelunternehmen angeht, da hier immer die Unterlagen nicht passten.

Und meine StartSSL-Zertifikate kann ich genauso über den Verisign-Timestamp-Server timestampen lassen, das geht ohne Fehler oder Probleme. Am Ende ist in der signierten EXE-Datei dann auch der Zeitstempel drin.

Daniel

Ja, einen Timestamp kannst du beim Zertifizieren immer angeben und Windows zeigt diesen Zeitstempel auch an.
Nur gab es in den Zertifikaten von StartSSL eine Einstellung die besagt, dass der Zeitstempel beim Verifizieren nicht beachtet werden soll (OID_KP_LIFETIME_SIGNING 1.3.6.1.4.1.311.10.3.13). Wenn du mal ein bisschen danach suchst, dann findest du im Netz jede Menge darüber, zum Beispiel das hier: StartSSL code signing certificates are crippled vom 05.01.2017.

Ich will nicht ausschließen, dass StartSSL mittlerweile Zertifikate ohne diese Einstellung ausstellt aber das sollte man vorher prüfen. Denn wenn die Einstellung gesetzt ist, dann erlebt man die böse Überaschung erst dann, wenn das Zertifikat abgelaufen ist.

Viele Grüße

Jens

Hm, Comodo verlangt nun von mir, dass ich zum Notar gehe:

In order to validate your Individual code signing certificate, we request you to provide us the Face to face verification document. Could you please download it from the below link and follow the instruction on the same and send to us.

>

Da werden also zusätzlich zu den 80,95€ für das Zertifikat noch Notarkosten fällig 🙁

Ich hoffe mal dass mir der Besuch beim Notar für die Zertifikatsverlängerung in einem Jahr erspart bleibt...

Das Ding nennt sich "Anwaltliche Stellungnahme".
Gibt auch einige IT-Anwälte, die das über das Internet mit Pauschalen machen.

So einen Zampano hatte ich nicht am Hals. Eine DUNS-Nummer und die Gewerbeanmeldung waren ausreichend. Kann aber sein, das das ominöse OV so eine F2F-Geschichte nötig macht.

Durch das Feedback hier hab ich gestern bei DigiCert ein Zertifikat bestellt.
Die Validierung musste nicht über ein Notar laufen (Zertifikat auf mein Name), sondern ging beim Code Signing Certificate einfach via Skype Video Validation und dem Personalausweis.

Soviel als Feedback.

So einen Zampano hatte ich nicht am Hals. Eine DUNS-Nummer und die Gewerbeanmeldung waren ausreichend.

Ok, als Privatperson kann ich das nicht vorweisen. Wahrscheinlich ist deshalb die Face-To-Face Verifikation nötig.

Durch das Feedback hier hab ich gestern bei DigiCert ein Zertifikat bestellt.

Bei DigiCert kostet ein Code Signing Zertifikat für 1 Jahr aktuell 223$. Da bezahle ich lieber einmalig (hoffentlich) für den Notar und kann anschließend für 80€ pro Jahr verlängern...

Wollte nur kurz rückmelden, dass ich nach einem doch recht aufwendigen Prozess heute endlich mein Code Signing Zertifikat erhalten habe 🙂

Falls jemand Interesse an Details zum Prozess für Privatpersonen hat, bitte hier Bescheid geben - dann fasse ich den Ablauf kurz zusammen.

Falls jemand Interesse an Details zum Prozess für Privatpersonen hat, bitte hier Bescheid geben - dann fasse ich den Ablauf kurz zusammen.

Kannst du das bitte kurz machen? =)

Ich bin in etwa so vorgegangen:* Anwaltsuche bei mir lokal, wichtig dabei ist ein Eintrag in folgendem Register: Bundesrechtsanwaltskammer

  • Das PDF für die F2F Verfikation per Mail an den Anwalt geschickt mit der Frage, ob er dies leisten kann
  • Termin ausgemacht und Perso, aktuelle Telefonrechnung, aktuelle Stromrechnung, Kreditkarte und das ausgedruckte PDF von Comodo für den Termin vorbereitet
  • Beim Termin wurde das Forumlar von Comodo ausgefüllt und unterschrieben, dieses wurde dann zusammen mit den mitgebrachten Dokumenten beglaubigt. Kosten waren leider hoch, insg. 110 €
  • Die Beglaubigung in 300dpi in Farbe eingescannt (so dass man auch schön das Siegel erkennt), in ein PDF-Dokument gepackt, auf meine eigene Domain hochgeladen und den Link per Mail an Comodo geschickt
  • Anschließend wurde ich im letzten Schritt auf meinem Festnetz-Telefon angerufen. Den Anruf habe ich selbst über ein Webinterface von Comodo durch Klick auf einen Button initiert, und ein paar Sekunden später klingelte das Telefon. Ein Automat gab mir einen Zahlencode durch, den ich dann ins Webinterface eingeben musste.
  • Danach habe ich das Zertifikat erhalten. Da aber noch Straße und Hausnummer meiner Adresse enthalten war, was ich nicht wollte, habe ich über K Software ein Re-issue des Zertifikats (kostenlos) ohne diese Angaben gemacht, was innerhalb von einem Arbeitstag erledigt war.

Ich habe den Eindruck, dass Comodo den Mail-Verkehr selbst als Teil des Prüfungsprozess nutzt. In meinem Gesendet-Ordner sehe ich insgesamt 7 Mails, die ich als Antwort auf Anfragen an Comodo versendet habe. Es wurden z.B. auch banale Sachen gefragt, z.B. was sie im o.g. Anwaltsregister eingeben müssten um meinen Anwalt zu verifizieren. Ich habe aber auf alle Anfragen stets höflich geantwortet.

Für den Mailverkehr habe ich die Mail-Adresse info@<meine-domain> verwendet. Die gesamte Kommunikation mit Comodo erfolgte auf englisch. Die Kosten betrugen insgesamt ca. 190€, plus den halben Arbeitstag für den Termin beim Anwalt.

EDIT: Im Internet findet man auch Anwälte, die die F2F Verifikation per Skype durchführen.

Danke für den Erfahrungsbericht.

Da wärste aber mit DigiCert quasi günstiger weggekommen.
Kostet zwar 225$ (~200€) aber dafür alles via Skype in 15 Minuten erledigt.

Da wärste aber mit DigiCert quasi günstiger weggekommen.
Kostet zwar 225$ (~200€) aber dafür alles via Skype in 15 Minuten erledigt.

Bei DigiCert muss ich beim Verlängern des Zertifikats in einem Jahr aber auch wieder 200€ ausgeben.

Wenn ich bei Comodo zum Verlängern nicht mehr zum Anwalt muss, zahle ich nur 80€ für jedes weitere Jahr.

Nach 3 Jahren muss immer die Identität neu validiert werden. Eigentlich. Weiß nicht, wieso K-Software für 4 Jahre anbietet. Evtl. ist das neu. Ergo:

3 Jahre bei DigiCert kosten 535$ (=> ~485€)
3 Jahre bei K-Software 209$ (190€) + Anwalt 110€ = 300€.

Jetzt muss jeder entscheiden, ob 185€ einem einen halben Tag Rennerei wert sind, sprich ob Arbeiten+185€ zahlen nicht günstiger ist als nen halben Tag Urlaub.

Jetzt muss jeder entscheiden, ob 185€ einem einen halben Tag Rennerei wert sind, sprich ob Arbeiten+185€ zahlen nicht günstiger ist als nen halben Tag Urlaub.

In meinem Beitrag oben habe ich noch vergessen zu erwähnen, dass ich bei der Anwaltsuche parallel auch eine Anwältin im Internet gefunden hatte, die die Verifikation per Skype durchführt. Hatte mich dann aber trotzdem für den lokalen Anwalt entschieden. Bei der Verlängerung werde ich die Verifikation über diese Anwältin per Skype durchführen.

Da StartSSL sich nächstes Jahr in Luft auflöst hab ich jetzt auch zwangsweise wechseln müssen. Habe mich für KSoftware/Comodo entschieden und dank des Gewerbescheins war es ein Kinderspiel. Vorab: Ich lebe in Wien und zahle deshalb bei der WKO ein.

Ich bin teilselbstständig und hatte bisher ein Individual Zertifikat, da ich damals zur Betaphase noch kein Gewerbe angemeldet hatte. Damals versuchte ich es auch schon über KSoftware, da war aber der einzige Weg nur die vorher angesprochene F2F Validation. Ich hab deshalb schlussendlich StartSSL verwendet, da die keinen Anwalt brauchten (Rückerstattung bei KSoftware war kein Thema).

Jetzt hab ich auch alles ausgefüllt wie damals und wurde von Comodo im ersten Mail wie eine Privatperson behandelt. Habe danach den Gewerbeschein und den Link zu meinem Wirtschaftskammer Eintrag retourniert und sie haben angebissen. Musste dann nur noch temporär meine Telefonnummer auf der WKO Seite öffentlich machen und diese Nummer wurde dann für die Validierung herangezogen.

Das war es dann schon! Der Prozess ist also mit Gewerbeschein viel weniger aufwändig als bei StartSSL privat. So gelohnt hat sich der Kammerbeitrag noch nie... 😁

Solltet ihr also einen Gewerbeschein haben, könnt ihr auch als Privatperson leicht ein Zertifikat abstauben. Dank Geld-zurück-Garantie ist es einen Versuch wert!

Da mein altes Zertifikat nur 1 Jahr gültig ist und im April abläuft, habe ich mir nun ein neues Zertifikat bestellt, und zwar wieder bei K-Software. Einen Monat vor Ablauf des Zertifikats schickt K-Software eine Hinweismail raus. In dieser Mail war bei mir auch ein Gutschein-Code.

Aufgrund der guten Erfahrungen habe ich mir ein Zertifikat für 4 Jahre bestellt (wieder als Privatperson). Gekostet hat mich das Zertifikat $236 (Normalpreis ohne Gutschein $268). Ich habe mit Paypal bezahlt. Es wurden 196,30€ abgebucht.

Das Zertifikat habe ich innerhalb von 2 Tagen erhalten. Es war lediglich nötig, die telefonische Verifizierung durchzuführen. Ich habe nach der Bestellung Comodo meine alte Ordernummer per Mail geschickt.

Aufgrund folgender Änderung bei Comodo werde ich vermutlich in 2 Jahren die F2F Verfikation erneut durchführen müssen.