Hallo,

wo gibt es günstige code sign Zertifikat für meine EXE-Files zu erwerben?


Moderiert von Narses: Topic aus Sonstiges (Delphi) verschoben am Fr 23.03.2012 um 20:10

Die Frage ist was du als günstig ansiehst. Dort zum Beispiel gibt es welche:
www.thawte.de/code-s...henticode/index.html
Die Preise sind alle so ca. in dem Rahmen, wenn du ein Zertifikat haben möchtest, das allgemein akzeptiert wird.

jaenicke hat folgendes geschrieben :

Die Frage ist was du als günstig ansiehst. Dort zum Beispiel gibt es welche: www.thawte.de/code-s...henticode/index.html Die Preise sind alle so ca. in dem Rahmen, wenn du ein Zertifikat haben möchtest, das allgemein akzeptiert wird.

Hallo, sieht gut aus. Hat auch in D eine Niederlassung.

Moderiert von Narses: Beiträge zusammengefasst

Hi,

ne Frage. Signierte EXE-Dateien haben ja einen Zeitstempel. Sind diese auch im Ernstfall vor Gericht gültig um zu beweisen das genau dieser Installer mit den darin befindlichen Dateien an diesem Datum schon existierten? Dann könnte man ja den Softwarenamen, URL, Technik, ... ja günstiger als vom Notar bestätigen lassen, oder?

Siehe www.cacert.org/ . Dort gibt es Code Signing-Zertifikate, sobald man 100 Assurance Points hat (bei 3 Assurern war) und beim Support kurz ne Mail mit Auftrag zum Aktivieren des nötigen Flags für den eigenen Account beantragt hat, sich selber kostenlos ausstellen. Wird unter Linux bei zahlreichen Distributionen mitgeliefert. Unter Windows ist CAcert leider noch nicht vorinstalliert enthalten.

Bzgl. Beweiskraft vor Gericht: Solange die Signatur nicht extern erzeugt wird (außerhalb des Computers durch spezielle Hardware), ist es i.d.R. recht schwierig nachzuweisen, dass die vorgenommene Signatur eine qualifizierte elektronische Signatur darstellt; es handelt sich dann lediglich um eine digitale Unterschrift nach Signatur-Gesetz, die i.d.R. nicht als Beweismittel Gültigkeit hat. Zumal bei der Code-Signatur inzwischen mindestens für das Code Signing von Microsoft einige spezielle Probleme mit Signaturen mittels MD5 bekannt sind, die ein Verändern des Anwendungsinhaltes zulassen.

Mit hoher Wahrscheinlichkeit würdest Du eine solche EXE-Datei aber als Indiz zugelassen bekommen.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Für eine Technologie, die entweder nicht ausgereift, also noch unsicher ist oder die noch nicht allgemein akzeptiert wird, ist dieser Zahlbetrag m.E. entschieden zu hoch.

Letztlich dürfte es auch kaum einen Juristen geben, der so tief in der Materie drinsteckt, daß er sich ein kompetentes Urteil erlauben kann, ob bzw. daß das sicher ist. Vielleicht noch einzelne Rechtsanwälte, doch bei Richtern wohl kaum.

Amüsieren kann ich mich über die Leuteveralberung und den Leute-Für-Dumm-Verkauf, wenn ich auf Internetseiten, vornehmlich beim sog. "Online-Banking", eine Schaltfläche sehe, auf der etwa folgendes steht: "Unsere Anwendung ist sicher. Überzeugen Sie sich mit einem Druck hierauf." Klickt man das an, ploppt irgendeine andere Internetseite, z.B. von Verisign auf. Was hat nun dieser Mausklick bewiesen? Gar nichts!

Delphi-Laie hat folgendes geschrieben :

Amüsieren kann ich mich über die Leuteveralberung und den Leute-Für-Dumm-Verkauf, wenn ich auf Internetseiten, vornehmlich beim sog. "Online-Banking", eine Schaltfläche sehe, auf der etwa folgendes steht: "Unsere Anwendung ist sicher. Überzeugen Sie sich mit einem Druck hierauf." Klickt man das an, ploppt irgendeine andere Internetseite, z.B. von Verisign auf. Was hat nun dieser Mausklick bewiesen? Gar nichts!

Vermutlich stehen dort Details zu dem SSL-Zertifikat der Seite.

Aber das wird ja schon im Browser in der Adressleiste grün angezeigt, so dass man mögliche Sicherheitsprobleme recht schnell sieht.

Delphi-Laie hat folgendes geschrieben :

Klickt man das an, ploppt irgendeine andere Internetseite, z.B. von Verisign auf. Was hat nun dieser Mausklick bewiesen? Gar nichts!

Doch: dass der Betreiber in der Lage ist, 400-2500USD zu zahlen
Sagt natürlich genau gar nichts über die Sicherheit der Seite aus, bestenfalls über die Authentizität. Aber der durchschnittliche User kennt den Unterschied eh nicht...

Richtig, aber schon die Authentizität ist für die Sicherheit schon einmal wichtig. Denn man sieht zumindest, dass man mit hoher Wahrscheinlichkeit beim richtigen Server gelandet ist und man keine falsche URL angesurft hat oder ähnliches.

Dass die Seite an sich natürlich kompromittiert sein kann, ist klar, aber das kann man von außen ja ohnehin kaum herausfinden. Da bleibt nur zu hoffen, dass dem nicht so ist.

Ich habe eines von StartSSL. Das war mit ca. 50-70 € (bin mir nicht mehr sicher) recht günstig und ist als Stammzertifikat in Windows mit dabei. Die Webseite könnte komfortabler sein, aber es erfüllt seinen Zweck.