Codesigning

[Jan]

Moin,

beim letzten Mal habe ich mir ein Zertifikat für drei Jahre gegönnt. Die jetzt ablaufen. Ich habe also bei meinem bisherigen Lieferanten nachgeschaut - sind die alle verrückt geworden? Der will jetzt für ein Jahr 313 $ haben! Das habe ich letztes Mal für alle drei Jahre bezahlt.

Wo holt Ihr Euch Eure Zertifikate aktuell?

Jan

[Scarmo]

Hallo Jan

Wir haben unser EV-Zertifikat von Sectigo (Comodo) letztes Jahr über Leader Telecom bezogen. Allerdings hat mich die (massive) Preiserhöhung gegenüber dem Vorgänger-Zertifikat auch ziemlich überrascht!

Gruss
Marco

[Tom]

Not only that. DigiCert hat bei der Verlängerung auch noch einmal erhöht, aber zugleich wurde der Mechanismus deutlich verkompliziert. Es ist jetzt nicht mehr möglich, über ein passwortgeschütztes, exportiertes Zertifikat mit dem SignTool zu arbeiten. Stattdessen sind wilde Registrierungen und Aktivierungs- und MFA-Systematiken zu installieren, und irgendwo am Ende steht dann das Explorer-Plugin, über das sich die Dateien signieren lassen, aber nur, wenn man in diesem Moment eingeloggt, online und leichtbekleidet ist. Alleine der Verlängerungsprozess hat mehrere Tage gedauert.

[Wolfgang Ciriack]

Ich vermute, du hast auch über KSign bestellt ?
Für 3 Jahre 657 $ + 130 $ Versand ?
Ganz schön happig. Vor allem, was wird denn für 130 $ versendet ?

[Jan]

Ja, ich hatte das über K Software gemacht. Damals 209 € für drei Jahre. Heute 319 $ für ein Jahr, wenn ich drei Jahre kaufe. Unglaublich.

Jan

[Jan]

IGanz schön happig. Vor allem, was wird denn für 130 $ versendet ?

Den USB-Stick mit bewachtem Transport?

Jan

[ramses]

Note: In March 2024, Microsoft changed the way MS SmartScreen interacts with EV Code Signing certificates. While EV Code Signing certificates remain the highest trust certificates available, they no longer instantly remove SmartScreen warnings.

Braucht es unter diesen Umständen überhaupt noch eine unverhältnismässig teure "Signatur" wenn diese die Warnmeldungen nicht mehr sicher verhindert?

Ich bringe den Gedanken von "Wegelagerei" nicht mehr Weg wenn ich so die neuen Preise für die Zertifikate anschaue .....

[Jan]

Hallo Carlo,

zu EV kann ich nichts sagen, ich habe immer OV. Die funktionieren aber fast vollständig zuverlässig. Sowohl bei der Windows-Warnung das man dem Programm nicht vertrauen dürfe. Als auch bei den Virenscanner, die das nicht ständig in die Quarantäne schieben. Bei letzterem passiert es bei allen meinen Kunden zusammen ca. 1 bis 2 Mal im Jahr das der Virenscanner das trotzdem macht. Aber das ist natürlich verschwindend wenig. Früher war das ein echtes Problem, ich musste ständig bei den Kunden remote Ausnahmeregeln in deren Virenscanner eintragen.

Jan

[azzo]

Hallo,

ich habe mich mal schlaugemacht, ob Code Signing für uns relevant ist. Unsere Hotelsoftware läuft bei allen Kunden rein intern über RDP auf dem jeweiligen Windows-Server. Die EXE-Dateien liegen fest im Programmverzeichnis, es gibt keine Downloads, keine Web-Installer und keine Ausführung auf Client-Seite.
SmartScreen greift in dieser Konstellation nicht ein – selbst ohne digitale Signatur. Da wir die Umgebung vollständig kontrollieren und alle EXEs in der Antiviruslösung freigegeben sind, bringt ein EV-Zertifikat für uns aktuell keinen echten Vorteil.

Wer seine Software allerdings öffentlich verteilt oder fremde Systeme erreichen will, braucht es vermutlich doch.

LG
Otto

Nachdem ich mir schon die Arbeit gemacht habe, mich in das Thema einzuarbeiten und eine gute erste Übersicht erhalten habe, hier eine Zusammenfassung (ChatGPT) – für alle, die (so wie ich) nicht täglich mit Code Signing zu tun haben:

Was ist Code Signing?
Code Signing ermöglicht es, EXE-Dateien digital zu signieren, sodass Windows und Antivirenprogramme den Herausgeber erkennen und dem Programm vertrauen.
Ohne Signatur erscheint bei neuen Programmen oft die bekannte SmartScreen-Warnung:

„Unbekannter Herausgeber“.

Mit einem EV-Zertifikat (Extended Validation) wird diese Warnung sofort unterdrückt – unabhängig davon, ob das Programm schon bekannt ist oder nicht.

Technischer Ablauf (seit 2023/2024 deutlich strenger):
Das Zertifikat darf bei EV nicht mehr als .pfx-Datei gespeichert werden.

Stattdessen ist ein Hardware-Token (USB-Stick) oder eine Cloud-Signierlösung mit Zwei-Faktor-Authentifizierung (2FA) vorgeschrieben.

Die Signatur erfolgt entweder:

offline: Token + PIN,

oder online: Cloud-Zugang + 2FA.

Bei OV-Zertifikaten ist .pfx + Passwort weiterhin erlaubt → einfacher automatisierbar (z. B. auf Buildservern).

Welche Unterlagen braucht man?
Zur Identitätsprüfung verlangen die Zertifizierungsstellen (CAs):

Handelsregisterauszug oder Gewerbeanmeldung

Öffentliche, verifizierbare Telefonnummer (z. B. Branchenverzeichnis)

E-Mail-Adresse auf der eigenen Domain (z. B. admin@meinefirma.de)

Ggf. Adressnachweis (z. B. durch Stromrechnung)

Ein Mitarbeiter ruft in der Regel zur Bestätigung an (Call-Back-Verfahren).

Preise (Stand Mai 2025):
EV-Zertifikate:
ca. 180–250 €/Jahr bei z. B. LeaderTelecom, SSL.com oder KSoftware.net
400–600 €/Jahr bei DigiCert, GlobalSign

OV-Zertifikate (kein sofortiger SmartScreen-Pass):
ab ca. 80 €/Jahr, z. B. von Certum oder SSL.com

Fazit:
Wer Software öffentlich vertreibt oder einen Installer anbietet, für den ist ein EV-Zertifikat nahezu Pflicht, um Vertrauenswarnungen zu vermeiden.

In rein internen Szenarien, etwa bei RDP-basierten Anwendungen auf eigenen Servern ohne Internetverteilung, reicht es meist, gar kein Zertifikat zu verwenden – oder wenn gewünscht, ein einfaches OV-Zertifikat mit .pfx für automatisierte Signaturen.

[Jan]

Otto,

leider sehr am Thema vorbei. Hier geht es darum, das die Zertifikate anscheinend massiv verteuert sind. Und wo man aktuell die möglichst günstig herbekommt. Nicht darum hier lange ChatGPT-Litaneien über Zweck und Vorgehensweise der Zertifikate. Das passt besser in ein anderes Thema.

Jan

[azzo]

Hallo Jan,

dein genannter Preis klingt eher nach einem EV-Zertifikat, obwohl du laut eigener Aussage ein OV-Zertifikat verwendest.
Ein klassisches OV-Zertifikat bekommt man aktuell z. B. bei SSL.com schon ab 64,50 $ pro Jahr, bei Certum ab etwa 155 $ pro Jahr – also deutlich günstiger als die 319 $, die du nennst.

Aber unabhängig vom Preis stellt sich für mich die grundsätzliche Frage:
Was bringt dir ein OV-Zertifikat heute überhaupt noch?

OV verhindert nicht sicher die SmartScreen-Warnung bei neuen Programmen und schützt auch nur begrenzt vor Fehlalarmen durch Antivirensoftware.
LG
Otto

[Jan]

Otto,

es ist mir egal nach was das klingt. Das sind die Preise, die K Software aktuell aufruft. Das EV ist noch ein wenig teurer, wie immer.

Bei SSLPoint hatte ich gestern spät abends auch schon was günstigeres gefunden. Die haben vier Anbieter im Programm, mit sehr sehr unterschiedlichen Preisen Also habe ich nachgefragt. Antwort: Ich muß für OV zwingend das Certum Code Signing SimplySign nehmen, die anderen drei gehen nur bei EV. Das kostet mich dann für ein Jahr 169 €, für drei Jahre (was ich meist nehme) 327 €. Was auch teuer ist, aber schon massiv günstiger ist als K Software. Ob die was taugen ist eine andere Frage.

Und was mir das bringt hatte ich oben schon beschrieben.

Jan

[azzo]

Hallo Jan,
da bin ich froh, dass mein Beitrag – der einzige, der auf die günstigen OV-Preise hinweist – doch was gebracht hat.

Doch am Ende bleibt bei OV oft nur ein Gefühl von „besser als gar nichts“ – oder der Wunsch, nach außen hin professionell aufzutreten. Technisch bringt es heute in vielen Fällen kaum noch spürbaren Nutzen.
LG
Otto

[Jan]

Otto,

ähm. Du warst der Einzige, der auf günstige OV-Preise hingewiesen hat? Da ich noch nie etwas anderes hatte als OV, und das auch nicht für jeden geeignet ist, ist das vollkommen egal. Hier ging es in erster Linie darum das allgemein die Preise massiv angezogen haben. Egal ob OV oder EV.

Jan