Entwickler-Ecke

Alle Sprachen - Alle Plattformen - Code Signing für Delphi Software und dazugehörigen Installer


NOS - Fr 07.04.17 12:29
Titel: Code Signing für Delphi Software und dazugehörigen Installer
Hallo zusammen,

ich möchte mich zum 1.7 Selbstständig machen und habe hierzu eine Software programmiert. Diese besteht im wesentlichen aus einer 32 Bit EXE Datei und ein paar DLL's. Das ganze wird von einem Inno-Setup Installer installiert.
Diese müssen nun digital signiert werden, da ich weder bei den Downloads noch beim Installieren entsprechende Meldungen haben möchte und auch mein AVG sowie auch einige andere Virenscanner sollen keine beunruhigenden Meldungen droppen.

Da ich bisher natürlich keine Einkünfte habe und nicht hunderte Euro's ausgeben möchte habe ich ein wenig quergelesen und bin letzten Endes hier gelandet -> https://www.sslpoint.com/de/ aber das sieht mir aus die SSL für Webseiten.

Hier stellt sich für mich die Frage: Welches Zertifikat nehme ich denn nun und worauf muss ich achten?

Meine Software läuft ab Windows Vista und ist für den Bereich SEO Analyse - also durchaus ein Bereich in dem die Meldungen von WIndows und Virenscannern nicht so gut wären.

Ich hoffe ihr könnt mir mit eurem Wissen und vor allem euren Erfahrungen weiterhelfen.

Grüße ins Forum,

Andreas


Ralf Jansen - Fr 07.04.17 13:40
Zitat:
SEO Analyse - also durchaus ein Bereich in dem die Meldungen von WIndows und Virenscannern nicht so gut wären.


Du meinst du möchtest User eher nicht mit der Nase auf Dinge stossen die sie eher nicht mögen wie z.b. Tracking für SEO Zwecke. Ich weiß nicht ob ich das toll finden soll.


Wie auch immer. Was du brauchst ist ein Code signing Certificate. Die sind natürlich ähnlich zu denen die du z.B. für Webseiten benutzt haben aber ein paar kleine wichtige Unterschiede. Ein Webseiten Zertifikat läuft zm Beispiel irgendwann aus. Das wäre bei einem Code signing Zertifikat eher doof. Ein Code Signing Zertifikat läuft zwar auch aus aber nur zum Zwecke des Signings. Irgendwann kannst du damit nicht mehr neu Signieren. Das prüfen ob das Zertifikat gültig ist ist davon nicht betroffen. Alte Installer/Executables bleiben also auch nach Ablauf des Zertifikats gültig.


NOS - Fr 07.04.17 15:10
Hallo Ralf,

zunächst vielen Dank für deine Antwort ... nein ... es geht nicht darum den User irgendwas unterzujubeln oder Tracking etc. zu integrieren. Es ist eine Software in der Art von Xenu Linksleuth oder wie die der WebsiteAuditor von Linkassistant ... eine reine Analysesoftware für Webseiten. Dafür musst Du weder den Rechner noch die Webseiten manipulieren oder irgendwelche Trackingcodes platzieren. Da es aber kein kleines kostenloses "Tool" ist, ist es natürlich wenig Vertrauen erweckend wenn sofort eine Meldung aufspringt und vor möglicher böser Software warnt.

Gibt es da Unterschiede zwischen den Anbietern und auf was muss ich achten?

Grüße,

Andreas


Ralf Jansen - Fr 07.04.17 16:18
Zitat:
Gibt es da Unterschiede zwischen den Anbietern und auf was muss ich achten?


Schwierige Frage. Der relativ einfache Teil ist der Preis.
Der andere ist die Reputation des Ausstellers. Über die kann/will ich keine Aussage machen welcher in Zukunft denn dauerhaft vertrauenswürdig ist und nicht irgendwann in Ungnade fällt.


NOS - Fr 07.04.17 16:25
Ralf,

was bedeutet in "ungnade fällt"? .... ich habe wirklich garkeine Ahnung von dem Metier. Wärst Du so nett mir ein paar "seriöse" Anbieter zu nennen? Wie gesagt bin ich da völlig unbedarft im Moment.

Grüße,

Andreas


jaenicke - Fr 07.04.17 17:19
Empfehlungen kann ich mangels Vergleichsmöglichkeiten keine geben, aber recht günstig ist Comodo:
https://www.instantssl.com/code-signing-certificate.html
Dort haben wir ebenfalls unser Zertifikat gekauft und bisher keine Probleme gehabt inklusive Einbindung in den Buildprozess in Jenkins.


Ralf Jansen - Fr 07.04.17 17:29
Zitat:
was bedeutet in "ungnade fällt"?


Zertifikate kannst du dir als Kette vorstellen. Das Zertifikat das du bekommst wird verlinkt mit einem Zertifikat des Ausstellers deines Zertifikats. Das kann über fast beliebig viele Ebenen gehen.
Verifizierung deines Zertifikats erfolgt in dem die ganze Kette geprüft wird. Wird eines der Zertifikate in dieser Kette als nicht mehr vertrauenswürdig zurückgezogen aus welchen Gründen auch immer haben die Zertifikate deren vertrauenswürdig von diesem Zertifikat abhängen ein Problem.


NOS - Fr 07.04.17 17:52
Comodo wäre jetzt auch meine Wahl gewesen aber der Preis bei InstantSSL ist weitaus höher als bei SSLpoint -> https://www.sslpoint.com/de/code-signing-zertifikate/

Gibt es da Unterschiede ?


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2024 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!