Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsNotepad++ 8.8.7: Neues Zertifikat soll Authentizität wiederherstellen
Notepad++ ist in Version 8.8.7 erschienen, bei der sich Entwickler Don Ho vor allem auf die Beseitigung von Fehlern konzentriert hat. Die wichtigste Änderung dürfte das neue Zertifikat betreffen, mit dem bei der Installation des freien Text-Editors für Windows keine falsch-positiven Alarme mehr im System ausgelöst werden sollen.
Uff... Schoen dass das doch noch mit dem Zertifikat geklappt hat
Dann werde bei uns firmenintern hoffentlich die Bedenken ad acta gelegt und Notepad++ kann weiter verwendet werden.
der author aendert seine meinung und seinen FUD auch alle halbe nase lang sozusagen....
wenn man sich den NEWS bereich bei ihm nur mal die ueberschriften liest dann war er neulich noch der berechtigten meinung dass er in sicherheit und nicht in corporations investieren woll(t)e usw usw
ich hatte ihm in der vergangenheit selber auch schon paarmal infos zu anderen opensource projekten (die keine orga gruenden mussten etc und wie es via github und dortigen dienstleistern speziell fuer OSS ginge) mails gesendet wie er wieder an authenticode zertifikate herankommt usw da kam nie eine rueckmeldung
Die zertifikate sind ja praktisch jetzt nur noch 14 monate gültig und werden sukzessive immer weiter reduziert (das gleiche gilt analog auch für TLS zertifikate).
Ohne einen Signature Service wie z.b. Azure Trusted Signing geht da bald eh nichts mehr und Azure Trusted Signing ist ziemlich pingelig bzgl. Ausweisen einer Org.
Damit ein Open-Source-Projekt nach den aktuellen Vorgaben überhaupt ein Zertifikat unter seinem eigenen Namen erhalten kann, muss es zunächst als Unternehmen anerkannt werden. Im Fall von Notepad++ bedeutete dies die Gründung und Registrierung einer gemeinnützigen Organisation (NPO) mit dem Projektnamen im Wohnsitzland des Entwicklers – ein Vorgang, der sich über mehrere Monate hingezogen hatte.
Das stimmt so btw. nicht ganz. Das Thema dabei ist nicht, dass es Vorgaben für EIN Zertifikat gibt (bzw. allgemein für das Zertifikat), sondern dass manche der offiziell als trusted eingestuften Zertifizierungsstellen, solche Vorgaben machen. In dem Fall hier eben GlobalSign. Vorher nutze der Entwickler eine andere CA, die hat ihm, laut eigenen Infos auf der Page, neun Jahre lang begleitet und drei Zertifikate ausgestellt - allerdings eben hat sich seit dem Ausstellen des letzten Zertifikats offenbar die Voraussetzungen geändert, wie man an so ein Zertifikat kommt. Und damit gab es dort kein viertes und man musste sich woanders umsehen. Letztlich ka dabei dann GlobalSign ins Spiel und die stellen nun exakt diese Vorgaben.
Hier zeigt sich btw. auch wieder, dass der ganze OpenSource Kram, so toll das auch irgendwo ist, ein paar gewaltige Hürden hat. Ohne Geld wird es in manchen Dingen schwer bis unmöglich über diese Hürden zu springen. Wahrscheinlich sind/waren nichtmal die paar hundert Dollar pro 3 Jahre wirklich das Thema hier, da sich das via Spenden bestimmt abfedern lässt. Aber an eine privat Person gibts eben solche Zertifikate nicht - und das ist auch gut so, da sonst jeder Schadcode ebenso legitimiert werden könnte. Für ein paar hundert Dollar und ab dafür...
Natürlich kann man jetzt sagen, wozu das ganze, keine Frage... unter Linux juckt das auch Niemanden, da reichen andere Signaturen für Legitimation. Dafür hat es dort halt nicht die externe Stelle, die mindestens mal theoretisch dafür sorgt, dass primär legitimes Zeug ihre Signatur trägt.
allerdings eben hat sich seit dem Ausstellen des letzten Zertifikats offenbar die Voraussetzungen geändert, wie man an so ein Zertifikat kommt. Und damit gab es dort kein viertes und man musste sich woanders umsehen.
Die Änderungen sind einfach, die Laufzeit ist nur noch 14 Monate und du musst es zwangsweise in einem HSM speichern, du bekommst also nicht mehr die (früher) übliche PFX datei.
Aber wie du schon sagtest, ein HSM bei einer Privatperson ist overkill und alle 14 Monate mittlerweile x00€ für das Zertifikat auszugeben auch.
Digitcert Software Trust Manager und Azure Trusted Signing (die einzigen beiden mit denen ich Erfahrung habe) sind ziemlich pingelig bzgl. Ausweisen der Identität, hast du ja auch erwähnt.
Neben VLC wohl meine meistgenutzte Software, bin bestimmt noch zehn Versionen zurück, aber die Portable-Version macht einfach alles was ich brauche und einen Bug habe ich noch nie gefunden.
Na, jetzt geht es ja doch. Aber einige Nutzer hier machten ein Fass auf, wie unzumutbar dass doch wäre, zu verlangen, dass Software unter Windows ein Zertifikat besitzt. Unzumutbar!
Vielleicht sollte der Entwickler die Software als Linux-Paket veroeffentlichen. Das koennen Windows-Benutzer dann ueber WSL2 ohne den ganzen Hokuspokus ausfuehren (ist zumindest mein letzter Stand).
Wobei das ja kaum der Grund sein konnte, da er das ja jetzt auch hat, wobei von nach wie vor 3 Jahren geschrieben wurde. Keine Ahnung ob es da nen Zwang auf kürzere Laufzeiten auch für diese Zertifikate gibt, bei den simplen TLS Zertifikaten sind ja einige Player am Markt bestrebt die Gültigkeiten drastisch zu kürzen bis auf lediglich 45 Tage ab 2027.
Tornhoof schrieb:
Digitcert Software Trust Manager und Azure Trusted Signing (die einzigen beiden mit denen ich Erfahrung habe) sind ziemlich pingelig bzgl. Ausweisen der Identität, hast du ja auch erwähnt.
Das ist halt das Problem, als Firma bist du halt auch haftbar, zumindest theoretisch, als privat Person der Code einfach so raus gibt, hingegen nicht.
Da krankt das System irgendwie doch sehr an der Stelle.
mae schrieb:
Das koennen Windows-Benutzer dann ueber WSL2 ohne den ganzen Hokuspokus ausfuehren (ist zumindest mein letzter Stand).
Noch nie von so einem Unterschied gehoert, schon gar nicht in diese Richtung. Tatsaechlich wurde gerade ein Rene Benko wegen seines privaten Umgangs mit seinen Glaeubigern (noch nicht rechtskraeftig) zu einer Haftstrafe verurteilt, waehrend seine Firmen einfach in Konkurs sind und da wahrscheinlich wenig fuer deren Glaeubiger herausspringen wird. Er wird vermutlich auch wegen seiner Rolle bei diesen Geschaeften angeklagt werden, aber eben auch er und nicht seine Firmen.
Die Abschottung kann nicht so schlimm sein, ich kenne Leute, die git in WSL laufen lassen und den Rest auf der Windows-Seite machen, da wird's fuer Notepad++ wohl auch reichen.
Das Problem ist vermutlich eher, dass Notepad++ die Win32-API benutzt. Da muesste er unter Linux wohl mit Wine arbeiten, und ein Programm mit Wine in WSL laufen zu lassen, ist schon pervers.
Die Änderungen sind einfach, die Laufzeit ist nur noch 14 Monate und du musst es zwangsweise in einem HSM speichern, du bekommst also nicht mehr die (früher) übliche PFX datei.
Diese Änderung (keine pfx Datei mehr und Schlüsselgröße > 2048 bit) gibt es doch aber schon seit einiger Zeit und ist nicht neu?!
Man muss es auch nicht zwangsweise in einem HSM speichern, unser Codesignier Zertifikat von DigiCert liegt auch "nur" auf einem verschlüsselten USB Security Token von DigiCert, nicht in einem HSM. Wir hatten bei der Bestellung die Auswahl ob dies oder das. HSM hat den Vorteil, dass mehrere Host zentral drauf zugreifen können, USB hängt dann eben an einem einzelnen Signierserver, was bei Notepad++ sicher ausreichend wäre.
fdsonne schrieb:
Keine Ahnung ob es da nen Zwang auf kürzere Laufzeiten auch für diese Zertifikate gibt, bei den simplen TLS Zertifikaten sind ja einige Player am Markt bestrebt die Gültigkeiten drastisch zu kürzen bis auf lediglich 45 Tage ab 2027.
Man muss es auch nicht zwangsweise in einem HSM speichern, unser Codesignier Zertifikat von DigiCert liegt auch "nur" auf einem verschlüsselten USB Security Token von DigiCert, nicht in einem HSM.
Das ist bei Notepad++ wohl auch so, er hat ja ein Foto seines USB-Keys gepostet.
Dachte nicht nochmal einen SafeNet Token zu Gesicht zu bekommen, nachdem wir die vor Jahren bei uns rausgeworfen haben
M@tze schrieb:
Codesignier Zertifikat haben (meines Erachtens) eine Laufzeit von 3 Jahren.
ah okay, ja Safenet tokens haben wir nicht mehr, HSM wollte die Firma nicht lokal im LAN haben wegen irgendwelchen Policies, ergo wurds Azure Trusted Signing.
In recent years, we’ve seen TLS/SSL certificate lifetimes drop down to 398 days. They’ll drop again to 200 days in March 2026 and 100 the following year before plummeting to 47 days in 2029.
Jo ist das Ziel, die Codesigning Zertifikate werden sicher nachziehen auf ähnliche Werte, daher pushen ja alle die Online Signatur Dinger.
Azure Trusted Signing kostet relativ wenig (10€ oder so im Monat für 5000 Signiervorgänge) und der rotiert die Zertifikate im 3 Tages takt oder so. Funktioniert relativ gut (für MS verhältnisse), ist aber natürlich langsamer als ein lokales signtool.exe
Ergänzung ()
mae schrieb:
Noch nie von so einem Unterschied gehoert, schon gar nicht in diese Richtung.
UniGet hat bei mir die Version nicht angezeigt
Danke für den Hinweis und den vielen Erklärungen über Zertifizierung hier in den Kommentaren.
Notepad++ ist mein mit Abstand am meisten genutzter Texteditor ever!
NP++ kann so vieles mehr als nur Text anzeigen
