Don Ho, der Entwickler des populären Windows-Editors Notepad++, hat bekannt gegeben, dass er den Programmcode ab Version 7.6.4 nicht mehr digital signieren werde. Hier ein paar Informationen dazu.
Anzeige
Notepad++ ist ein sehr beliebter Open-Source-Text- und Quellcode-Editor für Windows. Der Code dieses hilfreichen Tools wurde in den letzten 3 Jahren mit einem gespendeten DigiCert Zertifikat digital signiert. Aber ist dieses Zertifikat aber ausgelaufen und dem Entwickler ist es nicht gelungen, ein Nachfolgezertifikat mit vernünftigem Aufwand und zu einem akzeptablen Preis zu bekommen. Don Ho schrieb in der Release Note für Notepad++ 7.6.4:
When you install Notepad++ version 7.6.4, You might notice there's no more blue-trusted UAC popup.
Bei der Installation der neuen Programmversion fehlt also die blaue Anzeige der Benutzerkontensteuerung, die signalisiert, dass der Software vertraut wird. Stattdessen kommt die gelbe Warnung der Benutzerkontensteuerung mit der Frage, ob man der Software vertraut. Dies liegt daran, dass Ho die digitale Signatur aus Notepad++ Version 7.6.4 entfernt hat. Als Grund für diese Entscheidung gibt er folgendes an:
Vor 3 Jahren spendete DigiCert dem Projekt ein 3-jähriges Code Signing-Zertifikat, und …. das Zertifikat ist seit Anfang dieses Jahres abgelaufen.
Ich habe versucht, ein anderes Zertifikat zu einem vernünftigen Preis zu kaufen. Allerdings kann ich "Notepad++" nicht als CN zum Signieren verwenden, da Notepad++ nicht als Firma oder Organisation existiert. Ich habe Stunden und Nächte damit verschwendet, ein geeignetes Zertifikat zu bekommen, anstatt an der wesentlichen Sache zu arbeiten – dem Notepad++ Projekt.
Ich musste erkennen, dass ein Code Signing-Zertifikat nur ein überteuertes Spielzeug für FOSS-Autoren ist. Notepad++ ist für mehr als 10 Jahre ohne Zertifikat ausgekommen. Daher sehe nicht ich ein, warum ich die Abhängigkeit von einem solchen Zertifikat jetzt hinzufügen sollte (und ein Komplize dieser überteuerten Industrie werde). Ich habe beschlossen, auf die digitale Signierung zu verzichten.
Dieser Schritt bedeutet nicht, dass es weniger Sicherheit in Notepad++ gibt. Der Autor stellt weiterhin die SHA256 Hash-Werte des Installers und andere Pakete für jedes Release (wie gewohnt) bereit. Zudem überprüft Notepad++ den SHA256 aller vom Programm verwendeten Komponenten (SciLexer.dll, GUP.exe und nppPluginList.dll). Die einzige Änderung: Es gibt jetzt ein gelb-oranges UAC-Popup während der Installation, das warnt, dass das Programm nicht digital signiert ist und fragt, ob der Benutzer diesem Programm vertraut. Bleeping Computer hat hier noch weitere Informationen zum Thema zusammen getragen.
Anzeige
Hab grad unser Code-Signing-Zertifikat für drei Jahre verlängert und erstaunt festgestellt, dass es jetzt 450 Euro kostet.
Und dann noch Probleme mit dem Papierkrieg, da hätte ich auch wenig Lust zu. Kann ihn da schon verstehen.
Ich benutze schon lange Notepad3. Von Notepad++ habe ich noch nie was gehört…
Danke für den Hinweis.
Ich nutze bislang als Editor-Ersatz unter Windows den "flo's freeware – Notepad2".
Der ist einfacher zu benutzen als Notepad++ und für meine Zwecke ausreichend.
Dem Entwickler von Notepad++ kann ich nur zustimmen. Auch mein kleines Programm wird in Zukunft ohne digitale Signatur auskommen müssen. Bisher nutzte ich das Open-Source-Code-Signing-Zertifikat von certum. Aufgrund der Verschärfung der minimalen Anforderungen für Code-Signing-Zertifikate ist es deutlich teurer geworden. Außerdem ist der Identitätsnachweis – auch vorher schon – viel komplizierter geworden. Beim letzten Zertifikat von certum reichten die bisherigen Unterlagen (Kopie vom Personalausweis, Kopie eines Bankauszuges) nicht mehr aus. Es endete damit, dass ich zusätzlich Screenshots von meinen Paypal-Account (persönliche Daten, Zahlungshistorie und Zahlungsdetails der Zahlung an certum) schicken musste. Auf so etwas habe ich keine Lust mehr.
Ganz allgemein bin ich mittlerweile der Meinung, dass der Nutzen digitaler Signaturen bei Software insgesamt eher gering ist und dass deren Bedeutung auch von vielen überschätzt wird. Denn, dass eine Software digital signiert ist, heisst nicht, dass sie vertrauenswürdig, funktionsfähig und ungefährlich ist.
Zitat:
" (und ein Komplize dieser überteuerten Industrie werde). Ich habe beschlossen, auf die digitale Signierung zu verzichten."
BRAVO!
NOTEPAD-PLUS-PLUS[.ORG]:
"Notepad++ 7.7 released… Thanks to DigiCert, Notepad++ is code signed again from the version 7.7. The GPG code signing will still be kept, so people can choose their preffered way to control Notepad++ binaries authenticity."