Wo kann ich ein "Trusted Certificate" kaufen?

[Meisenmann]

Hi,

seit Java 7u51 kommt bei Web Start Anwendungen trotz Signierung (selfcertificate) ein unschöner Warnhinweis.

Wenn ich das richtig verstanden habe, bekomme ich mit einem "Trustet Certificate"

- trotzdem eine Sicherheitsmeldung, allerdings mit einem Namen anstatt UNBEKANNT
- kann die Anwendung auch mit höheren Java Sicherheitseinstellungen starten

Allerdings finde ich mich bei den Anbieter nicht wirklich zurecht. Das Ganze wirkt etwas zerstreut. Hat hier vielleicht schon jemand ein Zertifikat gekauft und kann mir einen Anbieter empfehlen?


Vielen Dank und beste Grüße,
Meisenmann

 

[turtle]

Im Browser sind sogenannte Certification Authorities (CA) hinterlegt.

Dies bedeutet, das der Browser Zertifikaten, die von einem dieser CA signiert wurden, als vertrauenswürdig gelten und daher kein Warnhinweis erzeugen.

Du kannst den Warnhinweis vermeiden, indem du dein Zertifikat als vertrauenswürdig einstufst, indem du es im Browser "importiert".

Dieses ist etwas, was vielen Benutzern nicht zugemutet wird und daher wird stattdessen ein Zertifikat gekauft, das per se von einem der Root-CA signiert wurde. Diese kosten aber, je nach Ausstattung, unterschiedlich viel Geld. Weiterhin haben Zertifikate eine begrenzte Lebenszeit und müssen danach erneuert werden.

Einer der Hauptaussteller ist Thawte bzw. VeriSign

 

[Meisenmann]

vielen Dank für Deine Antwort, turtle!

Bei VeriSign habe ich leider keine Code Signing Angebote gefunden.

Außerdem habe ich noch zwei kurze Fragen

- Kann und darf ich mit diesem Zertifikat beliebig viele (unterschiedliche) JARs signieren?

- Bezieht sich die Lizenz-Laufzeit (1 / 2 Jahre) darauf wie lange ich mit den Lizenzen signieren kann, oder sind die mit der Lizenz signierten JARs dann 1 bzw. 2 Jahre gültig und ich muss diese wieder neu signieren?

vielen Dank und beste Grüße,
Meisenmann

 

[turtle]

Kann und darf ich mit diesem Zertifikat beliebig viele (unterschiedliche) JARs signieren?

Ja.

- Bezieht sich die Lizenz-Laufzeit (1 / 2 Jahre) darauf wie lange ich mit den Lizenzen signieren kann, oder sind die mit der Lizenz signierten JARs dann 1 bzw. 2 Jahre gültig und ich muss diese wieder neu signieren?

Nach dieser Zeit werden die Kunden beim Aufruf informiert, dass das Zertifikat abgelaufen ist. Du musst das Zertifikat erneuern und neu signieren.

Du kannst (natürlich) weiterhin mit deinem abgelaufenen Zertifikat signieren, aber wenn da alle Aufrufer gesagt bekommen, das es abgelaufen ist, erhöht das NICHT das Vertrauen.

Anders sieht es aus, wenn du ein Zertifikat bei der CA für ungültig erklärst. Dann machst du ein "revoke" auf das Zertifikat. Wie das in einem Browser überprüft wird, ist nicht eindeutig spezifiziert und somit Browser-spezifisch. Beim IE beispielsweise kann man es ein/ausschalten, ob geprüft werden soll, ob ein Zertifikat revoked wurde.

 

[Meisenmann]

OK, vielen Dank für Deine Hilfe