Angeregt durch viele Diskussionen zum Thema Sicherheit im Internet und bei der Anwendungsentwicklung habe in den letzten Tagen damit begonnen, einige Domains mit SSL-Zertifikaten zu schützen bzw. https:// zu aktivieren.
Begonnen habe ich mit download.tschoessow.org, dieses ist die Subdomäne zum Download meiner Software. Eingestellt habe ich per .htaccess, dass immer auf https:// verwiesen wird, auch wenn nur http:// gefordert war. In der nächsten Zeit werden andere Domains folgen.
Daneben hebe ich mich wieder entschlossen, meine Software bzw. die Installationsprogramme per Authenticode zu signieren. Ich hatte dies vor einigen Jahren schon einmal für längere Zeit durchgeführt, bin aber zwischendurch mangels bezahlbarer Quellen für Zertifikate wieder davon abgekommen. Bei StartSSL habe ich einen für mich bezahlbaren Anbieter gefunden der ein Authenticode Zertifikat heraus gibt. Es ist zwar nur die „light“ Variante, da mit dem von mir verwendeten Zertifikat keine „Kernel Signatur“ möglich ist. Darauf kann ich allerdings getrost verzichten.
Besonders in sensitiven Software-Umgebungen erscheinen beim Ausführen eines signierten Installationsprogramms bzw. einer signierten ausführbaren Datei unter Windows dann nicht mehr so viele Sicherheitswarnungen. Diese ist vor allem dann angezeigt, wenn bei jedem Ausführen einer nicht signierten Anwendung ansonsten jedes Mal eine Abfrage erscheint. Es wirkt auch etwas „unprofessionell“, wenn man Software geschrieben hat, diese verkaufen will und dann bei der Installation eine Warnung erscheint. Sicherlich kann man diesen Schutz auch aushebeln, es ist einfach ein zusätzliches Feature.
Ich habe bereits damit begonnen, meine aktuellen Softwareprojekte
- Inventarverwaltung TSInventar
- Vertragsverwaltung TSVertrag
- Inventorymanagement TSInventory
- Contract Management TSContract
erneut zu signieren und zum Download anzubieten. Dabei sind nicht nur die ausführbaren Dateien und das Setup selbst signiert. Die PDF Dateien, wie Handbücher und Programmvorstellungen sind ebenfalls digital unterschrieben und gegen Veränderungen gesperrt. Die PDF Signierung ist allerdings in den meisten der von mir verwendeten PDF Viewern völlig ignoriert worden. Lediglich Adobe zeigt an, dass eine Unterschrift vorhanden ist und gibt diese aus.