Probleme mit Codesignaturen
tl;dr
Wenn Sie ab dem 1. April 2025 eine vorkompilierte OpenSource-Software oder Freeware von mir herunterladen, installieren Sie bitte vorab die folgende Zertifikatsdateien auf Ihrem Computer. Für Windows-Anwender habe ich einen handlichen Installer angefertigt, der mit einem gültigen Zertifikat gesichert ist.
Preisvergleich
Ich habe die neue Preisgestaltung meines ehemaligen Anbieters, der “Comodo CA” verglichen. Seinerzeit habe ich die 2-Jahres-Option gewählt, daher enthält die folgende Tabelle auch die Preise für 2 Jahre Code Signing. Hier ist das Ergebnis:
| 2023 | 2025 | 2027 | |
|---|---|---|---|
| Hardware-Token 1 | € 0,- | € 101,15 1 | € 0,- |
| Zertifikat für 2 Jahre | € 159,30 | € 525,51 2 | € 525,51 |
| Versandkosten nach Deutschland | € 0,- | ab € 11,90 | € 0,- |
| Gesamtkosten | € 159,30 | € 638,56 | € 525,51 3 |
1 Am Beispiel des YubiKey 5 5C NFC FIPS: Kaufpreis € 101,15 zzgl. Versandkosten “ab € 11,90”
2 Comodo Code Signing, 2 Jahre, US$ 478,17, umgerechnet mit Kurs €1 = US$ 1,0828 vom 28. März 2025, zzgl. 19% Umsatzsteuer
3 Zukünftige Preise können sich natürlich ändern
300% mehr
Bei einer Preiserhöhung von 300% hoffe ich stark, dass ich mich verrechnet habe, daher habe ich auch alle Preisquellen unter der Tabelle verlinkt.
Kauft man den Hardwareschlüssel gleich über Comodo und läßt ihn nach Deutschland schicken (für Versandkosten von US$ 130,-) steht dann gleich US$ 661,30 auf der Rechnung, wobei anzunehmen ist, dass auf diesen Preis noch die Mehrwertsteuer von 19% aufgeschlagen wird. Es muss auch damit gerechnet werden, dass dieser Hardwareschlüssel von der Zollbehörde zurückgehalten und durch Zahlung eines Importzoll ausgelöst werden muss.
Um den Preis nachzuvollziehen, wählen Sie auf der Comodo-Bestellseite folgende Einstellungen: 2 Jahre, Standard Validation, “USB-Token, International Shipping (non-US) $130”, Quantity: 1
Wirtschaftliche Motive?
Die neue Regelung wurde vom CA/B Forum durchgesetzt. Das CA/B Forum ist keine neutrale Regulierungsbehörde, sondern ein Zusammenschluss von CAs und Browserherstellern. Weder Nutzer noch unabhängige Entwickler haben dort eine Stimme.
Während große Softwareunternehmen wie Microsoft, Google oder Adobe keine Probleme haben, sich FIPS 140-2 kompatible Hardeware zu leisten und gleichzeitig die überhöhten Preise bei den CAs zu zahlen, werden Freeware und OpenSource-Entwickler unangemessen benachteiligt, da sie keine Einnahmen mit ihrer Arbeit erwirtschaften. Diese Regelung wird langfristig dazu führen, dass nur noch Firmen signierte Software veröffentlichen können und Anwender auf kommerzielle Angebote der etablierten Anbieter ausweichen werden.
Eine freiwillige Option für FIPS 140-2 kompatible Hardware wäre wünschenswert gewesen. Die technischen Grundlagen für sichere Schlüsselaufbewahrung waren auch vorher vorhanden (z. B. Trusted Platform Module, PFX mit starkem Passwortschutz). Vor der Änderung kostete ein Zertifikat für 2 Jahre zwischen € 100 und € 200, nun sind es mehr als € 500.
Die direkten Gewinner sind die CAs und Hardwareanbieter
Die CAs, die im CA/B Forum sitzen, profitieren direkt von den gestiegenen Preisen. Zusätzlich verdienen Hersteller von FIPS 140-2 Token & HSMs mit. Entwickler haben keine Alternative mehr zu diesen teuren Lösungen – eine klassische Marktkontrolle.
Ein Schelm, wer Böses dabei denkt.
Links
Wikipedia Artikel FIPS 140-2 (Federal Information Processing Standard Publication 140-2)
Produktseite Comodo Code Signing
Produktseite YubiKey 5C FIPS
Webseite des CA/B Forum
Kommentare
Keine Kommentare
