Das Windows-Installationsprogramm von ImageMagick wird künftig nicht mehr signiert

 (github.com/ImageMagick)
1 Punkte von GN⁺ 2023-10-30 | 1 Kommentare | Auf WhatsApp teilen
  • Das Windows-Installationsprogramm von ImageMagick wird aufgrund des Ablaufs des Code-Signing-Zertifikats künftig nicht mehr signiert.
  • Das Zertifikat wurde zuvor von LeaderSSL gesponsert, doch das ist nun nicht mehr möglich.
  • Das CA/B Forum hat seit Juni 2023 neue Anforderungen, wonach private Schlüssel für OV-Code-Signing in Geräten gespeichert werden müssen, die nach FIPS 140-2 Level 2 oder Common Criteria Level EAL4+ zertifiziert sind.
  • Durch diese Änderung kann ImageMagick das Code-Signing-Zertifikat und den zugehörigen privaten Schlüssel nicht mehr exportieren, um sie in GitHub Actions zu verwenden.
  • ImageMagick erwägt die Nutzung einer Cloud-Lösung wie Digicert mit GitHub-Integration, doch diese würde für ein einzelnes Jahr 629 US-Dollar (ohne Steuern) kosten.
  • Das Team ist offen für Sponsoring eines Code-Signing-Zertifikats und bittet interessierte Organisationen, Kontakt aufzunehmen.
  • Diese Änderung betrifft nicht nur .exe-Installationsprogramme, sondern alle Binärdateien, die mit einem Code-Signing-Zertifikat signiert werden.
  • Mehrere Community-Mitglieder schlugen Alternativen wie SignPath, Azure Key Vault und Azure Code Signing vor.
  • Das Team prüft diese günstigeren Optionen und hat sich für mögliche Lösungen an AzureCodeSigningTAP gewandt.
  • In der Diskussion wurde außerdem die Nutzung von Tools wie AzureSignTool und https://github.com/dotnet/sign hervorgehoben, um Dateien in GitHub Actions zu signieren.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-10-30
Hacker-News-Kommentare
  • Dass das Windows-Installationsprogramm von ImageMagick künftig nicht mehr signiert wird, sorgt unter Entwicklern für wachsenden Unmut.
  • Entwickler betonen den Bedarf an einem LetsEncrypt-ähnlichen Dienst für Open-Source-Software, doch dies scheint den Interessen von Microsoft und Apple zu widersprechen.
  • Einige Entwickler argumentieren, dass die neuen Signaturregeln nicht mit automatisierten Release-Workflows kompatibel seien, und stellen den Sicherheitsgewinn infrage.
  • Die Probleme mit der App-Signierung unter Windows und macOS werden zunehmend gravierender, und manche sehen darin einen Druck, stattdessen Web-Apps anzubieten.
  • Es gibt den Vorschlag, dass Drittanbieter die App-Signierung übernehmen könnten, zugleich wird aber infrage gestellt, ob dies durch EULAs verboten ist.
  • Dass ein weit verbreitetes Projekt wie ImageMagick sich Software-Signierung nicht leisten kann, erscheint wie ein Versagen der Tech-Industrie, Open-Source-Projekte zu unterstützen.
  • Entwickler teilen Wege zur Signierung von Windows-Binärdateien für Open-Source-Projekte und äußern Unmut darüber, dass man für diesen Prozess überhaupt bezahlen muss.
  • Es gibt Kritik daran, dass große Tech-Unternehmen wie Microsoft die FOSS-Welt nicht dabei unterstützen, ohne Kosten oder zusätzlichen Aufwand auf ihren Plattformen zu veröffentlichen.
  • Einige Entwickler haben zwar Lösungen für die neuen Signaturanforderungen gefunden, beklagen jedoch mangelnde Informationen und hohe Kosten.
  • SignPath wurde als mögliche Lösung für die Code-Signierung von Open-Source-Projekten vorgeschlagen.
  • Entwickler wünschen sich niedrigere Kosten für Signaturzertifikate und stellen die Notwendigkeit hoher jährlicher Gebühren infrage.
  • Die Situation wird mit einer Philosophie des „schwindenden Eigentums an Software“ verglichen, ähnlich der Idee eines „Rechts zu lesen“.