Windows 10: Strengere Bedingungen im Signieren

30.08.2016 | Petra Alm

Im Juli hat Microsoft die Bedingungen fürs Signieren von Drivers in dem Windows System verschärft. Die neuen Erfordernisse sollten Sie beachten, denn ein einfaches Code Signing Zertifikat wird für die Drivers-Signaturen und die Nutzung des Dev Portals nicht mehr ausreichend sein. Für Windows Hardware Dev Center Dashboard und Herausgabe von Treibern benötigen Sie ein EV Code Signing Zertifikat.

Für neue Drivers im Kernel Mode benötigen Sie eine EV-Signatur

Für das Windows Hardware Dev Center Dashboard und Signieren von Kernel Mode Drivers erfordert Microsoft neu ein Zertifikat mit der erweiterten Validierung – EV. Die größte Änderung kommt mit Windows 10 und dem Build 1607. Eine neue Installierung des Systems (mit dem eingeschalteten Secure Boot) wird es nicht zulassen, den Kernel Mode Driver ohne die Signatur von dem Portal Windows Hardware Developer Center Dashboard zu verwenden.

Microsoft fängt eigentlich an, die bereits seit der Vorstellung von Windows 10 bekannten Regeln zu erzwingen. Zusammen mit Windows 10 wurde auch die Bedingung veröffentlicht, neue Drivers in dem Dev Portal zu signieren. Frühere Installierungen des Systems werden die EV-Signatur von Drivers zwar nicht erfordern, für das bereits erwähnte Portal ist das EV-Zertifikat jedoch sowieso unerlässlich - Microsoft berücksichtigt nämlich nicht, für welches Operationssystem die Drivers herausgegeben werden. Um die Situation noch mehr verwirrend zu machen, soll bei den Drivers, die mit einem vor 29.7.2015 ausgestellten Zertifikat signiert worden sind, die EV-Signatur nicht nötig sein. Bestehende Drivers müssen also laut Microsoft nicht erneut unterschrieben werden.

Kurz gesagt müssen alle neue Drivers über Windows Hardware Developer Center Dashboard Portal veröffentlicht und vor dem Einspielen mit einem EV-Zertifikat unterschrieben werden.

Die Bekanntmachung über die erzwungene EV-Signatur finden Sie auf dem Blog Windows Hardware Certification. Detailliert erklärt wird die Problematik in den FAQs, die sich dem Signieren von Zertifikaten widmen. Von Nutzen kann Ihnen auch der Text Driver Signing Policy sein.

Warum verlangt Microsoft die EV-Signatur?

Die Erfordernisse für die Signierung des Codes wurden wegen der Sicherheit von Entwicklern und Systembenutzern verschärft. Üblicherweise sind die Code Signing Zertifikate in dem System zusammen mit dem privaten Schlüssel gespeichert, im schlimmeren Fall auf dem Desktop als eine PFX-Datei. Diebstahl eines auf diese Art und Weise gespeicherten Zertifikats ist einfach und mit dem Raub könnte der Angreifer seinen eventuellen Schadcode problemlos mit dem Namen der betroffenen Firma unterschreiben.

Dem gegenüber ist ein Zertifikat mit der erweiterten Validierung auf einem Token gespeichert, auf dem auch sein privater Schlüssel hinterlegt ist. Um das Zertifikat verwenden zu können, muss in die Bedienungsapp immer ein Passwort eingegeben werden. Diesen Vorgang kann man nur ein paar Mal wiederholen und dadurch wird verhindert, dass sich das Passwort mit einem Wörterbuchangriff durchbrechen lässt. Der Zertifikatsinhaber kann sich also auf ein viel höheres Sicherheitsniveau als im Fall eines normalen Code Signing Zertifikats verlassen.

Token mit dem EV-Zertifikat

Für Inhaber eines EV Code Signing Zertifikats stellt außer der risikofreien Verwendung und Übereinstimmung mit den oben erklärten Erfordernissen einen weiteren Vorteil auch die absolute Vertrauenswürdigkeit der signierten Anwendung im Windows SmartScreen Filter dar. Dieser blockiert oft solche Programme, die mit einem einfachen oder eben neuausgestellten Code Signing Zertifikat signiert worden sind, was für die Entwickler natürlich äußerst unangenehm ist. Das Starten wird im Windows unterbrochen und der Benutzer wird auf eine potenzielle Gefahr in der App hingewiesen.

Warnung im SmartScreen Filter

Die Vertrauenswürdigkeit von Anwendungen im SmartScreen wird nach einer fragwürdigen Bewertung von Microsoft eingestuft, nicht nach der Reputation der ausstellenden Zertifizierungsstelle. Vielen Entwicklern bereitet somit SmartScreen Kopfschmerzen, welchen sie sich jedoch mit dem EV-Zertifikat ausweichen können.

Wo können Sie ein EV Code Signing Zertifikat erwerben?

Ein EV-Zertifikat für Signierung von Codes erwerben Sie auf SSLmarket.de. Obwohl das Token von Symantec per einen Kurier versendet wird, beträgt die Lieferzeit annehmbare 10 Tage. Auf das gelieferte Token können Sie dann das ausgestellte EV-Zertifikat selbst herunterladen und Ihre Anwendungen und Drivers unterschreiben.

Das EV-Zertifikat im unseren Angebot wird direkt von Symantec ausgestellt, also von der größten Zertifizierungsstelle der Welt. Sie brauchen sich keine Sorgen mit seiner Vertrauenswürdigkeit zu machen und das Zertifikat wird Sie auch von den Problemen mit dem SmartScreen Filter befreien.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de