Änderungen im Signieren der Kernel-Mode Treiber

17.06.2020 | Petra Alm

Entwickler von Codes für Windows wurden bisher gewohnt, für Signierung von Codes und Treibern vertrauenswürdige Code Signing (EV) Zertifikate von DigiCert zu nutzen. Diese Praxis wird jedoch Microsoft in dem nächsten Jahr ändern und die Ausstellung von Zertifikaten für Signierung von Treibern selbst übernehmen. Mehr Informationen über diese Änderung erfahren Sie in diesem Artikel.

Microsoft wird die Unterstützung für Treibersignierung vonseiten einer Drittpartei beenden

icrosoft hat vor, die Unterstützung für das Signieren der Kernel-Mode-Treiber mit den Zertifikaten einer Drittpartei zu beenden. Der Signierungsprozess, an welchen die Entwickler gewöhnt sind, wird sich somit deutlich ändern. Ab dem Jahr 2021 wird Microsoft die Kernel-Mode Signaturen selbst erstellen. Anweisungen, wie Sie weiter vorgehen sollten, finden Sie in dem Artikel Partner Center for Windows Hardware – die Informationen sind zur Zeit der Ausgabe dieses Artikels jedoch noch nicht aktualisiert.

Reaktion von DigiCert

In der ersten Phase hat DigiCert die Unterstützung der „Microsoft Kernel-Mode Code platform“ aus der Auswahl der Plattform für Code Signing Zertifikate entfernt. Es ist also nicht mehr möglich ein neues Zertifikat für diese Plattform (für diesen Zweck der Nutzung) auszustellen oder es zu verlängern.

Die bestehenden Code Signing Zertifikate können Sie zu diesem Zweck solange nutzen, bis das von Microsoft und DigiCert signierte Root Zertifikat (sog. cross-signed certificate) nicht ablaüft, also bis das Jahr 2021. Die komplette Übersicht der Ablaufdaten finden Sie in dem Artikel von DigiCert, auf welchen wir in den Quellen hinweisen.

Beim gängigen Signieren ändert sich nichts

Die oben beschriebenen Änderungen betreffen nur die Signierung von Treibern für Kernel-Mode, also einen ziemlich spezifischen Zweck der Nutzung  der Code Signing Zertifikate. Für das gängige Signieren von Anwendungen für Windows können Sie auch weiterhin die Code Signing und Code Signing EV Zertifikate von DigiCert nutzen, weil bei dieser üblichsten Art der Signierung alles beim Alten bleibt.

Quellen

Microsoft sunsetting support for cross-signed root certificates with kernel-mode signing capabilities, aufrufbar auf DigiCert.com.

Deprecation of Software Publisher Certificates, Commercial Release Certificates, and Commercial Test Certificates. Aufrufbar auf docs.microsoft.com.