top of page

Kostenloses Code-Signing für Open Source: unsere Bewerbung bei SignPath 🔏

  • Autorenbild: Marcel Dütscher
    Marcel Dütscher
  • vor 3 Tagen
  • 2 Min. Lesezeit

Wer unser Spiel unter Windows installiert, kennt vielleicht diesen Moment: „Der Computer wurde durch Windows geschützt" — SmartScreen warnt vor einem „unbekannten Herausgeber", und man muss erst auf „Weitere Infos → Trotzdem ausführen" klicken. Das liegt nicht an einem Virus, sondern schlicht daran, dass unsere Installer bisher nicht signiert sind. Diese Warnung wollen wir loswerden — ohne ein teures Zertifikat kaufen zu müssen.


Das Problem mit Code-Signing-Zertifikaten. Ein Windows-Herausgeberzertifikat (OV oder EV) kostet je nach Anbieter jährlich Geld, oft verbunden mit Firmennachweis und Hardware-Token. Für ein kommerzielles Studio ein Posten unter vielen. Für ein Open-Source-Familienprojekt eine echte Hürde — und irgendwie auch die falsche: Wir sind ja transparent, der komplette Quellcode liegt öffentlich.


Die Lösung: die SignPath Foundation. SignPath vergibt Code-Signing kostenlos an Open-Source-Projekte. Genau dafür haben wir uns jetzt beworben. Bewilligt ist noch nichts — die Prüfung läuft — aber die Vorbereitung war lehrreich genug, um sie hier zu teilen. Falls ihr ein eigenes OSS-Projekt signieren wollt: Das hier mussten wir erledigen.


1. Die Voraussetzungen. Öffentliches Repository, eine anerkannte OSI-Lizenz (bei uns AGPL-3.0), veröffentlichte Releases mit erkennbar aktiver Entwicklung und Dokumentation — und, nicht verhandelbar: Zwei-Faktor-Authentifizierung auf dem GitHub-Konto. Dazu hilft ein bisschen Projekt-Reputation: Website, Videos, ein paar Stars.


2. Die Code-Signing-Policy (der wichtigste Punkt). SignPath will genau wissen, wie bei euch signiert wird. Dafür haben wir eine CODE_SIGNING.md ins Repo gelegt, die festhält: welches das offizielle Repository ist, welche Artefakte signiert werden, dass ausschließlich der CI-Release-Workflow signiert (niemals ein lokaler Build auf irgendeinem Laptop), wer Releases freigibt — und ein Link zur Datenschutzerklärung. Dieser Punkt ist das Herzstück der Bewerbung.


3. Die Download-Seite muss SignPath nennen. Das Formular verlangt eine „Download-URL", auf der SignPath erwähnt wird. Wir haben dafür den Sicherheitshinweis in unserer README umgeschrieben. Wichtig war uns die Ehrlichkeit: Solange noch nicht signiert wird, steht dort ausdrücklich, dass die Signierung gerade eingerichtet wird — kein Versprechen, das noch nicht stimmt.


4. Eine echte Datenschutzerklärung. Wenn eure Software Daten verarbeitet — bei uns etwa Absturzberichte und Spielerkonten — braucht es eine echte DSGVO-Datenschutzerklärung, keinen Platzhalter aus dem Website-Baukasten.


5. Absenden. Formular ausfüllen (Repo, Homepage, Download- und Privacy-URL, ein Einzeiler zum Projekt, Reputation, Build-System = GitHub Actions), Pflicht-Häkchen setzen, abschicken.


Jetzt heißt es warten: Die Prüfung läuft manuell, üblicherweise ein bis zwei Wochen, eventuell mit Rückfragen. Wird sie bewilligt, bauen wir den Signier-Schritt in unsere CI-Pipeline ein — und dann verschwindet die SmartScreen-Warnung für alle, die das Spiel herunterladen. Sobald wir Rückmeldung haben, folgt Teil 2 mit der konkreten CI-Integration.


Drückt uns die Daumen. 🤞

Aktuelle Beiträge

Alle ansehen

Kommentare


bottom of page