Anbieter unbekannt nach Signierung einer Java-Webstart Anwen

    Hallo,
    ich habe eine alte Java-Webstart / SWT-Applikation signiert mit einem selbst erstellten Zertifikat, da ich den Manifest-Dateien der einzelnen Jars die Sicherheitsattribute Permissions und Codebase hinzufügen musste. Mit dieser Aktion bin ich bei Firefox schon mal eine Warnmeldung losgeworden. Nun warnt Firefox aber noch, dass der Anbieter unbekannt sei und dass solche Anwendungen in einem künftigen Firefox-Release gesperrt werden.
    Beim Anlegen des Zertifikats habe ich aber alle Angaben gemacht (CN=commonName, OU=organizationUnit, O=organizationName, L=localityName, ST=stateName, C=country). In der Vergangenheit wurde auch immer mein Name als Anbieter angezeigt, zwar nicht vertrauenswürdig eingestuft, aber nicht unbekannt und der Mitarbeiter konnte dann selbst entscheiden, ob er der Anwendung vertraut oder nicht.
    Was muss ich denn tun, damit wieder ein Name erscheint und die Anwendung nicht gesperrt wird? Angelegt habe ich das Zertifikat mit keytool.

    keytool -genkey -keystore keystore.myapp20131025 -alias selfsigned -validity 3600 -dname "cn=Thomas Barth, ou=Administration, o=<Firma>, l=<Stadt>, st=NRW, c=DE"

    Gruß,
    Thomas Barth

    Ist doch logisch, wenn dein Cert nicht verifiziert werden kann. Richtige Certs sind ja nicht umsonst so teuer (godaddy, comodo,verisign=apotheke). Entweder richtig oder mit den Makeln leben.

    Firefox droht aber, die Anwendung zu sperren! Hat der Anwender aber immer noch die Möglichkeit, die Anwendung trotzdem zu starten? Und nur weil ich für die Beglaubigung kein Geld ausgebe, bedeutet das noch lange nicht, dass der Urheber unbekannt ist, schon gar nicht, wenn cn, ou, o, usw. korrekt angegeben wurden. Wenn ich mir das Zertifikat im Browser selbst anzeigen lasse, werden alle Angaben der Signierung angezeigt. Insofern ist die Warnmeldung einfach falsch.

    Glaub mal, Zertifikate werden überprüft - wenn du Missbrauch damit treibst, bist du es schneller los als du klicken kannst. Wenn deine App gesperrt wird, dann ist es eben so aus den genannten Gründen - im Bereich Java wird einfach zuviel Schindluder getrieben, als dass sowas auf die leichte Schulter genommen wird. Und entschuldigung - ich kenn dich weder noch, also warum sollte ich dir vertrauen? Wenn du DER Thomas Barth bist aus Köln (bzw Siegen) , würde dir dein Intellekt schon das gleiche sagen.

    Guter Hinweis! Ich hatte die Warnungen mit Firefox in Verbindung gebracht, weil ich die Anwendung über den Browser gestartet hatte. Die Warnung erhalte ich auch, wenn ich sie über den Java Control Panel starte. Wie es aussieht, zwingt Oracle nun alle Entwickler, die Zertifikate für Applets und Web-Start Anwendungen von einer vertrauenswürdigen Quelle ausstellen zu lassen und zwar ab Januar 2014. Reine Geldschneiderei! Ich erkaufe mir nun also meine Vertrauenswürdigkeit, ob die Anwendung selbst sicher ist, spielt dabei ja keine Rolle. Dazu Oracle:

    RIAs müssen zwei Dinge enthalten:
    Code-Signaturen einer vertrauenswürdigen Quelle. Alle Codes für Applets und Web Start-Anwendungen müssen signiert sein, unabhängig von den Berechtigungsattributen des jeweiligen Codes.
    http://www.java.com/de/download/faq/signed_code.xml

    Ok, gehört dann hier nicht hin. Ich hatte wegen dieser Sache heute wirklich Stress :-/

    Gruß,
    Thomas Barth