Veröffentlicht: 7. Mai 2025
Ab dem 7. Mai 2025 können Sie festlegen, dass zukünftige Uploads in den Chrome Web Store mit einem vertrauenswürdigen privaten Schlüssel signiert werden müssen. So kannst du dafür sorgen, dass nur du neue Releases hochladen kannst, auch wenn dein Konto oder dein Veröffentlichungsablauf manipuliert wurde.
So funktioniert die Signatur ohne den privaten Schlüssel
Alle Erweiterungen im Chrome Web Store sind von Google signiert. Dieser Schlüssel wird jedoch vom Chrome Web Store verwaltet und die Signatur erfolgt automatisch, wenn ein neues Paket hochgeladen wird. Das bedeutet, dass jeder Nutzer mit Zugriff auf Ihr Entwickler-Dashboard ein Paket zur Signatur und Veröffentlichung hochladen kann.
Was ändert sich?
Sie können jetzt festlegen, dass der Chrome Web Store einen öffentlichen RSA-Schlüssel zur Überprüfung zukünftiger Uploads verwendet. Alle Uploads, die nicht mit diesem öffentlichen Schlüssel signiert sind, werden abgelehnt. So wird für zusätzliche Sicherheit gesorgt.
Wenn ein Upload diese Überprüfung besteht, wird er vor der Veröffentlichung automatisch mit dem vorhandenen privaten Schlüssel neu verpackt. So behält die Erweiterung dieselbe ID und wird mit einem von Chrome als vertrauenswürdig eingestuften Schlüssel signiert.
Wenn Sie die Funktion nicht aktivieren, werden Ihre Uploads weiterhin von Google signiert.
Für das Betatestprogramm anmelden
Rufen Sie im Entwickler-Dashboard den Tab Paket für Ihren Artikel auf und klicken Sie auf die Schaltfläche Aktivieren. Sie werden aufgefordert, einen öffentlichen Schlüssel anzugeben:
Weitere Informationen zum Generieren und Speichern eines unterstützten Schlüssels finden Sie in der Chrome Web Store-Dokumentation.
Weitere Informationen
Weitere Informationen finden Sie in unserer aktualisierten Dokumentation. Fragen können an die Mailingliste chromium-extensions gesendet werden.