fix signature-tags

.gitea/workflows/docker-builder.yml

@@ -252,30 +252,20 @@ jobs:
           cosign version
 
       - name: Sign image
-        if: steps.check_files.outputs.should_build == 'true'
         shell: bash
         env:
           COSIGN_PRIVATE_KEY: ${{ secrets.COSIGN_PRIVATE_KEY }}
           COSIGN_PASSWORD: ${{ secrets.COSIGN_PASSWORD }}
-          COSIGN_EXPERIMENTAL: "1"
           COSIGN_SKIP_REKOR_UPLOAD: "true"
-          # DAS HIER IST DER TRICK:
-          # Wir verschieben die Signaturen in einen Unterordner
           COSIGN_REPOSITORY: ${{ env.REGISTRY_HOST }}/${{ env.IMAGE_BASE }}/signatures
         run: |
-          set -euo pipefail
-          
-          if [[ "$IS_TAG" == "true" ]]; then
-            IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:${VERSION}"
-          else
-            IMAGE_TO_SIGN="${REGISTRY_HOST}/${IMAGE_BASE}:main"
-          fi
-          
-          echo "Signing image: $IMAGE_TO_SIGN"
           echo "$COSIGN_PRIVATE_KEY" > cosign.key
-
-          # Wir lassen das oci-1-1 Flag weg, da COSIGN_REPOSITORY 
-          # die sauberere Lösung für Gitea ist.
-          cosign sign --yes --recursive --key cosign.key "${IMAGE_TO_SIGN}"
+          
+          # Wir erzwingen den Legacy-Modus (Tags mit .sig Endung)
+          # Wir setzen --tlog-upload=false sicherheitshalber auch hier
+          cosign sign --yes --key cosign.key \
+            --tlog-upload=false \
+            --registry-referrers-mode legacy \
+            "${REGISTRY_HOST}/${IMAGE_BASE}:main"
 
           rm -f cosign.key