Korzystaj z profesjonalnego certyfikatu DigiCert Code Signing

Jak działa certyfikat DigiCert Code Signing

Certyfikat DigiCert Code Signing umożliwia cyfrowe podpisywanie oprogramowania w celu potwierdzenia tożsamości wydawcy oraz integralności kodu. Podpisany plik zawiera czytelną informację o autorze aplikacji i gwarantuje, że jego zawartość nie została zmodyfikowana po podpisaniu.

Podpisany kod jest lepiej postrzegany przez systemy operacyjne oraz mechanizmy bezpieczeństwa (np. Microsoft SmartScreen), co w praktyce zmniejsza liczbę ostrzeżeń wyświetlanych podczas instalacji aplikacji i zwiększa zaufanie odbiorców. Skuteczność tych mechanizmów zależy również od reputacji aplikacji oraz sposobu jej dystrybucji.

Aby zmaksymalizować liczbę użytkowników pobierających i instalujących Twoje oprogramowanie, proces instalacji powinien zaczynać się od komunikatu, który buduje zaufanie, a nie od ostrzeżenia.

„This app has been blocked for your protection”, to zdecydowanie nie jest komunikat, który zachęca do instalacji aplikacji lub oprogramowania. Jeśli chcesz uniknąć takiego ostrzeżenia i zamiast tego wzbudzić zaufanie, Twój kod musi być cyfrowo podpisany, aby potwierdzić jego autentyczność i integralność.

Certyfikat może być używany do podpisywania m.in. plików wykonywalnych (.exe, .msi, .dll), instalatorów, aktualizacji oprogramowania, skryptów oraz makr Microsoft Office. Możliwe jest podpisywanie dowolnej liczby aplikacji i ich wersji w okresie ważności certyfikatu.

DigiCert stosuje rygorystyczne procedury weryfikacji wydawców oprogramowania (OV oraz EV) oraz zapewnia obsługę mechanizmów weryfikacji statusu certyfikatu (CRL, OCSP) i znakowanie czasem (timestamping). Dzięki temu podpis pozostaje ważny także po wygaśnięciu certyfikatu, o ile został wykonany w okresie jego ważności.

Działanie certyfikatu DigiCert Code Signing na wielu różnych platformach

Certyfikaty DigiCert Code Signing są obsługiwane przez większość głównych platform i umożliwiają podpisywanie kodu na wielu systemach. Pozwalają na podpisywanie m.in.:

• aplikacji Microsoft Authenticode
• aplikacji Apple
• plików Adobe AIR
• oraz innych formatów

Bezpieczne przechowywanie klucza prywatnego

Zgodnie z aktualnymi wymaganiami branżowymi klucz prywatny certyfikatu Code Signing musi być generowany i przechowywany w bezpiecznym środowisku sprzętowym, takim jak token kryptograficzny lub usługa HSM. Ma to na celu ochronę klucza przed kradzieżą i nieautoryzowanym użyciem.

W zależności od wybranego wariantu certyfikat może być:

• dostarczony na fizycznym tokenie kryptograficznym lub zainstalowany na już posiadanym tokenie spełniającym wymagania techniczne (FIPS 140-2 Level 2 / CC EAL4+ lub równoważne),
• wydany w modelu bez fizycznego tokena, z wykorzystaniem bezpiecznej infrastruktury HSM (cloud signing).

Szczegóły dotyczące sposobu podpisywania kodu zależą od wybranego wariantu certyfikatu.

Różnice między OV i EV Code Signing

Certyfikat OV Code Signing potwierdza tożsamość organizacji jako wydawcy oprogramowania. Certyfikat EV Code Signing obejmuje rozszerzoną weryfikację i w praktyce pozwala szybciej budować zaufanie aplikacji w systemach operacyjnych.

W określonych scenariuszach certyfikat EV może ograniczyć liczbę ostrzeżeń bezpieczeństwa, jednak ich całkowite wyeliminowanie zależy również od reputacji aplikacji oraz sposobu jej dystrybucji, a nie wyłącznie od typu certyfikatu.

Zamawianie certyfikatu DigiCert Code Signing

Proces zamówienia certyfikatu DigiCert Code Signing różni się od standardowych certyfikatów SSL. Klucz prywatny certyfikatu Code Signing jest generowany i przechowywany w bezpiecznym środowisku sprzętowym, zgodnie z aktualnymi wymaganiami bezpieczeństwa.

W zależności od wybranego wariantu certyfikat może być:

• dostarczony na fizycznym tokenie kryptograficznym lub
• wydany w modelu bez fizycznego tokena, z wykorzystaniem bezpiecznej infrastruktury HSM (cloud signing).

Po złożeniu i opłaceniu zamówienia rozpoczyna się proces weryfikacji danych podmiotu aplikującego o certyfikat (OV lub EV). Po jego pomyślnym zakończeniu DigiCert wydaje certyfikat oraz udostępnia instrukcje dotyczące podpisywania kodu w wybranym modelu.

W przypadku zakupu certyfikatu na okres dłuższy niż jeden rok certyfikat jest odnawiany zgodnie z obowiązującymi limitami ważności, przy zachowaniu ciągłości subskrypcji.

Złożenie zamówienia jest równoznaczne z akceptacją DigiCert Code Signing Certificate Subscriber Agreement. Szczegółowe informacje dotyczące procedury weryfikacyjnej oraz zasad korzystania z certyfikatu znajdziesz w dokumentacji DigiCert.

Częste pytania o certyfikaty Code Signing

Jak działa rozwiązanie DigiCert Code Signing?

Certyfikat Code Signing umożliwia cyfrowe podpisywanie oprogramowania w celu potwierdzenia tożsamości wydawcy oraz integralności kodu. Podpis cyfrowy gwarantuje, że aplikacja pochodzi od zweryfikowanego podmiotu i że jej zawartość nie została zmodyfikowana po podpisaniu.

Podpisany kod jest rozpoznawany przez systemy operacyjne i mechanizmy bezpieczeństwa, które wyświetlają użytkownikom informacje o wydawcy zamiast ostrzeżeń o nieznanym pochodzeniu.

Dla kogo jest przeznaczony certyfikat Code Signing?

Certyfikat Code Signing jest przeznaczony dla wydawców oprogramowania i aplikacji, którzy dystrybuują swoje produkty w Internecie. Nie należy mylić go z certyfikatem SSL – Code Signing służy do zabezpieczania kodu aplikacji, a nie połączeń sieciowych.

Certyfikat jest szczególnie istotny, jeśli zależy Ci na budowaniu reputacji wiarygodnego wydawcy oraz ograniczeniu ostrzeżeń bezpieczeństwa podczas instalacji oprogramowania.

Wersja EV Code Signing obejmuje rozszerzoną weryfikację wydawcy i w praktyce pozwala szybciej budować zaufanie aplikacji w systemach operacyjnych. Należy jednak pamiętać, że wyświetlanie ostrzeżeń (np. SmartScreen) zależy również od kontekstu dystrybucji i reputacji aplikacji, a nie wyłącznie od typu certyfikatu.

Czy certyfikat Code Signing uwierzytelnia zawartość mojego kodu?

Certyfikat Code Signing nie analizuje ani nie ocenia funkcjonalności oprogramowania. Potwierdza on wyłącznie, że dany kod pochodzi od zweryfikowanego wydawcy oraz że nie został zmodyfikowany od momentu podpisania.

Dla użytkownika końcowego oznacza to jasną informację o autorze aplikacji oraz pewność, że pobrany plik jest oryginalny i nie został naruszony w trakcie dystrybucji.

Jak często i ile aplikacji mogę podpisać?

W okresie ważności certyfikatu możesz podpisać dowolną liczbę aplikacji, ich wersji oraz aktualizacji. Ograniczenia ilościowe nie obowiązują.

Istotny jest moment podpisania pliku – jeżeli aplikacja zostanie podpisana w czasie ważności certyfikatu i opatrzona znacznikiem czasu (timestamp), podpis pozostaje ważny także po wygaśnięciu certyfikatu.

Czy klucz prywatny certyfikatu jest bezpieczny?

Tak. Zgodnie z aktualnymi wymaganiami bezpieczeństwa klucz prywatny certyfikatu Code Signing musi być generowany i przechowywany w bezpiecznym środowisku sprzętowym, takim jak token kryptograficzny lub infrastruktura HSM.

Zapewnia to ochronę klucza przed kradzieżą i nieautoryzowanym użyciem oraz zwiększa bezpieczeństwo procesu podpisywania kodu.

Jak wygląda procedura weryfikacji OV (Organization Validation)?

Procedura OV polega na potwierdzeniu tożsamości organizacji występującej o certyfikat Code Signing. W jej trakcie DigiCert weryfikuje m.in. formalne dane firmy, jej istnienie prawne oraz prawo do używania podanej nazwy.

Weryfikacja odbywa się na podstawie ogólnodostępnych rejestrów, dokumentów firmowych oraz danych kontaktowych. W niektórych przypadkach może być wymagane potwierdzenie telefoniczne. Po pozytywnym zakończeniu weryfikacji certyfikat może zostać wydany.

Standardowy czas realizacji procedury OV wynosi zwykle od kilku dni roboczych do około 1–2 tygodni, w zależności od kompletności danych i szybkości ich potwierdzenia.

Jak wygląda procedura weryfikacji EV (Extended Validation)?

Procedura EV obejmuje rozszerzoną, wieloetapową weryfikację organizacji i jej uprawnień jako wydawcy oprogramowania. Oprócz standardowej weryfikacji danych firmowych DigiCert sprawdza również m.in. status prawny podmiotu, jego rzeczywistą działalność operacyjną oraz osoby upoważnione do składania wniosku.

W ramach procesu EV może być wymagane dostarczenie dodatkowych dokumentów, potwierdzenie telefoniczne z osobą decyzyjną w organizacji oraz dokładniejsze sprawdzenie danych w niezależnych źródłach.

Ze względu na zakres weryfikacji procedura EV trwa dłużej niż OV i zazwyczaj zajmuje od 1 do 4 tygodni. Czas ten może się wydłużyć w przypadku braków formalnych lub konieczności dodatkowych wyjaśnień.