Codesignaturzertifikate
Signieren Sie Ihren Code mit einer validierten Identität, auf dem für Ihre Bedürfnisse passenden Niveau.
Vier Zertifikate, ein Zweck: der Nachweis, dass die von Ihren Benutzern heruntergeladene Software von Ihnen stammt und seitdem nicht verändert wurde.
Codesignaturzertifikate
EV-Code-Signierung
Für maximales Vertrauen
Erforderlich für Kernelmodustreiber und das Windows Hardware Dev Center. Signaturen bleiben auch nach Ablauf des Zertifikats gültig. Organisationsidentität erforderlich.
Einzelunternehmer EV-Code-Signierung
EV-Treuhandfonds für Einzelpersonen
Volle Vorteile für Elektrofahrzeuge, Treibersignatur im Kernelmodus, Signaturen mit Zeitstempel, Validierung als Einzelperson. Keine eingetragene Geschäftseinheit erforderlich.
OV-Codesignatur
Für Organisationen
Organisationsname verifiziert und angezeigt. Vertrauenswürdig auf allen Windows-Versionen. Ideal für Softwareunternehmen und unabhängige Softwareanbieter, die an Endkunden vertreiben.
IV-Code-Unterzeichnung
Für einzelne Entwickler
Jeder Installer enthält Ihren persönlichen Namen. Keine Geschäftsdokumente erforderlich. Ideal für unabhängige Entwickler, Open-Source-Maintainer und Freelancer.
SSL.com bietet IV-Code-Unterzeichnung für einzelne Entwickler OV-Codesignatur für Organisationen Einzelunternehmer EV-Code-Signierung für Einzelpersonen und Einzelunternehmer, die Vertrauen auf Elektrofahrzeug-Niveau benötigen, und EV-Code-Signierung Für Organisationen, die die Signierung von Treibern im Kernelmodus benötigen. Alle sind unter Windows vertrauenswürdig und mit Cloud-HSM-gestützter Signierung über eSigner verfügbar.
Vergleich von Code-Signatur-Zertifikaten
| Funktion | IV: Individuum | OV: Organisation | EV SP: Einzelunternehmer | EV: Erweiterte Validierung |
|---|---|---|---|---|
| Für wen der WHS gedacht ist | Unabhängige Entwickler, Open-Source-Maintainer | Softwareunternehmen, ISVs, Unternehmen | Einzelunternehmer, die volles Vertrauen in Elektrofahrzeuge benötigen | Unternehmen, Treiberhersteller, CI/CD-Pipelines |
| Name auf dem Installationsprogramm | verifizierter Name der Person | Verifizierter Name der Organisation | Verifizierter Name der Person (EV-validiert) | Verifizierter Name der Organisation (alle Validierungen) |
| Vertrauenswürdig unter Windows | Ja: alle Versionen | Ja: alle Versionen | Ja: alle Versionen | Ja: alle Versionen |
| Herausgeberanzeige | Zeigt den Organisationsnamen in der Windows-Sicherheitsabfrage an. | Zeigt den Organisationsnamen in der Windows-Sicherheitsabfrage an. | Zeigt den Organisationsnamen in der Windows-Sicherheitsabfrage an. | Zeigt den Organisationsnamen in der Windows-Sicherheitsabfrage an. |
| Kernelmodus-Treibersignatur | Nein | Nein | Ja: erforderlich | Ja: erforderlich |
| Erforderliche Geschäftseinheit | Nein | Ja | Nein (individuelle Validierung) | Ja |
| Speicherbedarf | Hardware-Token, HSM oder eSignierer | Hardware-Token, HSM oder eSignierer | Hardware-Token, HSM oder eSignierer | Hardware-Token, HSM oder eSignierer |
| Signal von jeder CI/CD-Pipeline: Keine Hardware erforderlich | eSignatur für Code hinzufügen? Cloud-HSM-Signatur für CI/CD-Pipelines. Funktioniert mit allen vier Zertifikaten. Kein Hardware-Token erforderlich. | |||
| Los geht´s | IV kaufen? | OV kaufen? | EV SP kaufen? | Elektroauto kaufen? |
Welches Zertifikat ist das richtige für Sie?
Gemeinsame Anforderungen
Sichere Schlüsselaufbewahrung
Private Schlüssel können nicht exportiert werden. Sie müssen auf einem FIPS 140-2-validierten Hardware-Token, einem eSigner Cloud-HSM oder einem unterstützten Cloud-HSM gespeichert werden.
Zeitstempeln
Jeder signierte Code sollte bei der Signierung mit einem Zeitstempel versehen werden; Zeitstempel verlängern die Gültigkeit der Signatur über den Ablauf des Zertifikats hinaus.
CA/B Forum Code Signing BR
Alle SSL.com-Codesignaturzertifikate werden gemäß den CA/B Forum Code Signing Baseline Requirements ausgestellt.
Sind Sie bereit, Ihren Code zu unterzeichnen?
Häufig gestellte Fragen
Microsoft SmartScreen ist das in Windows (Defender SmartScreen) integrierte Reputationssystem, das entscheidet, ob eine heruntergeladene Anwendung ohne Warnung ausgeführt werden kann. Beim Start eines neu heruntergeladenen Programms überprüft SmartScreen die Datei und ihr Signaturzertifikat anhand der Reputationsdaten von Microsoft. Dateien von Herausgebern mit geringer oder keiner etablierten Reputation können eine Warnung wegen einer „unbekannten App“ auslösen, selbst wenn die Software korrekt signiert ist.
Die Reputation ist an Ihre Signaturidentität gebunden und baut sich mit der Zeit auf, je mehr Nutzer Ihre signierte Software problemlos herunterladen und ausführen. Ein hohes Downloadvolumen und eine konsistente Signaturhistorie beschleunigen diesen Prozess. Früher erhielten EV-Codesignaturzertifikate (Extended Validation) sofort eine SmartScreen-Reputation, während OV- und Einzelzertifikate diese schrittweise erwerben mussten. Microsoft hat die automatische, sofortige Reputation inzwischen abgeschafft. Daher bauen heute alle Zertifikatstypen ihre SmartScreen-Reputation durch die tatsächliche Nutzung und nicht mehr allein durch den Validierungsgrad auf. Die EV-Signatur ist jedoch weiterhin für Kernelmodustreiber erforderlich und wird in Unternehmensumgebungen häufig erwartet.
Einige praktische Hinweise: Die Reputation ist an die Identität des Herausgebers/Zertifikats gebunden. Daher trägt die konsequente Verwendung desselben Zertifikats zum Reputationsaufbau bei. Bei der Zertifikatserneuerung wird die Reputation in der Regel deutlich schneller wiederhergestellt als bei einer neu gegründeten Organisation oder einem Herausgeber, der zu einer anderen Zertifizierungsstelle wechselt. Die Änderung des Organisationsnamens, des Zertifikats oder der Zertifizierungsstelle kann diesen Prozess zurücksetzen oder verlangsamen. Das Signieren jeder Veröffentlichung (einschließlich Updates) und die Verwendung vertrauenswürdiger Zeitstempel, damit die Signaturen auch nach Ablauf des Zertifikats gültig bleiben, tragen beide zur Aufrechterhaltung einer stabilen Reputation bei.
