Certificats de signature de code, options de signature dans le cloud et intégration des opérations de signature

Voir tous les guides

Qu'est-ce qu'un certificat de signature de code?

Un certificat de signature de code est un certificat numérique qui fournit une preuve d'identité mondialement acceptée d'un éditeur de logiciel et peut être obtenu auprès d'une autorité de certification (CA) réputée comme SSL.com. Les éditeurs de logiciels utilisent des certificats de signature de code pour fournir la preuve qu'ils sont les développeurs d'une application. 

Les certificats de signature de code empêchent également la falsification du code et garantissent qu'un fichier est exempt de modifications non autorisées, de logiciels malveillants et peut être installé en toute sécurité. Les certificats de signature de code sont une fonctionnalité de sécurité essentielle lorsque les logiciels sont distribués, vendus et téléchargés en ligne.  Signer numériquement votre code avec des certificats SSL.com de confiance permet aux utilisateurs et aux systèmes d'exploitation de savoir que votre logiciel est authentique et peut être installé en toute sécurité. Vous pouvez toujours contacter notre équipe de vente pour expliquer ces options et fournir un devis.
Besoin d'un certificat de signature de code ? SSL.com a des options pour répondre à tous vos besoins, en savoir plus sur nos certificats.

Choisir le bon certificat de signature de code

Les certificats de validation d'organisation (OV) et de validation individuelle (IV) sont appelés certificats d'assurance élevée car ils nécessitent plus de validation et offrent donc plus de confiance. Pour les certificats OV et IV, l'autorité de certification vérifiera l'organisation ou la personne physique réelle qui tente d'obtenir le certificat. Le nom de l'organisation ou de l'individu est également répertorié dans le certificat, ce qui donne une confiance supplémentaire que le titulaire du certificat est digne de confiance. Les certificats OV sont souvent utilisés par les entreprises, les gouvernements et d'autres entités qui souhaitent fournir une couche de confiance supplémentaire à leurs visiteurs. Mis à part SSL/TLS certificats, OV et IV sont également couramment utilisés pour signature de code, signature de documents, authentification clientet S/MIME certificats par courrier électronique. Pour plus d'informations sur les exigences, veuillez vous référer à SSL.com's Exigences OV et IV. Le certificat de signature de code à validation individuelle (IV) applique des signatures numériques avec un nom personnel, parfait pour les développeurs de logiciels indépendants et les contributeurs de projets individuels qui souhaitent accroître la confiance de leurs utilisateurs.  Les certificats EV, également connus sous le nom de certificats de signature de code d'entreprise, offrent le maximum de confiance aux visiteurs et nécessitent également le plus d'efforts de la part de l'autorité de certification pour être validés. Les certificats EV ne peuvent être délivrés qu'aux entreprises et autres organisations enregistrées, et non aux particuliers. Les certificats de signature de code EV SSL.com pour entreprise individuelle ajoutent l'identité d'un individu au certificat de signature de code EV standard. Cette option de validation permet à une entreprise individuelle ou à un contributeur individuel d'inclure son nom dans la signature numérique. L'option de validation de l'entreprise individuelle est également destinée aux entreprises qui nécessitent une couche de sécurité supplémentaire en incluant l'identité validée d'un individu dans la signature numérique. Pour en savoir plus sur les fonctionnalités de ces certificats, vous pouvez lire notre article,  De quel certificat de signature de code ai-je besoin? EV ou OV? En bref, les caractéristiques déterminantes des certificats de signature de code OV et EV sont répertoriées ci-dessous.

Certificat de signature de code IV:

  • Applique des signatures numériques avec un nom personnel
  • Parfait pour les développeurs de logiciels indépendants et les contributeurs de projets individuels

Certificat de signature de code OV:

  • Vérifie votre identité en tant qu'éditeur du logiciel
  • Protège votre logiciel contre la falsification et l'infection par des logiciels malveillants

Certificat de signature de code EV:

  • Possibilité de signer les pilotes pré-Windows 10 et Windows 10
  • Réputation instantanée de Microsoft SmartScreen
  • Non-expiration de la signature et de l'horodatage
  •  Possibilité de signer sur le cloud à l'aide d'eSigner
  • Les certificats de signature de code EV pour entreprise individuelle ajoutent l'identité d'un individu au certificat de signature de code EV standard

Configuration et utilisation de votre compte SSL.com

Si ce n'est déjà fait, commencez par créer un compte sur SSL.com. Votre compte a la capacité de créer plusieurs équipes ainsi que d'inviter plusieurs utilisateurs avec des attributions de rôles et de droits spécifiques.

Le processus de validation

Afin de valider et d'émettre un certificat OV ou IV, SSL.com doit vérifier votre identité, votre adresse physique et votre numéro de téléphone via des ressources en ligne vérifiables et/ou des documents de vérification valides. Pour plus de détails sur les exigences, vous pouvez lire Quelles sont les conditions requises pour les certificats SSL.com OV et IV?  De plus, pour les commandes de certificat de signature de code IV, les candidats devront soumettre une image recto et verso d'une pièce d'identité ainsi qu'une image d'eux tenant la pièce d'identité à côté de leur visage. Conformément aux directives établies par le CA/Browser Forum, une documentation supplémentaire doit être fournie pour émettre un certificat EV. Dirigez-vous vers FAQ: Processus de validation étendue (EV) connaître toutes les exigences pour les certificats EV. Pour les entités demandant EV Code Signing Certificates, SSL.com procédera à la validation à la fois par le biais de ressources en ligne fiables et/ou de documents valides, ainsi que de documentation supplémentaire conformément aux directives établies par le CA/Browser Forum.  

Nouvelles exigences de stockage des clés pour les certificats de signature de code OV et IV

À compter du 1 juin 2023, SSL.com Les certificats de signature de code de validation d'organisation (OV) et de validation individuelle (IV) de seront émis uniquement sur des jetons USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou via notre service de signature de code cloud eSigner. Cette modification est conforme aux nouvelles exigences de stockage des clés du forum Certificate Authority/Browser (CA/B) afin d'augmenter la sécurité des clés de signature de code. La règle précédente autorisait l'émission de certificats de signature de code OV et IV sous forme de fichiers téléchargeables sur Internet. Étant donné que les nouvelles exigences n'autorisent que l'utilisation de jetons USB cryptés ou d'appliances matérielles conformes à la norme FIPS basées sur le cloud pour stocker le certificat et la clé privée, on s'attend à ce que les cas de clés de signature de code volées et utilisées à mauvais escient par des acteurs malveillants soient considérablement réduits. Cliquez sur ce lien pour en savoir plus sur le SSL.com Solution de signature de code cloud eSigner.

Méthodes de stockage et de signature des clés pour les certificats de signature de code à validation étendue 

Jeton USB

L'approche la plus courante de la signature de code EV consiste à utiliser un module de sécurité matériel (HSM) comme un jeton USB qui stocke le certificat de signature de code EV et agit comme une clé dans la signature du code logiciel. Par rapport au stockage du certificat sur une machine locale, un jeton USB obtient de bons résultats en termes de sécurité et de portabilité. Une limitation cependant est qu'il peut être assez coûteux d'acheter et de gérer plusieurs jetons et qu'ils ne sont pas aussi flexibles par rapport aux options basées sur le cloud.  SSL.com fournit un stockage sécurisé des clés privées et une sécurité physique 2FA avec un jeton USB Yubikey FIPS. Ce périphérique USB ajoute une protection anti-falsification à votre logiciel car seules les personnes qui en sont réellement en possession seront autorisées à signer numériquement un code pour vos applications ou programmes.

Cloud HSM

Une deuxième option pour la signature de code EV consiste à utiliser un HSM en réseau dans le cloud pour héberger des certificats et des clés de signature de code. Cette méthode offre un niveau de sécurité comparable à un jeton USB puisque les clés privées ne sont pas non plus exportables. Étant donné que la signature de code est effectuée via le cloud, une collaboration évolutive entre les développeurs est réalisée. Il convient de noter cependant que cette méthode peut nécessiter une expertise avec le fournisseur de services cloud particulier. Pour l'émission de certificats de signature de code EV, SSL.com prend en charge trois Cloud HSM : Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM et Google Cloud HSM. Pour obtenir plus de détails sur chacun, vous pouvez lire notre article de guide : HSM cloud pris en charge pour la signature de documents et la signature de code EV.
  • Pour savoir comment utiliser votre compte HSM et engager un professionnel pour l'attestation Cloud HSM, vous pouvez lire notre article Apportez votre propre attestation d'auditeur Cloud HSM.
  • SSL.com développe et teste actuellement des procédures d'attestation pour un large éventail de plates-formes HSM. Vous pouvez remplir ce formulaire de demande pour savoir si nous testons une plate-forme HSM qui n'a pas été répertoriée ci-dessus.

eSigner : signature de code en tant que service

Troisièmement, une approche moderne et très pratique de la signature de code EV consiste à traiter la signature de code en tant que service. Le service de signature de code cloud eSigner de SSL.com est un exemple de cette méthode.  Avec eSigner, SSL.com gère à la fois l'infrastructure à clé publique (PKI) et les HSM pour la signature de code. Les clés de signature non exportables sont stockées dans les HSM d'eSigner, où ni le client ni SSL.com ne peuvent les voir. De cette façon, la norme de sécurité est aussi élevée qu'avec les tokens et les HSM cloud, mais le client n'a pas besoin de traiter directement avec eux. L'environnement eSigner comprend un certain nombre d'options de signature pour répondre aux besoins d'une variété de clients, des développeurs individuels aux organisations complexes.

Options de signature eSigner

  • Avec le service eSigner de SSL.com, vous pouvez utiliser votre certificat de signature de code à validation étendue SSL.com pour signer du code à partir de n'importe quel appareil connecté à Internet sans aucun matériel supplémentaire. Après avoir enregistré votre commande de certificat EV Code Signing dans eSigner, vous pouvez signer le code avec le Application Web eSigner Express, eSigner CodeSignTool ou via SSL.com's CSC-conforme API de signature de code

Types de fichiers pris en charge par eSigner

Premiers pas avec votre certificat de signature de code :

Lors de la réception de votre nouveau certificat de signature de code, vous pouvez avoir des questions sur la façon de l'utiliser et sur les applications avec lesquelles il peut être intégré. Les guides liés ci-dessous répondent aux questions courantes que vous pourriez vous poser sur la façon de démarrer avec votre nouveau certificat.

Premiers pas avec la signature de code cloud eSigner

Vous trouverez ci-dessous des ressources qui peuvent vous fournir plus d'informations sur la façon d'utiliser l'interface d'eSigner et de la configurer pour des tâches axées sur l'équipe.

Utilisation de vos Yubikeys

Les certificats tels que la signature de code EV commandés auprès de SSL.com sont livrés avec l'option d'être préinstallés dans un module de sécurité matériel (HSM) comme un jeton USB à clé de sécurité validé FIPS 140-2. Si votre certificat n'a pas encore été validé, vous pouvez inclure le nombre de jetons dont vous avez besoin lors de la commande et avant de terminer le processus de validation. Si votre certificat a déjà été délivré, vous avez toujours la possibilité de commander des jetons supplémentaires. Pour savoir comment ajouter des Yubikeys à votre certificat EV Code Signing, cliquez sur ce guide : Comment ajouter des YubiKeys à votre commande de certificat Si vous possédez déjà un Yubikey, vous pouvez vous référer aux guides suivants pour savoir comment l'utiliser :

Automatisation et intégration

eSigner CKA (adaptateur de clé cloud)

  •  eSigner CKA (adaptateur de clé cloud) est une application basée sur Windows qui utilise l'interface CNG (KSP Key Service Provider) pour permettre à des outils tels que certutil.exe et signtool.exe d'utiliser eSigner CSC pour des opérations de signature de code automatisées. eSigner CKA agit comme un jeton USB virtuel et charge les certificats de signature de code dans le magasin de certificats. 

eSigner et CodeSignTool pour la signature automatisée de code EV

  • CodeSignTool est idéal pour les processus automatisés par lots pour les signatures à volume élevé ou l'intégration dans les workflows de pipeline CI/CD existants.
  • Lisez notre Guide de l'outil CodeSign sur la façon de signer des objets de code sans être invité à entrer manuellement l'OTP pour chaque fichier.
  • Rendez-vous sur Guide de commande de l'outil eSigner CodeSign pour en savoir plus sur les commandes, options et paramètres pris en charge.

Guides d'intégration de services CI/CD spécifiques

Vous trouverez ci-dessous des guides spécifiques sur la manière d'automatiser la signature de code à l'aide d'eSigner pour les plates-formes CI/CD les plus populaires. Apprenez-en plus sur la valeur de la signature de code basée sur le cloud en lisant notre article : Automatisation de la signature de code dans le cloud avec les services CI/CD.

Test de la signature de code EV dans la sandbox

SSL.com maintient un environnement "sandbox" séparé pour notre service de signature cloud eSigner afin que les utilisateurs puissent expérimenter les différentes applications, utilitaires et API avant de travailler avec en direct. Signature du code EV certificats.

Guides Environnement Spécifiques

Les certificats EV Code Signing de SSL.com peuvent être utilisés dans divers environnements de signature de code. Reportez-vous aux articles ci-dessous pour des guides spécifiques :  Outre ceux indiqués ci-dessus, il existe d'autres environnements avec lesquels les certificats de signature de code SSL.com sont compatibles. Contacter support@ssl.com ou utilisez le chat du site Web pour des questions sur d'autres environnements.

Contacter le service commercial ou contacter l'assistance

Si vous avez besoin de quelqu'un pour vous guider à travers toutes nos options de signature de code, discuter d'intégrations personnalisées, d'offres à volume élevé, de devis ou d'autres solutions personnalisées, vous pouvez toujours contacter nos équipes de vente ou d'assistance.

Formulaire de contact

Twitter
Facebook
LinkedIn
Reddit
Email

Équipe d'assistance SSL

Tous les messages "

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage