Qu'est-ce qu'un certificat de signature de code?
Un certificat de signature de code est un certificat numérique qui fournit une preuve d'identité mondialement acceptée d'un éditeur de logiciel et peut être obtenu auprès d'une autorité de certification (CA) réputée comme SSL.com. Les éditeurs de logiciels utilisent des certificats de signature de code pour fournir la preuve qu'ils sont les développeurs d'une application. Les certificats de signature de code empêchent également la falsification du code et garantissent qu'un fichier est exempt de modifications non autorisées, de logiciels malveillants et peut être installé en toute sécurité. Les certificats de signature de code sont une fonctionnalité de sécurité essentielle lorsque les logiciels sont distribués, vendus et téléchargés en ligne. Signer numériquement votre code avec des certificats SSL.com de confiance permet aux utilisateurs et aux systèmes d'exploitation de savoir que votre logiciel est authentique et peut être installé en toute sécurité. Vous pouvez toujours contacter notre équipe de vente pour expliquer ces options et fournir un devis.Besoin d'un certificat de signature de code ? SSL.com a des options pour répondre à tous vos besoins, en savoir plus sur nos certificats.
Choisir le bon certificat de signature de code
Les certificats de validation d'organisation (OV) et de validation individuelle (IV) sont appelés certificats d'assurance élevée car ils nécessitent plus de validation et offrent donc plus de confiance. Pour les certificats OV et IV, l'autorité de certification vérifiera l'organisation ou la personne physique réelle qui tente d'obtenir le certificat. Le nom de l'organisation ou de l'individu est également répertorié dans le certificat, ce qui donne une confiance supplémentaire que le titulaire du certificat est digne de confiance. Les certificats OV sont souvent utilisés par les entreprises, les gouvernements et d'autres entités qui souhaitent fournir une couche de confiance supplémentaire à leurs visiteurs. Mis à part SSL/TLS certificats, OV et IV sont également couramment utilisés pour signature de code, signature de documents, authentification client, S/MIME certificats par courrier électronique. Pour plus d'informations sur les exigences, veuillez vous référer à SSL.com's Exigences OV et IV. Le certificat de signature de code à validation individuelle (IV) applique des signatures numériques avec un nom personnel, parfait pour les développeurs de logiciels indépendants et les contributeurs de projets individuels qui souhaitent accroître la confiance de leurs utilisateurs. Les certificats EV, également connus sous le nom de certificats de signature de code d'entreprise, offrent le maximum de confiance aux visiteurs et nécessitent également le plus d'efforts de la part de l'autorité de certification pour être validés. Les certificats EV ne peuvent être délivrés qu'aux entreprises et autres organisations enregistrées, et non aux particuliers. Les certificats de signature de code EV SSL.com pour entreprise individuelle ajoutent l'identité d'un individu au certificat de signature de code EV standard. Cette option de validation permet à une entreprise individuelle ou à un contributeur individuel d'inclure son nom dans la signature numérique. L'option de validation de l'entreprise individuelle est également destinée aux entreprises qui nécessitent une couche de sécurité supplémentaire en incluant l'identité validée d'un individu dans la signature numérique. Pour en savoir plus sur les fonctionnalités de ces certificats, vous pouvez lire notre article, De quel certificat de signature de code ai-je besoin? EV ou OV? En bref, les caractéristiques déterminantes des certificats de signature de code OV et EV sont répertoriées ci-dessous.Certificat de signature de code IV:
- Applique des signatures numériques avec un nom personnel
- Parfait pour les développeurs de logiciels indépendants et les contributeurs de projets individuels
Certificat de signature de code OV:
- Vérifie votre identité en tant qu'éditeur du logiciel
- Protège votre logiciel contre la falsification et l'infection par des logiciels malveillants
Certificat de signature de code EV:
- Possibilité de signer les pilotes pré-Windows 10 et Windows 10
- Réputation instantanée de Microsoft SmartScreen
- Non-expiration de la signature et de l'horodatage
- Possibilité de signer sur le cloud à l'aide d'eSigner
- Les certificats de signature de code EV pour entreprise individuelle ajoutent l'identité d'un individu au certificat de signature de code EV standard
Configuration et utilisation de votre compte SSL.com
Si ce n'est déjà fait, commencez par créer un compte sur SSL.com. Votre compte a la capacité de créer plusieurs équipes ainsi que d'inviter plusieurs utilisateurs avec des attributions de rôles et de droits spécifiques.Le processus de validation
Afin de valider et d'émettre un certificat OV ou IV, SSL.com doit vérifier votre identité, votre adresse physique et votre numéro de téléphone via des ressources en ligne vérifiables et/ou des documents de vérification valides. Pour plus de détails sur les exigences, vous pouvez lire Quelles sont les conditions requises pour les certificats SSL.com OV et IV? De plus, pour les commandes de certificat de signature de code IV, les candidats devront soumettre une image recto et verso d'une pièce d'identité ainsi qu'une image d'eux tenant la pièce d'identité à côté de leur visage. Conformément aux directives établies par le CA/Browser Forum, une documentation supplémentaire doit être fournie pour émettre un certificat EV. Dirigez-vous vers FAQ: Processus de validation étendue (EV) connaître toutes les exigences pour les certificats EV. Pour les entités demandant des certificats de signature de code EV, SSL.com effectuera la validation à la fois via des ressources en ligne fiables et/ou des documents valides ainsi qu'une documentation supplémentaire conformément aux directives définies par le CA/Browser Forum.Nouvelles exigences de stockage des clés pour les certificats de signature de code OV et IV
À compter du 1 juin 2023, SSL.com Les certificats de signature de code de validation d'organisation (OV) et de validation individuelle (IV) de seront émis uniquement sur des jetons USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou via notre service de signature de code cloud eSigner. Cette modification est conforme aux nouvelles exigences de stockage des clés du forum Certificate Authority/Browser (CA/B) afin d'augmenter la sécurité des clés de signature de code. La règle précédente autorisait l'émission de certificats de signature de code OV et IV sous forme de fichiers téléchargeables sur Internet. Étant donné que les nouvelles exigences n'autorisent que l'utilisation de jetons USB cryptés ou d'appliances matérielles conformes à la norme FIPS basées sur le cloud pour stocker le certificat et la clé privée, on s'attend à ce que les cas de clés de signature de code volées et utilisées à mauvais escient par des acteurs malveillants soient considérablement réduits. Cliquez sur ce lien pour en savoir plus sur le SSL.com Solution de signature de code cloud eSigner.Méthodes de stockage et de signature des clés pour les certificats de signature de code à validation étendue
Jeton USB
L'approche la plus courante de la signature de code EV consiste à utiliser un module de sécurité matériel (HSM) comme un jeton USB qui stocke le certificat de signature de code EV et agit comme une clé dans la signature du code logiciel. Par rapport au stockage du certificat sur une machine locale, un jeton USB obtient de bons résultats en termes de sécurité et de portabilité. Une limitation cependant est qu'il peut être assez coûteux d'acheter et de gérer plusieurs jetons et qu'ils ne sont pas aussi flexibles par rapport aux options basées sur le cloud. SSL.com fournit un stockage sécurisé des clés privées et une sécurité physique 2FA avec un jeton USB Yubikey FIPS. Ce périphérique USB ajoute une protection anti-falsification à votre logiciel car seules les personnes qui en sont réellement en possession seront autorisées à signer numériquement un code pour vos applications ou programmes.Cloud HSM
Une deuxième option pour la signature de code EV consiste à utiliser un HSM en réseau dans le cloud pour héberger des certificats et des clés de signature de code. Cette méthode offre un niveau de sécurité comparable à un jeton USB puisque les clés privées ne sont pas non plus exportables. Étant donné que la signature de code est effectuée via le cloud, une collaboration évolutive entre les développeurs est réalisée. Il convient de noter cependant que cette méthode peut nécessiter une expertise avec le fournisseur de services cloud particulier. Pour l'émission de certificats de signature de code EV, SSL.com prend en charge trois Cloud HSM : Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM et Google Cloud HSM. Pour obtenir plus de détails sur chacun, vous pouvez lire notre article de guide : HSM cloud pris en charge pour la signature de documents et la signature de code EV.- Pour savoir comment utiliser votre compte HSM et engager un professionnel pour l'attestation Cloud HSM, vous pouvez lire notre article Apportez votre propre attestation d'auditeur Cloud HSM.
- SSL.com développe et teste actuellement des procédures d'attestation pour un large éventail de plates-formes HSM. Vous pouvez remplir ce formulaire de demande pour savoir si nous testons une plate-forme HSM qui n'a pas été répertoriée ci-dessus.
eSigner : signature de code en tant que service
Troisièmement, une approche moderne et très pratique de la signature de code EV consiste à traiter la signature de code en tant que service. Le service de signature de code cloud eSigner de SSL.com est un exemple de cette méthode. Avec eSigner, SSL.com gère à la fois l'infrastructure à clé publique (PKI) et les HSM pour la signature de code. Les clés de signature non exportables sont stockées dans les HSM d'eSigner, où ni le client ni SSL.com ne peuvent les voir. De cette façon, la norme de sécurité est aussi élevée qu'avec les tokens et les HSM cloud, mais le client n'a pas besoin de traiter directement avec eux. L'environnement eSigner comprend un certain nombre d'options de signature pour répondre aux besoins d'une variété de clients, des développeurs individuels aux organisations complexes.Options de signature eSigner
- Avec le service eSigner de SSL.com, vous pouvez utiliser votre certificat de signature de code à validation étendue SSL.com pour signer du code à partir de n'importe quel appareil connecté à Internet sans aucun matériel supplémentaire. Après avoir enregistré votre commande de certificat EV Code Signing dans eSigner, vous pouvez signer le code avec le Application Web eSigner Express, eSigner CodeSignTool ou via SSL.com's CSC-conforme API de signature de code.
Types de fichiers pris en charge par eSigner
- Vous pouvez lire notre guide, Types de fichiers pris en charge par eSigner, pour savoir quels types de fichiers sont pris en charge par eSigner Express et l'API eSigner.
Premiers pas avec votre certificat de signature de code :
Lors de la réception de votre nouveau certificat de signature de code, vous pouvez avoir des questions sur la façon de l'utiliser et sur les applications avec lesquelles il peut être intégré. Les guides liés ci-dessous répondent aux questions courantes que vous pourriez vous poser sur la façon de démarrer avec votre nouveau certificat.- Comment acheter des certificats de signature de code et de signature de code EV sur SSL.com
- Comment installer un certificat de signature de code SSL.com OV sur Windows 10
- FAQ: Premiers pas avec votre certificat de signature de code EV
- Inscrivez-vous au programme de développement de matériel Windows pour signer les pilotes avec la signature de code EV
- Comment utiliser votre certificat de signature de code OV ou EV avec SignTool de Microsoft et SSL.com SSL Manager
Premiers pas avec la signature de code cloud eSigner
- Fonctionnalités de service d'eSigner
- S'inscrire à eSigner
- Choisir un abonnement signature
- Foire aux questions sur eSigner
- Comment afficher et réinitialiser le code QR eSigner ou réinitialiser le code PIN
- Partage d'équipe pour les certificats de signature de documents eSigner et de code EV
Utilisation de vos Yubikeys
Les certificats tels que la signature de code EV commandés auprès de SSL.com sont livrés avec l'option d'être préinstallés dans un module de sécurité matériel (HSM) comme un jeton USB à clé de sécurité validé FIPS 140-2. Si votre certificat n'a pas encore été validé, vous pouvez inclure le nombre de jetons dont vous avez besoin lors de la commande et avant de terminer le processus de validation. Si votre certificat a déjà été délivré, vous avez toujours la possibilité de commander des jetons supplémentaires. Pour savoir comment ajouter des Yubikeys à votre certificat EV Code Signing, cliquez sur ce guide : Comment ajouter des YubiKeys à votre commande de certificat Si vous possédez déjà un Yubikey, vous pouvez vous référer aux guides suivants pour savoir comment l'utiliser :- Instructions rapides YubiKey
- Comment débloquer le code PIN YubiKey
- Comment accéder à votre code PIN et PUK Yubikey FIPS
- Que faire si mon jeton de signature de code EV est vierge ?
- Comment installer les certificats racine et intermédiaire SSL.com sur YubiKey
- Comment effectuer la génération de clé et l'attestation avec Yubikey
Automatisation et intégration
eSigner CKA (adaptateur de clé cloud)
- eSigner CKA (adaptateur de clé cloud) est une application basée sur Windows qui utilise l'interface CNG (KSP Key Service Provider) pour permettre à des outils tels que certutil.exe et signtool.exe d'utiliser eSigner CSC pour des opérations de signature de code automatisées. eSigner CKA agit comme un jeton USB virtuel et charge les certificats de signature de code dans le magasin de certificats.
eSigner et CodeSignTool pour la signature automatisée de code EV
- CodeSignTool est idéal pour les processus automatisés par lots pour les signatures à volume élevé ou l'intégration dans les workflows de pipeline CI/CD existants.
- Lisez notre Guide de l'outil CodeSign sur la façon de signer des objets de code sans être invité à entrer manuellement l'OTP pour chaque fichier.
- Rendez-vous sur Guide de commande de l'outil eSigner CodeSign pour en savoir plus sur les commandes, options et paramètres pris en charge.
Guides d'intégration de services CI/CD spécifiques
Vous trouverez ci-dessous des guides spécifiques sur la manière d'automatiser la signature de code à l'aide d'eSigner pour les plates-formes CI/CD les plus populaires.- Intégration de la signature de code dans le cloud avec CircleCI
- Intégration de la signature de code dans le cloud avec les actions GitHub
- Intégration de la signature de code dans le cloud avec GitLab CI
- Intégration de la signature de code dans le cloud avec Travis CI
- Intégration de la signature de code dans le cloud avec Jenkins CI
- Intégration de la signature de code dans le cloud avec Azure DevOps
- Intégration de la signature de code dans le cloud avec BitBucket
Test de la signature de code EV dans la sandbox
SSL.com maintient un environnement "sandbox" séparé pour notre service de signature cloud eSigner afin que les utilisateurs puissent expérimenter les différentes applications, utilitaires et API avant de travailler avec en direct. Signature du code EV certificats.- Dirigez-vous vers notre article pratique qui comprend des informations d'identification de démonstration eSigner, des codes QR et des informations de configuration pour faciliter l'utilisation expérimentale du Bac à sable express eSigner, CodeSignTool, SCC, Signature du code.
- Pour un guide complet sur la configuration d'un compte sandbox, la création d'une commande test et l'utilisation de l'API SWS de Sandbox avec SSL.com, vous pouvez lire notre article de guide : Utilisation du bac à sable SSL.com pour les tests et l'intégration.
Guides Environnement Spécifiques
Les certificats EV Code Signing de SSL.com peuvent être utilisés dans divers environnements de signature de code. Reportez-vous aux articles ci-dessous pour des guides spécifiques :- Signer votre code Java avec un certificat de signature de code OV/IV ou EV
- Signature de pilotes en mode noyau pour Windows à l'aide de certificats de signature de code EV ou OV
- FAQ: Certificats de signature de code en mode noyau
- Utilisation de Jsign à partir de la ligne de commande Linux pour la signature de code OV/IV et la signature de code EV
- Signature de code avec Azure DevOps, à l'aide d'un certificat stocké dans Azure Key Vault