Certificati di firma del codice, opzioni di firma su cloud e integrazione delle operazioni di firma

Che cos'è un certificato di firma del codice?

Un certificato di firma del codice è un certificato digitale che fornisce una prova di identità accettata a livello globale di un editore di software ed è ottenibile da un'autorità di certificazione (CA) pubblicamente attendibile come SSL.com. Le aziende di software utilizzano i certificati di firma del codice per fornire la prova che sono gli sviluppatori di un'applicazione. 

I certificati di firma del codice impediscono inoltre la manomissione del codice e garantiscono che un file sia privo di modifiche non autorizzate, malware e sia sicuro da installare. I certificati di firma del codice sono una funzionalità di sicurezza essenziale quando il software viene distribuito, venduto e scaricato online.  Firma digitalmente il tuo codice con certificati SSL.com affidabili consente agli utenti e ai sistemi operativi di sapere che il tuo software è autentico e sicuro da installare. Puoi sempre contattare il ns gruppo Vendite per spiegare queste opzioni e fornire un preventivo.
Hai bisogno di un certificato di firma del codice? SSL.com ha opzioni per soddisfare qualsiasi tua esigenza, saperne di più sui nostri certificati.

Scegliere il giusto certificato di firma del codice

I certificati di convalida dell'organizzazione (OV) e di convalida individuale (IV) sono indicati come certificati High Assurance perché richiedono più convalida e quindi forniscono più fiducia, . Per i certificati OV e IV, la CA verificherà l'organizzazione effettiva o la singola persona che sta tentando di ottenere il certificato. Anche il nome dell'organizzazione o della persona è elencato nel certificato, dando ulteriore fiducia alla reputazione del titolare del certificato. I certificati OV sono spesso utilizzati da aziende, governi e altre entità che desiderano fornire un ulteriore livello di sicurezza ai propri visitatori. A parte SSL/TLS certificati, OV e IV sono anche comunemente usati per firma del codice, firma del documento, autenticazione cliente S/MIME certificati di posta elettronica. Per ulteriori informazioni sui requisiti, fare riferimento a SSL.com Requisiti OV e IV. Il certificato di firma del codice di convalida individuale (IV) applica firme digitali con un nome personale, perfette per sviluppatori di software indipendenti e contributori di progetti individuali che desiderano aumentare la fiducia e la fiducia dei propri utenti.  I certificati EV, noti anche come certificati di firma del codice aziendale, forniscono la massima affidabilità ai visitatori e richiedono anche il massimo sforzo da parte della CA per la convalida. I certificati EV possono essere rilasciati solo ad aziende e altre organizzazioni registrate, non a privati. SSL.com I certificati di firma del codice EV di proprietà esclusiva aggiungono l'identità di un individuo al certificato di firma del codice EV standard. Questa opzione di convalida consente a una ditta individuale oa un singolo contributore di includere il proprio nome nella firma digitale. L'opzione di convalida dell'impresa individuale è anche per le aziende che richiedono un ulteriore livello di sicurezza includendo l'identità convalidata di un individuo nella firma digitale. Per saperne di più sulle caratteristiche di questi certificati, puoi leggere il nostro articolo,  Quale certificato di firma codice è necessario? EV o OV? A breve, le caratteristiche che definiscono i certificati di firma del codice OV ed EV sono elencate di seguito.

Certificato di firma del codice IV:

  • Applica firme digitali con un nome personale
  • Perfetto per sviluppatori di software indipendenti e contributori di singoli progetti

Certificato di firma del codice OV:

  • Verifica la tua identità come editore del software
  • Protegge il tuo software da manomissioni e infezioni da malware

Certificato di firma del codice EV:

  • Possibilità di firmare entrambi i driver precedenti a Windows 10 e Windows 10
  • Reputazione istantanea di Microsoft SmartScreen
  • Mancata scadenza della firma e della marca temporale
  •  Possibilità di accedere al cloud utilizzando eSigner
  • I certificati di firma del codice EV di proprietà individuale aggiungono l'identità di un individuo al certificato di firma del codice EV standard

Configurazione e utilizzo del tuo account SSL.com

Se non l'hai già fatto, inizia creando un account su SSL.com. Il tuo account ha la capacità di creare più team e invitare più utenti con ruoli e diritti specifici.

Il processo di convalida

Per convalidare ed emettere un certificato OV o IV, SSL.com deve verificare la tua identità, indirizzo fisico e numero di telefono tramite risorse online verificabili e/o documenti di verifica validi. Per ulteriori dettagli sui requisiti, puoi leggere Quali sono i requisiti per i certificati SSL.com OV e IV?  Inoltre, per gli ordini del certificato di firma del codice IV, i richiedenti dovranno inviare un'immagine fronte e retro di un documento d'identità più un'immagine di loro con l'ID accanto al viso. Secondo le linee guida stabilite dal CA/Browser Forum, è necessario fornire documentazione aggiuntiva per emettere un certificato EV. Vai a Domande frequenti: processo di convalida estesa (EV) per conoscere tutti i requisiti per i certificati EV. Per le entità che richiedono certificati Code Signing EV, SSL.com condurrà la convalida sia tramite risorse online attendibili e/o documenti validi, sia tramite documentazione aggiuntiva secondo le linee guida stabilite dal forum CA/Browser.

Nuovi requisiti di archiviazione delle chiavi per i certificati di firma del codice OV e IV

A partire dal 1 giugno 2023, SSL.com I certificati di firma del codice di convalida dell'organizzazione (OV) e di convalida individuale (IV) di verranno emessi solo su token USB Federal Information Processing Standard 140-2 (FIPS 140-2) o tramite il nostro servizio di firma del codice cloud eSigner. Questa modifica è conforme ai nuovi requisiti di archiviazione delle chiavi del forum dell'autorità di certificazione/browser (CA/B) per aumentare la sicurezza delle chiavi di firma del codice. La norma precedente consentiva l'emissione di certificati di firma del codice OV e IV come file scaricabili da Internet. Poiché i nuovi requisiti consentono solo l'uso di token USB crittografati o dispositivi hardware conformi a FIPS basati su cloud per archiviare il certificato e la chiave privata, si prevede che le istanze di chiavi di firma del codice rubate e utilizzate in modo improprio da malintenzionati saranno notevolmente ridotte. Clic questo link per saperne di piú su SSL.com Soluzione di firma del codice cloud eSigner.

Metodi di archiviazione e firma delle chiavi per certificati di firma del codice di convalida estesa 

Token USB

SSL.com fornisce certificati di firma del codice preinstallati sui token Yubikey FIPS e sui token USB Thales SafeNet (Gemalto). I token Thales SafeNet sono in grado di gestire chiavi RSA fino a 3072 bit, essenziali per la firma in modalità kernel e un prerequisito in determinati ambienti di sviluppo software, come la firma dei driver per i sistemi Microsoft. Tramite una procedura nota come attestazione remota, i clienti di SSL.com, indipendentemente dalla loro posizione, possono creare una coppia di chiavi direttamente sulla loro YubiKey insieme a un certificato di attestazione che verifica la generazione della chiave privata sul dispositivo. Il certificato di attestazione può essere successivamente utilizzato per rinnovare un certificato scaduto presente nella Yubikey. Il supporto per l'attestazione remota è una funzionalità che al momento non è disponibile per i clienti del token Thales. Per un confronto più dettagliato tra le funzionalità di Yubikey e dei token Thales SafeNet, fare riferimento a questo articolo di SSL.com: Gettoni FIPS Yubikey contro gettoni USB Thales/Gemalto. Sia i token Yubikey che Thales SafeNet sono progettati per aumentare la sicurezza senza compromettere sostanzialmente l'esperienza utente. La scelta tra loro dovrebbe essere guidata dall'approccio alla sicurezza e dalle esigenze operative dell'organizzazione. Tuttavia, in quanto dispositivi fisici, possono essere persi o rubati, ponendo rischi significativi per la sicurezza e comportando potenzialmente costi di sostituzione elevati. In un moderno ambiente di lavoro da remoto, la logistica della distribuzione e della manutenzione di questi token hardware può porre sfide significative per i team IT, richiedendo spese e manodopera notevoli. Inoltre, questi token non offrono lo stesso livello di praticità delle soluzioni basate su cloud, in particolare per gli sviluppatori che lavorano all'interno di una pipeline CI/CD.

HSM cloud

Una seconda opzione per la firma del codice EV è quella di utilizzare un HSM in rete nel cloud per ospitare certificati e chiavi di firma del codice. Questo metodo offre un livello di sicurezza paragonabile a un token USB quando l'HSM è configurato per avere chiavi non esportabili durante la generazione delle chiavi. Con il materiale chiave accessibile nel cloud, l'integrazione con i servizi CI/CD diventa più semplice, così come la collaborazione del team con lo stesso certificato e materiale chiave. Va notato che questo metodo potrebbe richiedere competenza con il particolare fornitore di servizi cloud. Per l'emissione di certificati di firma del codice, SSL.com supporta vari HSM Cloud, tra cui Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM e Google Cloud HSM. Per ottenere maggiori dettagli su ciascuno, puoi leggere la nostra guida: HSM cloud supportati per la firma dei documenti e la firma del codice EV.

  • Per sapere come utilizzare il tuo account HSM e assumere un professionista per l'attestazione Cloud HSM, puoi leggere il nostro articolo Porta la tua attestazione di Auditor Cloud HSM.
  • SSL.com sta attualmente sviluppando e testando procedure di attestazione per un'ampia gamma di piattaforme HSM. Puoi compilare questo modulo di richiesta per scoprire se stiamo testando una piattaforma HSM che non era elencata sopra.

eSigner: firma del codice come servizio

In terzo luogo, un approccio moderno e molto conveniente alla firma del codice EV riguarda la firma del codice come servizio. Il servizio di firma del codice cloud eSigner di SSL.com è un esempio di questo metodo.  Con eSigner, SSL.com gestisce sia l'infrastruttura a chiave pubblica (PKI) e HSM per la firma del codice. Le chiavi di firma non esportabili sono archiviate negli HSM di eSigner, dove né il cliente né SSL.com possono visualizzarle. In questo modo, lo standard di sicurezza è elevato come con i token e gli HSM cloud, ma non è necessario che il cliente se ne occupi direttamente. L'ambiente eSigner include una serie di opzioni di firma per soddisfare le esigenze di una varietà di clienti, dai singoli sviluppatori alle organizzazioni complesse.

Opzioni di firma di eSigner

  • Con il servizio eSigner di SSL.com, puoi utilizzare il tuo certificato di firma del codice di convalida estesa SSL.com per firmare il codice da qualsiasi dispositivo connesso a Internet senza hardware aggiuntivo. Dopo aver registrato l'ordine del certificato di firma del codice EV in eSigner, puoi firmare il codice con il Applicazione web eSigner Express, eSigner CodeSignTool o tramite SSL.com conforme a CSC API per la firma del codice

Tipi di file supportati da eSigner

Guida introduttiva al certificato di firma del codice:

Dopo aver ricevuto il nuovo certificato di firma del codice, potresti avere domande su come utilizzarlo e con quali applicazioni può essere integrato. Le guide collegate di seguito rispondono alle domande più comuni che potresti avere su come iniziare con il tuo nuovo certificato.

Guida introduttiva alla firma del codice cloud di eSigner

Di seguito sono riportate le risorse che possono fornire ulteriori informazioni su come utilizzare l'interfaccia di eSigner e configurarla per attività orientate al team.

Usando i tuoi Yubikey

Certificati come EV Code Signing ordinati da SSL.com hanno la possibilità di essere preinstallati in un Hardware Security Module (HSM) come un token USB della chiave di sicurezza convalidato FIPS 140-2. Se il tuo certificato non è stato ancora convalidato, puoi includere il numero di token di cui hai bisogno al momento dell'ordine e prima di completare il processo di convalida. Nel caso in cui il tuo certificato sia già stato emesso, hai ancora la possibilità di ordinare token aggiuntivi. Per sapere come aggiungere Yubikeys al tuo certificato EV Code Signing, fai clic su questa guida: Come aggiungere YubiKey al tuo ordine di certificati Se possiedi già una Yubikey, puoi fare riferimento alle seguenti guide su come azionarla:

Automazione e integrazione

eSigner CKA (adattatore chiave cloud)

  •  eSigner CKA (adattatore chiave cloud) è un'applicazione basata su Windows che utilizza l'interfaccia CNG (KSP Key Service Provider) per consentire a strumenti come certutil.exe e signtool.exe di utilizzare eSigner CSC per operazioni di firma del codice automatizzate. eSigner CKA agisce come un token USB virtuale e carica i certificati di firma del codice nell'archivio certificati. 

eSigner e CodeSignTool per la firma automatica del codice EV

  • CodeSignTool è ideale per processi batch automatizzati per firme ad alto volume o integrazione in flussi di lavoro di pipeline CI/CD esistenti.
  • Leggi la nostra CodeSignTool guida su come firmare oggetti codice senza che venga richiesta l'immissione manuale OTP per ciascun file.
  • Oltre al capo Guida ai comandi dello strumento eSigner CodeSign per saperne di più su comandi, opzioni e parametri supportati.

Guide specifiche all'integrazione del servizio CI/CD

Di seguito sono riportate guide specifiche su come automatizzare la firma del codice utilizzando eSigner per le piattaforme CI/CD più popolari. Scopri di più sul valore della firma del codice basata su cloud leggendo il nostro articolo: Automazione della firma del codice cloud con servizi CI/CD.

Test della firma del codice EV nella sandbox

SSL.com mantiene un ambiente "sandbox" separato per il nostro servizio di firma su cloud eSigner in modo che gli utenti possano sperimentare le diverse app, utilità e API prima di lavorare con live Firma del codice EV certificati. <ul>
  • Andiamo al nostro articolo su come fare che include credenziali demo eSigner, codici QR e informazioni di configurazione per facilitare l'uso sperimentale di Sandbox eSigner Express, CodeSignToole CCS, Firma del codice.
  • Per una guida completa su come configurare un account sandbox, creare un ordine di prova e utilizzare Sandbox con l'API SWS di SSL.com, puoi leggere il nostro articolo della guida: Utilizzo di SSL.com Sandbox per test e integrazione.

  • Guide ambientali specifiche

    I certificati di firma del codice EV di SSL.com possono essere utilizzati in vari ambienti di firma del codice. Fare riferimento agli articoli seguenti per guide specifiche:  Oltre a quelli sopra indicati, esistono più ambienti con cui sono compatibili i certificati di firma del codice SSL.com. Contatto supporto@ssl.com oppure usa la chat del sito web per domande su altri ambienti.
     

    Contatta il team di vendita SSL.com

    Se hai bisogno di qualcuno che ti illustri tutte le nostre opzioni di firma del codice, che discuta di integrazioni personalizzate, accordi ad alto volume, preventivi o altre soluzioni personalizzate, puoi sempre contattare il nostro team di vendita all'indirizzo sales@ssl.com oppure compilare il modulo sottostante.


    Twitter
    Facebook
    LinkedIn
    Reddit
    Email

    Rimani informato e sicuro

    SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

    Ci piacerebbe il tuo feedback

    Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.