Certificati di firma del codice, opzioni di firma su cloud e integrazione delle operazioni di firma

Che cos'è un certificato di firma del codice?

Un certificato di firma del codice è un certificato digitale che fornisce una prova di identità di un editore di software accettata a livello globale ed è ottenibile da un'autorità di certificazione (CA) affidabile come SSL.com. Le società di software utilizzano i certificati di firma del codice per fornire la prova che sono gli sviluppatori di un'applicazione. 

I certificati di firma del codice impediscono inoltre la manomissione del codice e garantiscono che un file sia privo di modifiche non autorizzate, malware e sia sicuro da installare. I certificati di firma del codice sono una funzionalità di sicurezza essenziale quando il software viene distribuito, venduto e scaricato online.  Firma digitalmente il tuo codice con certificati SSL.com affidabili consente agli utenti e ai sistemi operativi di sapere che il tuo software è autentico e sicuro da installare. Puoi sempre contattare il ns gruppo Vendite per spiegare queste opzioni e fornire un preventivo.

Scegliere il giusto certificato di firma del codice

I certificati di convalida dell'organizzazione (OV) e di convalida individuale (IV) sono indicati come certificati High Assurance perché richiedono più convalida e quindi forniscono più fiducia, . Per i certificati OV e IV, la CA verificherà l'organizzazione effettiva o la singola persona che sta tentando di ottenere il certificato. Anche il nome dell'organizzazione o della persona è elencato nel certificato, dando ulteriore fiducia alla reputazione del titolare del certificato. I certificati OV sono spesso utilizzati da aziende, governi e altre entità che desiderano fornire un ulteriore livello di sicurezza ai propri visitatori. A parte SSL/TLS certificati, OV e IV sono anche comunemente usati per firma del codice, firma del documento, autenticazione cliente S/MIME certificati di posta elettronica. Per ulteriori informazioni sui requisiti, fare riferimento a SSL.com Requisiti OV e IV. Il certificato di firma del codice di convalida individuale (IV) applica firme digitali con un nome personale, perfette per sviluppatori di software indipendenti e contributori di progetti individuali che desiderano aumentare la fiducia e la fiducia dei propri utenti.  I certificati EV, noti anche come certificati di firma del codice aziendale, forniscono la massima affidabilità ai visitatori e richiedono anche il massimo sforzo da parte della CA per la convalida. I certificati EV possono essere rilasciati solo ad aziende e altre organizzazioni registrate, non a privati. SSL.com I certificati di firma del codice EV di proprietà esclusiva aggiungono l'identità di un individuo al certificato di firma del codice EV standard. Questa opzione di convalida consente a una ditta individuale oa un singolo contributore di includere il proprio nome nella firma digitale. L'opzione di convalida dell'impresa individuale è anche per le aziende che richiedono un ulteriore livello di sicurezza includendo l'identità convalidata di un individuo nella firma digitale. Per saperne di più sulle caratteristiche di questi certificati, puoi leggere il nostro articolo,  Quale certificato di firma codice è necessario? EV o OV? A breve, le caratteristiche che definiscono i certificati di firma del codice OV ed EV sono elencate di seguito.

Certificato di firma del codice IV:

• Applica firme digitali con un nome personale
• Perfetto per sviluppatori di software indipendenti e contributori di singoli progetti

Certificato di firma del codice OV:

• Verifica la tua identità come editore del software
• Protegge il tuo software da manomissioni e infezioni da malware

Certificato di firma del codice EV:

• Possibilità di firmare entrambi i driver precedenti a Windows 10 e Windows 10
• Reputazione istantanea di Microsoft SmartScreen
• Mancata scadenza della firma e della marca temporale
•  Possibilità di accedere al cloud utilizzando eSigner
• I certificati di firma del codice EV di proprietà individuale aggiungono l'identità di un individuo al certificato di firma del codice EV standard

Configurazione e utilizzo del tuo account SSL.com

Se non l'hai già fatto, inizia creando un account su SSL.com. Il tuo account ha la capacità di creare più team e invitare più utenti con ruoli e diritti specifici.

Il processo di convalida

Per convalidare ed emettere un certificato OV o IV, SSL.com deve verificare la tua identità, indirizzo fisico e numero di telefono tramite risorse online verificabili e/o documenti di verifica validi. Per ulteriori dettagli sui requisiti, puoi leggere Quali sono i requisiti per i certificati SSL.com OV e IV?  Inoltre, per gli ordini del certificato di firma del codice IV, i richiedenti dovranno inviare un'immagine fronte e retro di un documento d'identità più un'immagine di loro con l'ID accanto al viso. Secondo le linee guida stabilite dal CA/Browser Forum, è necessario fornire documentazione aggiuntiva per emettere un certificato EV. Vai a Domande frequenti: processo di convalida estesa (EV) per conoscere tutti i requisiti per i certificati EV. Per gli enti richiedenti Certificati per la firma del codice EV, SSL.com condurrà la convalida sia tramite risorse online affidabili e/o documenti validi, sia tramite documentazione aggiuntiva in base alle linee guida stabilite dal CA/Browser Forum.  

Nuovi requisiti di archiviazione delle chiavi per i certificati di firma del codice OV e IV

A partire dal 1 giugno 2023, SSL.com I certificati di firma del codice di convalida dell'organizzazione (OV) e di convalida individuale (IV) di verranno emessi solo su token USB Federal Information Processing Standard 140-2 (FIPS 140-2) o tramite il nostro servizio di firma del codice cloud eSigner. Questa modifica è conforme ai nuovi requisiti di archiviazione delle chiavi del forum dell'autorità di certificazione/browser (CA/B) per aumentare la sicurezza delle chiavi di firma del codice. La norma precedente consentiva l'emissione di certificati di firma del codice OV e IV come file scaricabili da Internet. Poiché i nuovi requisiti consentono solo l'uso di token USB crittografati o dispositivi hardware conformi a FIPS basati su cloud per archiviare il certificato e la chiave privata, si prevede che le istanze di chiavi di firma del codice rubate e utilizzate in modo improprio da malintenzionati saranno notevolmente ridotte. Clic questo link per saperne di piú su SSL.com Soluzione di firma del codice cloud eSigner.

Metodi di archiviazione e firma delle chiavi per certificati di firma del codice di convalida estesa 

Token USB

L'approccio più comune alla firma del codice EV consiste nell'utilizzare un modulo di sicurezza hardware (HSM) come un token USB che memorizza il certificato di firma del codice EV e agisce come una chiave per la firma del codice del software. Rispetto all'archiviazione del certificato su una macchina locale, un token USB ha un buon punteggio in termini di sicurezza e portabilità del palmare. Tuttavia, una limitazione è che può essere piuttosto costoso acquistare e gestire più token e non sono così flessibili rispetto alle opzioni basate su cloud.  SSL.com fornisce l'archiviazione sicura della chiave privata e la sicurezza fisica 2FA con un token USB FIPS Yubikey. Questo dispositivo USB aggiunge una protezione antimanomissione al tuo software perché solo le persone che ne sono effettivamente in possesso potranno firmare digitalmente un codice per le tue applicazioni o programmi.

HSM cloud

Una seconda opzione per la firma del codice EV consiste nell'utilizzare un HSM in rete nel cloud per ospitare certificati e chiavi di firma del codice. Questo metodo offre un livello di sicurezza paragonabile a quello di un token USB poiché anche le chiavi private non sono esportabili. Poiché la firma del codice viene eseguita tramite il cloud, si ottiene una collaborazione scalabile tra gli sviluppatori. Va notato, tuttavia, che questo metodo potrebbe richiedere esperienza con il particolare fornitore di servizi cloud. Per l'emissione di certificati di firma del codice EV, SSL.com supporta tre Cloud HSM: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM e Google Cloud HSM. Per avere maggiori dettagli su ciascuno di essi, puoi leggere il nostro articolo guida: HSM cloud supportati per la firma dei documenti e la firma del codice EV.

• Per sapere come utilizzare il tuo account HSM e assumere un professionista per l'attestazione Cloud HSM, puoi leggere il nostro articolo Porta la tua attestazione di Auditor Cloud HSM.
• SSL.com sta attualmente sviluppando e testando procedure di attestazione per un'ampia gamma di piattaforme HSM. Puoi compilare questo modulo di richiesta per scoprire se stiamo testando una piattaforma HSM che non era elencata sopra.

eSigner: firma del codice come servizio

In terzo luogo, un approccio moderno e molto conveniente alla firma del codice EV riguarda la firma del codice come servizio. Il servizio di firma del codice cloud eSigner di SSL.com è un esempio di questo metodo.  Con eSigner, SSL.com gestisce sia l'infrastruttura a chiave pubblica (PKI) e HSM per la firma del codice. Le chiavi di firma non esportabili sono archiviate negli HSM di eSigner, dove né il cliente né SSL.com possono visualizzarle. In questo modo, lo standard di sicurezza è elevato come con i token e gli HSM cloud, ma non è necessario che il cliente se ne occupi direttamente. L'ambiente eSigner include una serie di opzioni di firma per soddisfare le esigenze di una varietà di clienti, dai singoli sviluppatori alle organizzazioni complesse.

Opzioni di firma di eSigner

• Con il servizio eSigner di SSL.com, puoi utilizzare il tuo certificato di firma del codice di convalida estesa SSL.com per firmare il codice da qualsiasi dispositivo connesso a Internet senza hardware aggiuntivo. Dopo aver registrato l'ordine del certificato di firma del codice EV in eSigner, puoi firmare il codice con il Applicazione web eSigner Express, eSigner CodeSignTool o tramite SSL.com conforme a CSC API per la firma del codice. 

Tipi di file supportati da eSigner

• Puoi leggere la nostra guida, Tipi di file supportati da eSigner, per sapere quali tipi di file sono supportati da eSigner Express e eSigner API.

Guida introduttiva al certificato di firma del codice:

Dopo aver ricevuto il nuovo certificato di firma del codice, potresti avere domande su come utilizzarlo e con quali applicazioni può essere integrato. Le guide collegate di seguito rispondono alle domande più comuni che potresti avere su come iniziare con il tuo nuovo certificato.

• Come acquistare certificati di firma del codice e di firma del codice EV da SSL.com
• Come installare un certificato di firma del codice SSL.com OV su Windows 10
• FAQ: Introduzione al certificato di firma del codice EV
• Registrati con il programma per sviluppatori hardware di Windows per firmare i driver con la firma del codice EV
• Come usare il tuo Certificato di firma del codice OV o EV con SignTool di Microsoft e SSL.com SSL Manager

Guida introduttiva alla firma del codice cloud di eSigner

• Funzionalità del servizio di eSigner
• Iscriviti a eSigner
• Scelta di un abbonamento alla firma
  • Prezzi eSigner per la firma del codice
  • Prezzi eSigner per la firma di documenti
  • Come modificare il livello di eSigner

Di seguito sono riportate le risorse che possono fornire ulteriori informazioni su come utilizzare l'interfaccia di eSigner e configurarla per attività orientate al team.

• Domande frequenti su eSigner
• Come visualizzare e reimpostare il codice QR di eSigner o reimpostare il PIN
• Condivisione in team per documenti eSigner e certificati di firma del codice EV

Usando i tuoi Yubikey

Certificati come EV Code Signing ordinati da SSL.com hanno la possibilità di essere preinstallati in un Hardware Security Module (HSM) come un token USB della chiave di sicurezza convalidato FIPS 140-2. Se il tuo certificato non è stato ancora convalidato, puoi includere il numero di token di cui hai bisogno al momento dell'ordine e prima di completare il processo di convalida. Nel caso in cui il tuo certificato sia già stato emesso, hai ancora la possibilità di ordinare token aggiuntivi. Per sapere come aggiungere Yubikeys al tuo certificato EV Code Signing, fai clic su questa guida: Come aggiungere YubiKey al tuo ordine di certificati Se possiedi già una Yubikey, puoi fare riferimento alle seguenti guide su come azionarla:

• YubiKey Istruzioni rapide
• Come sbloccare il PIN YubiKey
• Come accedere al tuo PIN e PUK FIPS Yubikey
• Cosa succede se il mio token di firma del codice EV è vuoto?
• Come installare i certificati radice e intermedi SSL.com su YubiKey
• Come condurre la generazione e l'attestazione delle chiavi con Yubikey

Automazione e integrazione

eSigner CKA (adattatore chiave cloud)

•  eSigner CKA (adattatore chiave cloud) è un'applicazione basata su Windows che utilizza l'interfaccia CNG (KSP Key Service Provider) per consentire a strumenti come certutil.exe e signtool.exe di utilizzare eSigner CSC per operazioni di firma del codice automatizzate. eSigner CKA agisce come un token USB virtuale e carica i certificati di firma del codice nell'archivio certificati. 

eSigner e CodeSignTool per la firma automatica del codice EV

• CodeSignTool è ideale per processi batch automatizzati per firme ad alto volume o integrazione in flussi di lavoro di pipeline CI/CD esistenti.
• Leggi la nostra CodeSignTool guida su come firmare oggetti codice senza che venga richiesta l'immissione manuale OTP per ciascun file.
• Oltre al capo Guida ai comandi dello strumento eSigner CodeSign per saperne di più su comandi, opzioni e parametri supportati.

Guide specifiche all'integrazione del servizio CI/CD

Di seguito sono riportate guide specifiche su come automatizzare la firma del codice utilizzando eSigner per le piattaforme CI/CD più popolari.

• Integrazione della firma del codice cloud con CircleCI
• Integrazione della firma del codice cloud con le azioni GitHub
• Integrazione Cloud Code Signing con GitLab CI
• Integrazione Cloud Code Signing con Travis CI
• Integrazione della firma del codice cloud con Jenkins CI
• Integrazione della firma del codice cloud con Azure DevOps

Scopri di più sul valore della firma del codice basata su cloud leggendo il nostro articolo: Automazione della firma del codice cloud con servizi CI/CD.

Test della firma del codice EV nella sandbox

SSL.com mantiene un ambiente "sandbox" separato per il nostro servizio di firma su cloud eSigner in modo che gli utenti possano sperimentare le diverse app, utilità e API prima di lavorare con live Firma del codice EV certificati.

• Andiamo al nostro articolo su come fare che include credenziali demo eSigner, codici QR e informazioni di configurazione per facilitare l'uso sperimentale di Sandbox eSigner Express, CodeSignToole CCS, Firma del codice.
• Per una guida completa su come configurare un account sandbox, creare un ordine di prova e utilizzare Sandbox con l'API SWS di SSL.com, puoi leggere il nostro articolo della guida: Utilizzo di SSL.com Sandbox per test e integrazione.

Guide ambientali specifiche

I certificati di firma del codice EV di SSL.com possono essere utilizzati in vari ambienti di firma del codice. Fare riferimento agli articoli seguenti per guide specifiche: 

• Firma del codice Java con un certificato di firma del codice OV/IV o EV
• Firma dei driver in modalità kernel per Windows utilizzando certificati di firma del codice EV o OV
• FAQ: Certificati di firma codice in modalità kernel
• Utilizzo di Jsign dalla riga di comando di Linux per la firma del codice OV/IV e la firma del codice EV
• Firma del codice con Azure DevOps, usando un certificato archiviato in Azure Key Vault

Oltre a quelli sopra indicati, esistono più ambienti con cui sono compatibili i certificati di firma del codice SSL.com. Contatto support@ssl.com oppure usa la chat del sito web per domande su altri ambienti.

Contatta le vendite o contatta l'assistenza

Se hai bisogno di qualcuno che ti guidi attraverso tutte le nostre opzioni di firma del codice, discuta integrazioni personalizzate, affari ad alto volume, preventivi o altre soluzioni personalizzate, puoi sempre contattare i nostri team di vendita o di supporto.

Modulo di Contatto