Resumo: A escolha entre o serviço de assinatura em nuvem eSigner da SSL e um token de hardware afeta mais do que apenas o armazenamento de chaves. Ela molda todo o seu fluxo de trabalho de assinatura. Este guia compara os dois métodos em termos de recursos, preços e compatibilidade com CI/CD para ajudá-lo a encontrar a solução ideal. Seja para assinaturas ocasionais ou para a execução de pipelines automatizados em grande escala, a resposta está aqui.
Ao encomendar um certificado de assinatura de código da SSL, você precisa tomar uma decisão fundamental antes mesmo da geração da sua chave privada: onde essa chave ficará armazenada e como você a utilizará para assinar documentos? As duas principais opções são um token físico enviado para sua residência ou o serviço de assinatura em nuvem eSigner da SSL. Ambas atendem aos requisitos de armazenamento de chaves do CA/Browser Forum, que entraram em vigor em junho de 2023, mas servem a fluxos de trabalho, tamanhos de equipe e necessidades de automação muito diferentes.
Este guia compara as duas opções para que você possa fazer uma escolha informada sem precisar reunir informações de diversas fontes.
Como cada método funciona
Tokens de hardware (YubiKey FIPS e Thales SafeNet) são dispositivos USB físicos que armazenam sua chave privada em hardware resistente a adulterações. A SSL os envia pré-carregados com seu certificado. A assinatura requer que o token esteja fisicamente presente, conectado a um computador e desbloqueado com um PIN. A chave privada nunca sai do dispositivo.
Assinatura eletrônica é o serviço de assinatura em nuvem da SSL. Sua chave privada é gerada e armazenada em HSMs compatíveis com FIPS 140-2, gerenciados pela SSL. Como a chave reside na nuvem, você pode assinar de qualquer máquina conectada à internet sem precisar carregar hardware. A assinatura é realizada por meio do aplicativo web eSigner Express, do utilitário de linha de comando CodeSignTool, da API compatível com CSC ou do eSigner CKA (Cloud Key Adapter) para ferramentas baseadas em Windows.
Ambos os métodos armazenam chaves privadas em hardware validado pelo padrão FIPS 140-2. A principal diferença reside em quem detém o hardware e em sua posição no fluxo de trabalho.
Comparação de capacidades
|
Capacidade |
Token de Hardware |
Assinatura eletrônica |
|
Assinatura de código OV / IV |
Sim |
Sim |
|
Assinatura do código EV |
Sim |
Sim |
|
Assinatura de documento |
Sim |
Sim |
|
Assinatura sem a presença de hardware físico |
Não |
Sim |
|
Compartilhamento de equipe/credenciais |
Não |
Sim |
|
Assinar através de um aplicativo Web (sem ferramentas locais) |
Não |
Sim (eSigner Express) |
|
Assinatura CLI/scriptável |
Sim (via SignTool + driver) |
Sim (CodeSignTool) |
|
Acesso à API CSC |
Não |
Sim |
|
Integração Windows CNG/KSP |
Sim (nativo) |
Sim (via assinatura eletrônica CKA) |
|
Suporte remoto para atestação |
Somente YubiKey |
Não aplicável |
|
Assinatura de driver em modo kernel |
Sim (Thales SafeNet, RSA até 3072 bits) |
Sim (EV) |
|
Ambiente de teste/sandbox |
Não |
Sim |
Comparação de características
|
Característica |
Token de Hardware |
Assinatura eletrônica |
|
Local de armazenamento de chaves |
No dispositivo (físico) |
HSM em nuvem (gerenciado por SSL) |
|
Conformidade FIPS 140-2 |
Sim |
Sim |
|
Dispositivo físico necessário |
Sim |
Não |
|
Risco de perda/roubo |
Sim |
Não |
|
Processo de substituição |
Novo pedido de tokens + reinscrição (taxa de $150) |
Não aplicável |
|
Número de usuários simultâneos |
Um por ficha |
Várias credenciais por assinatura |
|
Assinatura a partir de pipelines CI/CD |
Requer acesso físico à porta USB. |
Nativo |
|
Suporte a vários sistemas operacionais |
Windows como sistema operacional principal; uso limitado em outros locais. |
Qualquer sistema operacional com acesso à internet. |
|
Rastreamento de auditoria/uso |
Nenhum embutido |
Registro de assinaturas mensais no portal da conta. |
|
Reputação do Microsoft SmartScreen (EV) |
Sim |
Sim |
|
você recebe uma avaliação gratuita de 30 dias da nossa licença Business Edition e pode aproveitar alguns dos recursos avançados da plataforma SecurityScorecard. |
Não |
Sim (contratações ilimitadas) |
|
Compartilhamento de certificados entre credenciais |
Não |
Sim |
Comparação de preços
Os tokens de hardware estão incluídos no seu pedido de certificado e representam um custo único por dispositivo. Não há taxas por assinatura, mas cada token físico está vinculado a um único usuário e local. Tokens adicionais para membros da equipe devem ser solicitados separadamente.
O eSigner opera com um modelo de assinatura que se sobrepõe ao seu certificado. As assinaturas estão disponíveis mensalmente ou anualmente; os planos anuais oferecem um desconto de 25%. As assinaturas não utilizadas são acumuladas para o próximo ciclo de faturamento, desde que a assinatura permaneça ativa.
eSigner: Assinatura de código IV, OV e IV+OV e assinatura de documentos
|
camada |
Assinatura de credenciais |
Sessões de autógrafos mensais |
Custo mensal |
Assinaturas Anuais |
Custo anual |
Excedente (cada) |
|
1 |
1 |
20 |
$20.00 |
240 |
$180.00 |
$1.00 |
|
2 |
5 |
100 |
$85.00 |
1,200 |
$765.00 |
$0.85 |
|
3 |
9 |
300 |
$175.00 |
3,600 |
$1,575.00 |
$0.58 |
|
4 |
13 |
1,000 |
$250.00 |
12,000 |
$2,250.00 |
$0.25 |
Credenciais adicionais para assinatura de vistos IV/OV estão disponíveis por US$ 20.00 cada, por mês, em todos os níveis.
eSigner: Assinatura de código EV
|
camada |
Assinatura de credenciais |
Sessões de autógrafos mensais |
Custo mensal |
Assinaturas Anuais |
Custo anual |
Excedente (cada) |
|
1 |
1 |
10 |
$100.00 |
120 |
$900.00 |
$10.00 |
|
2 |
3 |
100 |
$300.00 |
1,200 |
$2,700.00 |
$3.00 |
|
3 |
7 |
1,000 |
$700.00 |
12,000 |
$6,300.00 |
$0.70 |
|
4 |
15 |
10,000 |
$1,500.00 |
120,000 |
$13,500.00 |
$0.15 |
Credenciais adicionais para assinatura de EV estão disponíveis por US$ 29.00/mês por credencial em todos os planos. Para volumes acima dos limites máximos de cada plano, entre em contato com a equipe de vendas corporativas da SSL pelo e-mail sales@ssl.com.
Observação: Todos os créditos de assinatura eletrônica serão perdidos se a assinatura ficar inativa. A reinscrição após o cancelamento está disponível mediante o pagamento de uma taxa de US$ 150.
Matriz de compatibilidade CI/CD
Os tokens de hardware exigem uma conexão USB física, o que os torna incompatíveis com a maioria dos executores de CI/CD hospedados na nuvem. O eSigner foi desenvolvido especificamente para integração com pipelines.
|
Plataforma CI/CD |
Token de Hardware |
Assinatura eletrônica (CodeSignTool) |
Assinatura eletrônica (CKA) |
Assinatura eletrônica (API CSC) |
|
Ações do GitHub |
Não suportado |
Sim |
Sim (executor auto-hospedado) |
Sim |
|
CI do GitLab |
Não suportado |
Sim |
Sim (executor auto-hospedado) |
Sim |
|
CircleCI |
Não suportado |
Sim |
Sim (executor auto-hospedado) |
Sim |
|
Jenkins |
Não suportado |
Sim |
Sim |
Sim |
|
DevOps do Azure |
Não suportado |
Sim |
Sim |
Sim |
|
Travis C.I. |
Não suportado |
Sim |
Não |
Sim |
|
Pipelines Bitbucket |
Não suportado |
Sim |
Não |
Sim |
|
Executador auto-hospedado (qualquer plataforma) |
Possível com acesso direto via USB. |
Sim |
Sim |
Sim |
O eSigner CKA integra-se com ferramentas nativas do Windows, como o SignTool e o certutil. Para ambientes de CI em Linux e macOS, o CodeSignTool e a API CSC são as abordagens recomendadas.
Qual método você deve escolher?
Nenhuma das opções é universalmente superior. A resposta certa depende da estrutura da sua equipe, da frequência de lançamentos e da infraestrutura.
Escolha um token de hardware se:
- Você assina raramente. Se sua frequência de lançamentos for ocasional (algumas vezes por mês ou menos), o custo da assinatura do eSigner por assinatura pode exceder o valor para o seu volume.
- Você trabalha em um ambiente isolado da internet ou com acesso restrito à internet. Os tokens de hardware podem funcionar completamente offline após a configuração inicial.
- Seu fluxo de trabalho de assinatura já está estruturado em torno de ferramentas nativas do Windows. como o SignTool, e você não precisa de automação.
- Os requisitos de conformidade especificam a custódia física das chaves. Algumas indústrias regulamentadas exigem que as chaves privadas residam em hardware físico sob controle organizacional direto.
Escolha o eSigner se:
- Você utiliza um pipeline de CI/CD. O eSigner é a única opção que se integra nativamente com executores hospedados na nuvem, como GitHub Actions, GitLab CI, CircleCI, Azure DevOps e outros. Tokens de hardware não podem participar de builds automatizados na nuvem.
- Você tem uma equipe distribuída ou remota. As credenciais de assinatura eletrônica podem ser compartilhadas entre os membros da equipe sem a necessidade de envio de hardware ou gerenciamento de ativos físicos em diferentes locais.
- Você assina em grande volume. No Nível 4, a assinatura EV cai para US$ 0.15 por assinatura, e a assinatura IV/OV cai para US$ 0.25. Para organizações com centenas ou milhares de assinaturas mensais, os planos de volume da eSigner são economicamente mais vantajosos.
- Além da assinatura de código, você precisa de assinatura de documentos. O eSigner é o único método aqui que suporta certificados de assinatura de documentos. Os tokens de hardware emitidos pelo SSL são específicos para assinatura de código.
- Você quer eliminar a logística de hardware. Tokens perdidos, bloqueios de PIN e atrasos no envio físico são riscos operacionais que o eSigner elimina completamente.
- Você está apenas começando. O período de teste gratuito de 30 dias com assinaturas ilimitadas oferece às equipes tempo para avaliar o eSigner completamente antes de se comprometerem com um plano de assinatura.
Uma nota sobre ambientes mistos
Esses dois métodos não são mutuamente exclusivos no nível organizacional. Algumas equipes emitem tokens de hardware para desenvolvedores que assinam builds localmente, enquanto adotam o eSigner para pipelines de lançamento e jobs em lote automatizados. O mesmo certificado de assinatura de código SSL pode ser registrado no eSigner independentemente de qualquer token de hardware associado ao pedido.
Começando a jornada
- Solicite um certificado de assinatura de código: ssl.com/certificados-de-assinatura-de-código
- Inscreva-se no eSigner: ssl.com/esigner
- Analise os guias de integração de CI/CD: Disponível para GitHub Actions, GitLab CI, CircleCI, Jenkins, Azure DevOps, Travis CI e Bitbucket em ssl.com
- Para preços por volume, entre em contato com a equipe de vendas corporativas da SSL: vendas@ssl.com
Para dúvidas sobre qual opção se adequa ao seu ambiente específico, a equipe de suporte da SSL está disponível através dos canais indicados. Bate-papo ao vivo ou pelo portal de bilhetes em ssl.com.
