Certificados de assinatura de código, opções de assinatura em nuvem e integração de operações de assinatura

O que é um certificado de assinatura de código?

Um certificado de assinatura de código é um certificado digital que fornece uma prova de identidade globalmente aceita de um editor de software e pode ser obtido de uma Autoridade de Certificação (CA) respeitável como SSL.com. As empresas de software usam certificados de assinatura de código para provar que são os desenvolvedores de um aplicativo. 

Os certificados de assinatura de código também evitam a adulteração de código e garantem que um arquivo esteja livre de modificações não autorizadas, malware e seja seguro para instalar. Os certificados de assinatura de código são um recurso de segurança essencial quando o software está sendo distribuído, vendido e baixado online.  Assinando digitalmente seu código com certificados SSL.com confiáveis ​​permite que usuários e sistemas operacionais saibam que seu software é autêntico e seguro para instalar. Pode sempre contactar o nosso equipe de vendas para explicar essas opções e fornecer uma cotação.
Precisa de um certificado de assinatura de código? SSL.com tem opções para atender às suas necessidades, saiba mais sobre nossos certificados.

Escolhendo o certificado de assinatura de código correto

Os certificados de validação da organização (OV) e validação individual (IV) são chamados de certificados de alta garantia porque exigem mais validação e, portanto, fornecem mais confiança, . Para certificados OV e IV, a CA verificará a organização real ou pessoa individual que está tentando obter o certificado. O nome da organização ou indivíduo também é listado no certificado, dando confiança adicional de que o detentor do certificado é respeitável. Os certificados OV são frequentemente usados ​​por corporações, governos e outras entidades que desejam fornecer uma camada extra de confiança para seus visitantes. Além de SSL/TLS certificados, OV e IV também são comumente usados ​​para assinatura de código, assinatura de documento, autenticação de cliente e S/MIME certificados de e-mail. Para obter mais informações sobre os requisitos, consulte SSL.com's Requisitos OV e IV. O Certificado de Assinatura de Código de Validação Individual (IV) aplica assinaturas digitais com um nome pessoal, perfeito para desenvolvedores de software independentes e colaboradores de projetos individuais que desejam aumentar a confiança de seus usuários.  Os certificados EV, também conhecidos como certificados de assinatura de código corporativo, fornecem o máximo de confiança aos visitantes e também exigem o maior esforço da CA para validar. Os certificados EV só podem ser emitidos para empresas e outras organizações registradas, não para indivíduos. Certificados de assinatura de código EV de propriedade exclusiva SSL.com adicionam a identidade de um indivíduo ao certificado de assinatura de código EV padrão. Esta opção de validação permite que uma empresa individual ou contribuinte individual inclua seu nome na assinatura digital. A opção de validação de propriedade individual também é para empresas que exigem uma camada extra de segurança, incluindo a identidade validada de um indivíduo na assinatura digital. Para saber mais sobre os recursos desses certificados, você pode ler nosso artigo,  Qual certificado de assinatura de código eu preciso? EV ou OV? Em uma rápida olhada, os recursos definidores dos certificados de assinatura de código OV e EV estão listados abaixo.

Certificado de Assinatura de Código IV:

  • Aplica assinaturas digitais com um nome pessoal
  • Perfeito para desenvolvedores de software independentes e contribuidores de projetos individuais

Certificado de Assinatura de Código OV:

  • Verifica sua identidade como o editor do software
  • Protege seu software contra adulteração e infecção por malware

Certificado de assinatura de código EV:

  • Capacidade de assinar drivers pré-Windows 10 e Windows 10
  • Reputação instantânea do Microsoft SmartScreen
  • Não expiração da assinatura e carimbo do tempo
  •  Capacidade de assinar na nuvem usando eSigner
  • Os certificados de assinatura de código EV de propriedade individual adicionam a identidade de um indivíduo ao certificado de assinatura de código EV padrão

Configurando e usando sua conta SSL.com

Se ainda não o fez, comece por criando uma conta no SSL.com. Sua conta tem a capacidade de criar várias equipes, bem como convidar vários usuários com atribuições específicas de funções e direitos.

O processo de validação

Para validar e emitir um certificado OV ou IV, SSL.com deve verificar sua identidade, endereço físico e número de telefone por meio de recursos online verificáveis ​​e/ou documentos de verificação válidos. Para mais detalhes sobre os requisitos, você pode ler Quais são os requisitos para os certificados SSL.com OV e IV?  Além disso, para pedidos de Certificado de Assinatura de Código IV, os solicitantes terão que enviar uma imagem frontal e traseira de um documento de identidade, além de uma imagem deles segurando o documento próximo ao rosto. De acordo com as diretrizes definidas pelo CA/Browser Forum, documentação extra deve ser fornecida para emitir um certificado EV. Vá para Perguntas frequentes: Processo de validação estendida (EV) conhecer todos os requisitos para certificados EV. Para entidades que solicitam Certificados de Assinatura de Código EV, SSL.com conduzirá a validação através de recursos online confiáveis ​​e/ou documentos válidos, bem como documentação extra de acordo com as diretrizes estabelecidas pelo CA/Browser Forum.  

Novos requisitos de armazenamento de chaves para certificados de assinatura de código OV e IV

A partir de 1 de junho de 2023, SSL.com Os Certificados de Assinatura de Código de Validação de Organização (OV) e Validação Individual (IV) só serão emitidos em tokens USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou por meio de nosso serviço de assinatura de código em nuvem eSigner. Essa alteração está em conformidade com os novos requisitos de armazenamento de chaves do Fórum de autoridade de certificação/navegador (CA/B) para aumentar a segurança das chaves de assinatura de código. A regra anterior permitia que os certificados de assinatura de código OV e IV fossem emitidos como arquivos para download da Internet. Como os novos requisitos permitem apenas o uso de tokens USB criptografados ou dispositivos de hardware compatíveis com FIPS baseados em nuvem para armazenar o certificado e a chave privada, espera-se que as ocorrências de chaves de assinatura de código roubadas e mal utilizadas por agentes mal-intencionados sejam bastante reduzidas. Clique este link para saber mais sobre o SSL.com Solução de assinatura de código em nuvem eSigner.

Armazenamento de chaves e métodos de assinatura para certificados de assinatura de código de validação estendida 

Token USB

A abordagem mais comum para a assinatura de código EV é usar um Hardware Security Module (HSM) como um token USB que armazena o certificado de assinatura de código EV e atua como uma chave na assinatura do código do software. Comparado ao armazenamento do certificado em uma máquina local, um token USB tem uma boa pontuação em segurança e portabilidade do dispositivo portátil. Uma limitação é que pode ser bastante caro comprar e gerenciar vários tokens e eles não são tão flexíveis quando comparados às opções baseadas em nuvem.  SSL.com fornece armazenamento seguro de chave privada e segurança 2FA física com um token USB Yubikey FIPS. Este dispositivo USB adiciona proteção anti-adulteração ao seu software porque somente as pessoas que realmente o possuem poderão assinar digitalmente um código para seus aplicativos ou programas.

Nuvem HSM

Uma segunda opção para assinatura de código EV é usar um HSM em rede na nuvem para hospedar certificados e chaves de assinatura de código. Esse método oferece um nível de segurança comparável ao de um token USB, pois as chaves privadas também não são exportáveis. Como a assinatura de código é realizada por meio da nuvem, é alcançada uma colaboração escalável entre os desenvolvedores. Deve-se notar, porém, que esse método pode exigir experiência com o provedor de serviços de nuvem específico. Para a emissão de certificados de assinatura de código EV, SSL.com oferece suporte a três Cloud HSMs: Microsoft Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM e Google Cloud HSM. Para obter mais detalhes sobre cada um, você pode ler nosso artigo de guia: Cloud HSMs com suporte para assinatura de documentos e assinatura de código EV.
  • Para saber como você pode usar sua conta HSM e contratar um profissional para Cloud HSM Attestation, você pode ler nosso artigo Traga seu próprio Auditor Cloud HSM Attestation.
  • SSL.com está atualmente desenvolvendo e testando procedimentos de atestado para uma ampla variedade de plataformas HSM. Você pode preencher este formulário de inquérito para descobrir se estamos testando uma plataforma HSM que não foi listada acima.

eSigner: assinatura de código como serviço

Em terceiro lugar, uma abordagem moderna e muito conveniente para a assinatura de código EV é lidar com a assinatura de código como um serviço. O serviço de assinatura de código em nuvem eSigner da SSL.com é um exemplo desse método.  Com o eSigner, SSL.com lida com a infraestrutura de chave pública (PKI) e HSMs para assinatura de código. As chaves de assinatura não exportáveis ​​são armazenadas nos HSMs do eSigner, onde nem o cliente nem SSL.com podem visualizá-las. Dessa forma, o padrão de segurança é tão alto quanto com tokens e HSMs em nuvem, mas não há necessidade do cliente lidar com eles diretamente. O ambiente do eSigner inclui várias opções de assinatura para acomodar as necessidades de uma variedade de clientes, desde desenvolvedores individuais até organizações complexas.

Opções de assinatura do eSigner

  • Com o serviço eSigner da SSL.com, você pode usar seu Certificado de Assinatura de Código de Validação Estendida SSL.com para assinar o código de qualquer dispositivo conectado à Internet sem nenhum hardware adicional. Depois de registrar seu pedido de certificado de assinatura de código EV no eSigner, você pode assinar o código com o Aplicativo da web eSigner Express, eSigner CodeSignTool ou através de SSL.com compatível com CSC API de assinatura de código

Tipos de arquivo suportados pelo eSigner

Introdução ao seu certificado de assinatura de código:

Ao receber seu novo certificado de assinatura de código, você pode ter dúvidas sobre como usá-lo e com quais aplicativos ele pode ser integrado. Os guias vinculados abaixo respondem a perguntas comuns que você pode ter sobre como começar a usar seu novo certificado.

Introdução ao eSigner Cloud Code Signing

Abaixo estão os recursos que podem fornecer mais informações sobre como usar a interface do eSigner e configurá-la para tarefas orientadas à equipe.

Usando suas Yubikeys

Certificados como EV Code Signing encomendados em SSL.com vêm com a opção de serem pré-instalados em um Hardware Security Module (HSM) como um token USB de chave de segurança validado FIPS 140-2. Se o seu certificado ainda não foi validado, você pode incluir o número de tokens necessários ao fazer o pedido e antes de concluir o processo de validação. Caso seu certificado já tenha sido emitido, você ainda tem a opção de solicitar tokens adicionais. Para saber como adicionar Yubikeys ao seu certificado de assinatura de código EV, clique neste guia: Como adicionar YubiKeys ao seu pedido de certificado Se você já possui um Yubikey, consulte os seguintes guias sobre como operá-lo:

Automação e Integração

eSigner CKA (Adaptador de chave de nuvem)

  •  eSigner CKA (Adaptador de chave de nuvem) é um aplicativo baseado em Windows que usa a interface CNG (KSP Key Service Provider) para permitir que ferramentas como certutil.exe e signtool.exe usem o eSigner CSC para operações automatizadas de assinatura de código. O eSigner CKA atua como um token USB virtual e carrega os certificados de assinatura de código para o armazenamento de certificados. 

eSigner e CodeSignTool para assinatura automatizada de código EV

  • CodeSignTool é ideal para processos em lote automatizados para assinaturas de alto volume ou integração em fluxos de trabalho de pipeline de CI/CD existentes.
  • Leia o nosso Guia do CodeSignTool sobre como assinar objetos de código sem ser solicitada a entrada OTP manual para cada arquivo.
  • Cabeça sobre a Guia de comandos da ferramenta eSigner CodeSign para saber mais sobre comandos, opções e parâmetros suportados.

Guias específicos de integração de serviços de CI/CD

Abaixo estão guias específicos sobre como automatizar a assinatura de código usando eSigner para as plataformas CI/CD mais populares. Saiba mais sobre o valor da assinatura de código baseada em nuvem lendo nosso artigo: Automação de assinatura de código em nuvem com serviços de CI/CD.

Testando a assinatura de código EV na sandbox

SSL.com mantém um ambiente "sandbox" separado para nosso serviço de assinatura em nuvem eSigner para que os usuários possam experimentar os diferentes aplicativos, utilitários e APIs antes de trabalhar com live Assinatura do código EV certificados.

Guias de Ambiente Específicos

Os certificados de assinatura de código EV da SSL.com podem ser usados ​​em vários ambientes de assinatura de código. Consulte os artigos abaixo para obter guias específicos:  Além dos indicados acima, há mais ambientes com os quais os certificados de assinatura de código SSL.com são compatíveis. Contato support@ssl.com ou use o chat do site para tirar dúvidas sobre outros ambientes.

Entre em contato com vendas ou entre em contato com o suporte

Se você precisar de alguém para orientá-lo em todas as nossas opções de assinatura de código, discutir integrações personalizadas, negócios de alto volume, cotações ou outras soluções personalizadas, você sempre pode entrar em contato com nossas equipes de vendas ou suporte.

Formulário de Contato

Twitter
Facebook
LinkedIn
Reddit
E-mail

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.