Certificados de assinatura de código, opções de assinatura em nuvem e integração de operações de assinatura

O que é um certificado de assinatura de código?

Um certificado de assinatura de código é um certificado digital que fornece uma prova de identidade globalmente aceita de um publicador de software e pode ser obtido de uma Autoridade de Certificação (CA) publicamente confiável como SSL.com. Empresas de software usam certificados de assinatura de código para fornecer prova de que são as desenvolvedoras de um aplicativo. 

Os certificados de assinatura de código também evitam a adulteração de código e garantem que um arquivo esteja livre de modificações não autorizadas, malware e seja seguro para instalar. Os certificados de assinatura de código são um recurso de segurança essencial quando o software está sendo distribuído, vendido e baixado online.  Assinando digitalmente seu código com certificados SSL.com confiáveis ​​permite que usuários e sistemas operacionais saibam que seu software é autêntico e seguro para instalar. Pode sempre contactar o nosso equipe de vendas para explicar essas opções e fornecer uma cotação.
Precisa de um certificado de assinatura de código? SSL.com tem opções para atender às suas necessidades, saiba mais sobre nossos certificados.

Escolhendo o certificado de assinatura de código correto

Os certificados de validação da organização (OV) e validação individual (IV) são chamados de certificados de alta garantia porque exigem mais validação e, portanto, fornecem mais confiança, . Para certificados OV e IV, a CA verificará a organização real ou pessoa individual que está tentando obter o certificado. O nome da organização ou indivíduo também é listado no certificado, dando confiança adicional de que o detentor do certificado é respeitável. Os certificados OV são frequentemente usados ​​por corporações, governos e outras entidades que desejam fornecer uma camada extra de confiança para seus visitantes. Além de SSL/TLS certificados, OV e IV também são comumente usados ​​para assinatura de código, assinatura de documento, autenticação de cliente e S/MIME certificados de e-mail. Para obter mais informações sobre os requisitos, consulte SSL.com's Requisitos OV e IV. O Certificado de Assinatura de Código de Validação Individual (IV) aplica assinaturas digitais com um nome pessoal, perfeito para desenvolvedores de software independentes e colaboradores de projetos individuais que desejam aumentar a confiança de seus usuários.  Os certificados EV, também conhecidos como certificados de assinatura de código corporativo, fornecem o máximo de confiança aos visitantes e também exigem o maior esforço da CA para validar. Os certificados EV só podem ser emitidos para empresas e outras organizações registradas, não para indivíduos. Certificados de assinatura de código EV de propriedade exclusiva SSL.com adicionam a identidade de um indivíduo ao certificado de assinatura de código EV padrão. Esta opção de validação permite que uma empresa individual ou contribuinte individual inclua seu nome na assinatura digital. A opção de validação de propriedade individual também é para empresas que exigem uma camada extra de segurança, incluindo a identidade validada de um indivíduo na assinatura digital. Para saber mais sobre os recursos desses certificados, você pode ler nosso artigo,  Qual certificado de assinatura de código eu preciso? EV ou OV? Em uma rápida olhada, os recursos definidores dos certificados de assinatura de código OV e EV estão listados abaixo.

Certificado de Assinatura de Código IV:

  • Aplica assinaturas digitais com um nome pessoal
  • Perfeito para desenvolvedores de software independentes e contribuidores de projetos individuais

Certificado de Assinatura de Código OV:

  • Verifica sua identidade como o editor do software
  • Protege seu software contra adulteração e infecção por malware

Certificado de assinatura de código EV:

  • Capacidade de assinar drivers pré-Windows 10 e Windows 10
  • Reputação instantânea do Microsoft SmartScreen
  • Não expiração da assinatura e carimbo do tempo
  •  Capacidade de assinar na nuvem usando eSigner
  • Os certificados de assinatura de código EV de propriedade individual adicionam a identidade de um indivíduo ao certificado de assinatura de código EV padrão

Configurando e usando sua conta SSL.com

Se ainda não o fez, comece por criando uma conta no SSL.com. Sua conta tem a capacidade de criar várias equipes, bem como convidar vários usuários com atribuições específicas de funções e direitos.

O processo de validação

Para validar e emitir um certificado OV ou IV, SSL.com deve verificar sua identidade, endereço físico e número de telefone por meio de recursos online verificáveis ​​e/ou documentos de verificação válidos. Para mais detalhes sobre os requisitos, você pode ler Quais são os requisitos para os certificados SSL.com OV e IV?  Além disso, para pedidos de Certificado de Assinatura de Código IV, os solicitantes terão que enviar uma imagem frontal e traseira de um documento de identidade, além de uma imagem deles segurando o documento próximo ao rosto. De acordo com as diretrizes definidas pelo CA/Browser Forum, documentação extra deve ser fornecida para emitir um certificado EV. Vá para Perguntas frequentes: Processo de validação estendida (EV) conhecer todos os requisitos para certificados EV. Para entidades que solicitam Certificados de Assinatura de Código EV, SSL.com conduzirá a validação por meio de recursos on-line confiáveis ​​e/ou documentos válidos, bem como documentação extra de acordo com as diretrizes definidas pelo CA/Browser Forum.

Novos requisitos de armazenamento de chaves para certificados de assinatura de código OV e IV

A partir de 1 de junho de 2023, SSL.com Os Certificados de Assinatura de Código de Validação de Organização (OV) e Validação Individual (IV) só serão emitidos em tokens USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou por meio de nosso serviço de assinatura de código em nuvem eSigner. Essa alteração está em conformidade com os novos requisitos de armazenamento de chaves do Fórum de autoridade de certificação/navegador (CA/B) para aumentar a segurança das chaves de assinatura de código. A regra anterior permitia que os certificados de assinatura de código OV e IV fossem emitidos como arquivos para download da Internet. Como os novos requisitos permitem apenas o uso de tokens USB criptografados ou dispositivos de hardware compatíveis com FIPS baseados em nuvem para armazenar o certificado e a chave privada, espera-se que as ocorrências de chaves de assinatura de código roubadas e mal utilizadas por agentes mal-intencionados sejam bastante reduzidas. Clique este link para saber mais sobre o SSL.com Solução de assinatura de código em nuvem eSigner.

Armazenamento de chaves e métodos de assinatura para certificados de assinatura de código de validação estendida 

Token USB

A SSL.com envia certificados de assinatura de código pré-instalados em tokens Yubikey FIPS e tokens Thales SafeNet (Gemalto) USB. Os tokens Thales SafeNet são equipados para lidar com chaves RSA de até 3072 bits, cruciais para assinatura no modo kernel e um pré-requisito em certos ambientes de desenvolvimento de software, como assinatura de driver para sistemas Microsoft. Por meio de um procedimento conhecido como atestado remoto, os clientes do SSL.com, independentemente de sua localização, podem criar um par de chaves diretamente em seu Yubikey junto com um certificado de atestado que verifica a geração da chave privada no dispositivo. O certificado de atestado pode ser usado posteriormente para renovar um certificado expirado que esteja no Yubikey. O suporte para atestado remoto é um recurso que atualmente não está disponível para clientes de tokens Thales. Para uma comparação mais detalhada entre os recursos dos tokens Yubikeys e Thales SafeNet, consulte este artigo do SSL.com: Tokens Yubikey FIPS vs tokens USB Thales/Gemalto. Os tokens Yubikey e Thales SafeNet são projetados para aumentar a segurança sem comprometer substancialmente a experiência do usuário. A escolha entre eles deve ser guiada pela abordagem de segurança da organização e pelas necessidades operacionais. No entanto, como dispositivos físicos, eles podem ser perdidos ou roubados, representando riscos significativos à segurança e potencialmente incorrendo em altos custos de substituição. Em um ambiente de trabalho remoto moderno, a logística de distribuição e manutenção desses tokens de hardware pode representar desafios significativos para as equipes de TI, exigindo despesas e mão de obra notáveis. Além disso, esses tokens não oferecem o mesmo nível de conveniência que as soluções baseadas em nuvem, especialmente para desenvolvedores que trabalham em um pipeline de CI/CD.

Nuvem HSM

Uma segunda opção para assinatura de código EV é usar um HSM em rede na nuvem para hospedar certificados e chaves de assinatura de código. Este método oferece um nível de segurança comparável a um token USB quando o HSM é configurado para ter chaves não exportáveis ​​durante a geração de chaves. Com o material de chave acessível na nuvem, a integração com serviços de CI/CD se torna mais fácil, assim como a colaboração em equipe com o mesmo certificado e material de chave. Deve-se observar que este método pode exigir experiência com o provedor de serviços de nuvem específico. Para a emissão de certificados de assinatura de código, o SSL.com oferece suporte a vários Cloud HSMs, incluindo Azure Key Vault (Premium Tier), Azure Key Vault Managed HSM, Azure Dedicated HSM, Amazon Web Services (AWS) CloudHSM e Google Cloud HSM. Para obter mais detalhes sobre cada um, você pode ler nosso guia: Cloud HSMs com suporte para assinatura de documentos e assinatura de código EV.

  • Para saber como você pode usar sua conta HSM e contratar um profissional para Cloud HSM Attestation, você pode ler nosso artigo Traga seu próprio Auditor Cloud HSM Attestation.
  • SSL.com está atualmente desenvolvendo e testando procedimentos de atestado para uma ampla variedade de plataformas HSM. Você pode preencher este formulário de inquérito para descobrir se estamos testando uma plataforma HSM que não foi listada acima.

eSigner: assinatura de código como serviço

Em terceiro lugar, uma abordagem moderna e muito conveniente para a assinatura de código EV é lidar com a assinatura de código como um serviço. O serviço de assinatura de código em nuvem eSigner da SSL.com é um exemplo desse método.  Com o eSigner, SSL.com lida com a infraestrutura de chave pública (PKI) e HSMs para assinatura de código. As chaves de assinatura não exportáveis ​​são armazenadas nos HSMs do eSigner, onde nem o cliente nem SSL.com podem visualizá-las. Dessa forma, o padrão de segurança é tão alto quanto com tokens e HSMs em nuvem, mas não há necessidade do cliente lidar com eles diretamente. O ambiente do eSigner inclui várias opções de assinatura para acomodar as necessidades de uma variedade de clientes, desde desenvolvedores individuais até organizações complexas.

Opções de assinatura do eSigner

  • Com o serviço eSigner da SSL.com, você pode usar seu Certificado de Assinatura de Código de Validação Estendida SSL.com para assinar o código de qualquer dispositivo conectado à Internet sem nenhum hardware adicional. Depois de registrar seu pedido de certificado de assinatura de código EV no eSigner, você pode assinar o código com o Aplicativo da web eSigner Express, eSigner CodeSignTool ou através de SSL.com compatível com CSC API de assinatura de código

Tipos de arquivo suportados pelo eSigner

Introdução ao seu certificado de assinatura de código:

Ao receber seu novo certificado de assinatura de código, você pode ter dúvidas sobre como usá-lo e com quais aplicativos ele pode ser integrado. Os guias vinculados abaixo respondem a perguntas comuns que você pode ter sobre como começar a usar seu novo certificado.

Introdução ao eSigner Cloud Code Signing

Abaixo estão os recursos que podem fornecer mais informações sobre como usar a interface do eSigner e configurá-la para tarefas orientadas à equipe.

Usando suas Yubikeys

Certificados como EV Code Signing encomendados em SSL.com vêm com a opção de serem pré-instalados em um Hardware Security Module (HSM) como um token USB de chave de segurança validado FIPS 140-2. Se o seu certificado ainda não foi validado, você pode incluir o número de tokens necessários ao fazer o pedido e antes de concluir o processo de validação. Caso seu certificado já tenha sido emitido, você ainda tem a opção de solicitar tokens adicionais. Para saber como adicionar Yubikeys ao seu certificado de assinatura de código EV, clique neste guia: Como adicionar YubiKeys ao seu pedido de certificado Se você já possui um Yubikey, consulte os seguintes guias sobre como operá-lo:

Automação e Integração

eSigner CKA (Adaptador de chave de nuvem)

  •  eSigner CKA (Adaptador de chave de nuvem) é um aplicativo baseado em Windows que usa a interface CNG (KSP Key Service Provider) para permitir que ferramentas como certutil.exe e signtool.exe usem o eSigner CSC para operações automatizadas de assinatura de código. O eSigner CKA atua como um token USB virtual e carrega os certificados de assinatura de código para o armazenamento de certificados. 

eSigner e CodeSignTool para assinatura automatizada de código EV

  • CodeSignTool é ideal para processos em lote automatizados para assinaturas de alto volume ou integração em fluxos de trabalho de pipeline de CI/CD existentes.
  • Leia o nosso Guia do CodeSignTool sobre como assinar objetos de código sem ser solicitada a entrada OTP manual para cada arquivo.
  • Cabeça sobre a Guia de comandos da ferramenta eSigner CodeSign para saber mais sobre comandos, opções e parâmetros suportados.

Guias específicos de integração de serviços de CI/CD

Abaixo estão guias específicos sobre como automatizar a assinatura de código usando eSigner para as plataformas CI/CD mais populares. Saiba mais sobre o valor da assinatura de código baseada em nuvem lendo nosso artigo: Automação de assinatura de código em nuvem com serviços de CI/CD.

Testando a assinatura de código EV na sandbox

SSL.com mantém um ambiente "sandbox" separado para nosso serviço de assinatura em nuvem eSigner para que os usuários possam experimentar os diferentes aplicativos, utilitários e APIs antes de trabalhar com live Assinatura do código EV certificados. < ul>
  • Dirija-se ao nosso artigo de instruções que inclui credenciais de demonstração do eSigner, códigos QR e informações de configuração para facilitar o uso experimental do Caixa de areia eSigner Express, Ferramenta CodeSign e CSC, Assinatura de código.
  • Para obter um guia completo sobre como configurar uma conta de sandbox, criar um pedido de teste e usar o Sandbox com a API SWS do SSL.com, você pode ler nosso artigo de guia: Usando o SSL.com Sandbox para teste e integração.

  • Guias de Ambiente Específicos

    Os certificados de assinatura de código EV da SSL.com podem ser usados ​​em vários ambientes de assinatura de código. Consulte os artigos abaixo para obter guias específicos:  Além dos indicados acima, há mais ambientes com os quais os certificados de assinatura de código SSL.com são compatíveis. Contato suporte@ssl.com ou use o chat do site para tirar dúvidas sobre outros ambientes.
     

    Entre em contato com a equipe de vendas da SSL.com

    Se precisar de alguém para orientá-lo em todas as nossas opções de assinatura de código, discutir integrações personalizadas, negócios de alto volume, orçamentos ou outras soluções personalizadas, você pode sempre entrar em contato com nossa equipe de vendas em sales@ssl.com ou preencher o formulário abaixo.


    Twitter
    Facebook
    LinkedIn
    Reddit
    E-mail

    Mantenha-se informado e seguro

    SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

    Adoraríamos receber seu feedback

    Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.