EV Code Signing Zertifikate

Erhöhen Sie das Vertrauen der Kunden und die Downloadraten

EV Code Signing Zertifikate bieten die Vorteile von normalem Code Signing und zusätzliche Alleinstellungsmerkmale, die dank der Extended Validierung möglich sind:

  • Zeigt die Unternehmensadresse und Unternehmensform im Zertifikat
  • Zeitstempel wird hinzugefügt - dadurch verfällt die Signatur nicht, auch wenn das Zertifikat abläuft
  • Zertifikat wird auf einem Hardware Token (z.B. USB Stick) gespeichert und kann für Zwei-Faktor Authentifizierung genutzt werden
  • Sofortiges Vertrauen im Microsoft SmartScreen

GlobalSign kostengünstige Preise


1 Jahr

2 Jahre

3 Jahre
am günstigsten
Preis pro Jahr - pro Jahr - pro Jahr - pro Jahr
Gesamtpreis - gesamt - gesamt - gesamt
Jetzt kaufen Jetzt kaufen Jetzt kaufen

Exklusive GlobalSign Merkmale

  • Signieren Sie eine unbegrenzte Anzahl an Apps digital mit nur einem Zertifikat

  • GlobalSigns herausragender Support

  • Kompatibel mit den gängigen Plattformen (Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla)

Ansätze gegen schwache Verifizierung und für Sicherung von privaten Schlüsseln

EV Code Signing bedient zwei der am häufigsten verwendeten Sicherheitslücken, die Malware-Verteiler nutzen, um ihren Schadcode zu verbreiten - schwache Identitätsprüfungs-Prozesse und schlechter Schutz von privaten Schlüsseln.

  • Strenger Überprüfungsprozess - Antragsteller für EV Code Signing-Zertifikate durchlaufen ein strikteres Antragsverfahren als bei normalen Code-Signing-Zertifikaten. Neben der Überprüfung des Namens der Organisation des Herausgebers, werden andere Unternehmensinformationen, wie beispielsweise physikalische Adresse und Gerichtsbarkeit, überprüft.  Dieser gründliche Überprüfungsprozess macht es viel schwieriger für Malware-Entwickler, eine Code-Signing-Anmeldeinformation nachzuahmen und zu erhalten, die er zum Signieren von Malware unter dem Deckmantel eines legitimen Entwicklungsunternehmens nutzen kann.
  • Zertifikat auf USB-Token gespeichert - Alle Code Signing-Zertifikate von GlobalSign sind auf kryptographischen Token gespeichert.  Dies macht es böswilligen Dritten viel schwieriger den privaten Signaturschlüssel zu kopieren oder zu stehlen und ihn dazu zu verwenden, Schadsoftware unter der Identität des eigentlichen Zertifikatsinhabers zu verteilen.

Sofortiges Vertrauen im Microsoft Smartscreen Filter

Microsoft SmartScreen nutzt Informationen über die Zuverlässigkeit einer Anwendung, um Endnutzer zu warnen, wenn eine Anwendung unbekannt ist und bösartig sein könnte. Ab Internet Explorer 9.0 und Windows 8 wird mit einem EV Code Signing Zertifikat signierten Anwendungen sofort das Vertrauen nachgewiesen, sodass dem Downloader keine abschreckenden Warnungen präsentiert werden.

windows8-smartscreen-warning.jpg smartscreen-ie-warning3.jpg

Beispiel für Windows 8 SmartScreen Warnung

Beispiel für IE9 SmartScreen Warnung

Nächste Schritte

Kaufen Sie ein EV Code Signing Zertifikat

Häufig gestellte Fragen:

Auf welcher Art von Hardware Token werden EV Code Signing Zertifikate bereit gestellt?
Es handelt sich um Safenet USB eTokens, normalerweise ein 5100-Modell.

Kann man die Sicherheit eines Tokens mit der einer HSM vergleichen?
Die Tokens erfüllen FIPS 140-2 Level III, genau wie die meisten HSMs. Der Token ist mit einem Passwort geschützt und die Anzahl an maximalen falschen Eingabeversuchen kann von Ihnen festgelegt werden, wonach der USB-Stick geblockt und der Inhalt gelöscht wird.

Können die privaten Schlüssel vom Token exportiert werden?
Private Schlüssel können nicht vom USB Token exportiert werden, und diese Einstellung kann auch nicht geändert werden.

Kann man statt dem Token auch eine HSM nutzen?
Im Moment können EV Code Signing Zertifikate nicht auf dem HSM installiert werden. Wir planen diese Option aber in absehbarer Zukunft hinzuzufügen.

Welche Tools kann ich zum Signieren nutzen?
In den meisten Fällen reichen Standard-Tools wie Signtool oder Jarsigner um Applikation und Driver zu signieren. Einige Kunden haben aber auch Skripten entwickelt, die ihren Anforderungen besser entsprechen und den Signierprozess automatisieren.

Wird Microsoft Windows SDK “Signtool.exe” unterstützt?
Ja. Signtool.exe funktioniert mit unseren Standard Code Signing Zertifikaten und mit EV Code Signing.

Muss man das Passwort mehrmals eingeben für fortlaufende Signaturen in mehreren Dateien oder kann man das Passwort nur einmal für den Stoß an Dokumenten eingeben? Falls Bündel mit nur einer Passwort-Eingabe möglich ist, besteht die Gefahr, dass das Passwort unverschlüsselt im System gespeichert wird (in der Datei oder der RAM)?
Das Passwort muss nur einmal für jede Signatur eingegeben werden. Wenn der Token für PDF Signing genutzt wird, kann man manchmal ein paar Dateien signieren, und nur einmal das Passwort eingeben, bevor die Gültigkeit der Authentifizierung die maximale Zeit überschreitet. Dies funktioniert möglicherweise auch bei Code Signing, aber die maximale Zeit beschränkt die Anzahl von Signaturen pro eingebenem Passwort.

Kann ich mit dem gleichen Zertifikat auf mehreren Plattformen signieren wie z.B. Java?
GlobalSigns EV Code Signing Zertifikat kann für das Signieren von .jar Dateien und für Driver und ausführende Dateien genutzt werden. Der Signatur-Prozess für Java ist ein wenig komplexer, aber wir haben beide Szenarien dokumentiert.

Für normale (nicht-EV) Code Signing Zertifikate unterscheiden wir nach Produktart. Der einzige Unterschied zwischen dem Authenticode Code Signing Zertifikat und dem Java Code Signing Zertifikat ist die Methode der Ausstellung. Da man normalerweise Java mit .jks signiert, brauchen wir von Kunden den CSR. Für Authenticode Zertifikate nutzen wir AutoCSR und liefern eine .pfx, die so wie sie ist für ausführende Dateien und Kernel Driver genutzt werden kann. Obwohl die Ausstellung unterschiedlich ist, sind die Zertifikate selbst sehr ähnlich. Beide haben Schlüsselnutzung freigeschalten um Code zu signieren.

Für EV Code Signing ist es Vorrausetzung, dass das Zertifikate auf einem Hardware Modul gespeichert ist. Daher ist die Methode der Ausstellung gleich, und wir unterscheiden für EV nicht zwischen den verschiedenen Plattformen. Solange das Tool, das Sie zum Signieren nutzen, auf den Token oder den Windows Certificate Store* zugreifen kann, sollten Sie in der Lage sein das EV Code Signing Zertifikat zu nutzen.

*Wenn ihr USB Token eingesteckt ist, bleibt der private Schlüssel auf dem Token und der öffentliche Schlüssel wird in Ihren Windows Certificate Store kopiert. Dadurch ist er für andere Anwendungen verfügbar. Falls eine Anwendung wie Signtool oder visual Studio Zugriff auf den Certificate Store hat, sollte das Zertifikat auf dem Token wie jedes andere Zertifikat angezeigt werden. Der einzige Unterschied ist, dass Sie nach dem Passwort gefragt werden, wenn Sie Signieren wollen. Java jarsigner hat nicht automatisch Zugriff auf den Windows Certificate Store, Sie müssen den Pfad zum Token also manuell eingeben.