Сертификат подписи кода с расширенной проверкой (EV CodeSigning)

Увеличивайте число загрузок, повышая лояльность пользователей

Сертификаты подписи кода с расширенной проверкой (EV Code Signing) используют все преимущества, предоставляемые обычными сертификатами подписи кода, но обеспечивают более высокий уровень доверия к программному обеспечению, гарантируя, что информация о разработчике ПО достоверная и была проверена с особой тщательностью:

  • Название и адрес организации отображается в сертификате
  • Метка времени гарантирует, что печать не истечет посль окончания сертификата
  • Сертификат хранится на USB-токене для обеспечения двухфакторной аутентификации
  • Мгновенное подтверждение репутации в фильтре Microsoft SmartScreen
  • Обеспечивает доступ к порталу Windows Hardware Development Center Dashboard Portal

Конкурентоспособные цены от GlobalSign


1 год

2 года

3 года
Лучшая цена
Цена за год - per year - per year - per year
Итоговая цена - total - total - total
Купить Купить Купить

Эксклюзивная опции GlobalSign

  • Подписывайте неограниченное количество приложенией одним сертификатом

  • Доступ к превосходной службе поддержки GlobalSign

  • Совместимость со всеми основными платформами (Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla)

Решение проблем ненадежной проверки и защиты ключа

Сертификаты подписи кода с расширенной проверкой (EV Code Signing) помогают устранить два вида уязвимостей, которыми чаще всего пользуются разработчики вредоносного ПО: ненадежные процессы проверки учетных данных и слабый уровень защиты закрытых ключей.

  • Строгий отбор - Заявки претендентов на сертификаты подписи кода с расширенной проверкой обрабатываются еще более скрупулезно, чем заявки на обычные сертификаты подписи кода. Помимо подтверждения названия организации издателя проверяются фактический адрес компании и ее юрисдикция. Столь тщательная верификация гораздо лучше защищает пользователей от хакеров, которые, получив право подписи кода, подписывают вредоносное ПО под видом честного издателя.

  • Хранение сертификата на USB-токене - В отличие от обычных сертификатов подписи кода, которые хранятся локально на компьютере разработчика, все сертификаты подписи кода GlobalSign проверкой хранятся на криптографических токенах. Таким образом злоумышленнику гораздо труднее скопировать или украсть закрытый ключ для подписи вредоносного ПО под видом настоящего держателя сертификата.

Мгновенное подтверждение репутации фильтром Microsoft SmartScreen

Microsoft SmartScreen анализирует данные о репутации приложения и, если о нем мало информации и оно может содержать вредоносное ПО, сообщает об этом конечным пользователям.  Начиная с версий Internet Explorer 9.0 и Windows 8, приложения, подписанные сертификатом с расширенной проверкой, мгновенно получают подтверждение репутации, поэтому пользователи при загрузке не столкнутся с предупреждениями безопасности о вредоносности приложения.

Microsoft SmartScreen without EV Code Signing Certificate smartscreen-ie-warning3.jpg
Пример предупреждения Windows 8 SmartScreen Пример предупреждения IE9 SmartScreen

Часто задаваемые вопросы:

На какие аппаратные токены обычно записываются сертификаты подписи кода с расширенной проверкой (EV Code Signing)?
Как правило, это USB-накопители SafeNet eToken 5100.

Сопоставим ли стандарт безопасности токена с аппаратным модулем HSM?
Токены соответствуют стандарту FIPS 140-2 уровня 3, как и большинство HSM. Токен защищен паролем. Можно установить допустимое количество попыток ввести пароль, при превышении которого накопитель автоматически блокируется и стирает все содержимое.

Можно ли экспортировать закрытый ключ, записанный на токене?
Закрытые ключи по определению не подлежат экспорту из USB-накопителя. Эту опцию нельзя изменить.

Можно ли вместо токена использовать HSM?
На данный момент установка сертификата подписи кода с расширенной проверкой (EV Code Signing) на HSM не предусмотрена, но мы планируем в дальнейшем сделать эту опцию доступной.

Какими инструментами я могу пользоваться для подписи кода?
Для подписи приложений и драйверов обычно применяются такие стандартные сервисные программы, как Signtool и Jarsigner. Некоторые наши клиенты разработали для себя индивидуальные сценарии, чтобы автоматизировать процесс подписи.

Поддерживаете ли вы программу Signtool.exe из пакета Microsoft Windows SDK?
Да. Signtool.exe совместима с нашими стандартными сертификатами подписи кода, а также с сертификатами подписи кода с расширенной проверкой (EV Code Signing).

Могу ли я подписать несколько платформ (в том числе Java) одним сертификатом?
С помощью сертификатов подписи кода с расширенной проверкой (EV Code Signing) GlobalSign можно подписывать файлы jar, а также драйверы и исполняемые файлы. Процесс подписи для Java немного сложнее, чем для исполняемых файлов и драйверов Microsoft, но у нас есть оба сценария.

Сертификат подписи кода с расширенной проверкой (EV Code Signing) всегда записан на каком-либо аппаратном модуле, и поэтому способ доставки этого вида сертификатов одинаков для всех платформ. Главное, чтобы ваш инструмент для подписи имел доступ к токену, на котором записан сертификат подписи кода EV Code Signing, или к хранилищу сертификатов Windows*.

*Когда ваш USB-накопитель подключен к компьютеру, закрытый ключ остается на токене, а копия открытого ключа отправляется в хранилище сертификатов Windows, в результате чего он становится доступным другим приложениям. Если приложение типа Signtool или Visual Studio видит хранилище сертификатов, оно увидит и записанный на токене сертификат. Разница лишь в том, что при подписи необходимо будет ввести пароль токена. Java jarsigner, в свою очередь, не видит хранилище сертификатов Windows, поэтому путь к токену необходимо указывать вручную.