Porównanie certyfikatów Code Signing

Certyfikaty Code Signing (certyfikaty do podpisywania kodu) od firmy DigiCert służą do cyfrowego podpisywania oprogramowania, skryptów i sterowników, aby zapewnić użytkowników końcowych, że:

• Kod pochodzi od zaufanego wydawcy,
• Nie został zmodyfikowany od momentu podpisania,
• Nie zawiera złośliwego oprogramowania (dzięki reputacji wydawcy w ekosystemie Microsoft SmartScreen lub macOS Gatekeeper).

DigiCert oferuje dwie główne wersje certyfikatów Code Signing: OV (Organization Validation) i EV (Extended Validation). Oto ich charakterystyka:

DigiCert Code Signing Certificates - [Organization Validation]

Cechy:

• Walidacja tożsamości organizacji (firma jest sprawdzana w publicznych bazach danych).
• Klucz prywatny może być przechowywany lokalnie (np. na serwerze lub komputerze programisty).
• Podpisany kod nie pokazuje komunikatu „nieznany wydawca”, ale może nie przejść automatycznie filtra SmartScreen w Windows.

Zastosowania:

• Podpisywanie oprogramowania na Windows, Java, Adobe AIR, Apple macOS (z dodatkowym notarization).
• Podpisywanie sterowników tylko w trybie testowym (wymagany EV do trybu produkcyjnego na Windows 10+).

DigiCert EV Code Signing Certificates - [Extended Validation]

Cechy:

• Bardziej rygorystyczna walidacja tożsamości – weryfikacja dokumentów firmy, rozmowa telefoniczna, dane rejestracyjne.
• Klucz prywatny musi być przechowywany na fizycznym urządzeniu (np. token USB lub HSM zgodny z FIPS 140-2).
• Pełna zgodność z Windows Defender SmartScreen – podpisany kod od razu buduje reputację i nie wyświetla ostrzeżeń.
• Wymagany do podpisywania sterowników kernel-mode dla Windows 10 i nowszych (WDK, HLK).

Zastosowania:

• Komercyjne oprogramowanie, gdzie ważne jest zaufanie i brak ostrzeżeń.
• Oprogramowanie instalowane na wielu systemach, szczególnie Windows 10/11.