Certyfikaty Code Signing (certyfikaty do podpisywania kodu) od firmy DigiCert służą do cyfrowego podpisywania oprogramowania, skryptów i sterowników, aby zapewnić użytkowników końcowych, że:
- Kod pochodzi od zaufanego wydawcy,
- Nie został zmodyfikowany od momentu podpisania,
- Nie zawiera złośliwego oprogramowania (dzięki reputacji wydawcy w ekosystemie Microsoft SmartScreen lub macOS Gatekeeper).
DigiCert oferuje dwie główne wersje certyfikatów Code Signing: OV (Organization Validation) i EV (Extended Validation). Oto ich charakterystyka:
DigiCert Code Signing Certificates - [Organization Validation]
Cechy:
- Walidacja tożsamości organizacji (firma jest sprawdzana w publicznych bazach danych).
- Klucz prywatny może być przechowywany lokalnie (np. na serwerze lub komputerze programisty).
- Podpisany kod nie pokazuje komunikatu „nieznany wydawca”, ale może nie przejść automatycznie filtra SmartScreen w Windows.
Zastosowania:
- Podpisywanie oprogramowania na Windows, Java, Adobe AIR, Apple macOS (z dodatkowym notarization).
- Podpisywanie sterowników tylko w trybie testowym (wymagany EV do trybu produkcyjnego na Windows 10+).
DigiCert EV Code Signing Certificates - [Extended Validation]
Cechy:
- Bardziej rygorystyczna walidacja tożsamości – weryfikacja dokumentów firmy, rozmowa telefoniczna, dane rejestracyjne.
- Klucz prywatny musi być przechowywany na fizycznym urządzeniu (np. token USB lub HSM zgodny z FIPS 140-2).
- Pełna zgodność z Windows Defender SmartScreen – podpisany kod od razu buduje reputację i nie wyświetla ostrzeżeń.
- Wymagany do podpisywania sterowników kernel-mode dla Windows 10 i nowszych (WDK, HLK).
Zastosowania:
- Komercyjne oprogramowanie, gdzie ważne jest zaufanie i brak ostrzeżeń.
- Oprogramowanie instalowane na wielu systemach, szczególnie Windows 10/11.