Suche in diesem Bereich
Hinweis
Ab dem 1. Juni 2023 erfordern neue Anforderungen des CA/B-Forums, dass alle Code Signing-Zertifikatsschlüssel auf einem HSM oder einem konformen Hardware-Token gespeichert werden. Dies betrifft die Geschäftsfälle Bestellung (Create), Verlängerung (Renew) sowie Neuausstellung (Reissue).
Bei der Nutzung von Cloud-Diensten klären Sie bitte im Vorfeld mit dem Anbieter, ob die Nutzung mit USB-Token möglich ist. Zusätzlich zu einem USB-Token bietet CA Sectigo auch Luna Network Attached HSM an.
Siehe unten für weitere Details.
Code Signing-Zertifikate sind für Entwickler auf allen Plattformen gedacht, um ihre Anwendungen und Software, die sie über das Internet zur Verfügung stellen, digital zu signieren. Ein signierter Code wird mit dem Namen des Herausgebers versehen und bietet somit Schutz vor dem Einbringen von Malware und anderen nachträglichen Veränderungen.
Alle Code Signing-Zertifikate verwenden einen eindeutigen kryptografischen Hash, um die Identität des Herausgebers an die Software zu binden. Sicherheitswarnungen, die bei unsigniertem Code angezeigt werden, werden durch Informationen zum Herausgeber der Software ersetzt. Dadurch wird verhindert, dass verunsicherte User die Installation aus Sicherheitsbedenken abbrechen. Das Signieren von Code fügt dem Installationsvorgang also eine wichtige Vertrauensstufe hinzu.
Code Signing zeigt, dass die signierte Software echt ist, von einem bekannten Software-Anbieter stammt und der Code seit dem Signieren nicht mehr verändert wurde. Zusätzlich wird verhindert, dass der Code nachträglich in böswilliger Absicht geändert und die Identität eines vertrauenswürdigen Software-Anbieters missbraucht wird.
Hier eine kurze Übersicht zu den Funktionen der Code Signing-Zertifikate:
Merkmale | Code Signing-Zertifikat | EV Code Signing-Zertifikat |
---|---|---|
Im Zertifikat angezeigte Informationen | Name der Firma | Name der Firma Anschrift der Firma Art der Firma |
Beseitigt die Sicherheitswarnungen "Unbekannter Herausgeber" | ||
Sofortige Zuverlässigkeit bei Microsoft Smartscreen* | ||
Signieren einer unbegrenzten Anzahl von Anwendungen | ||
Kompatibel mit gängigen Plattformen (MS Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla) | ||
Signatur bleibt mit Time-Stamp-Nutzung gültig | Time-Stamp verfügbar und empfohlen | Time-Stamp verfügbar und empfohlen |
*Bei einem OV Code Signing-Zertifikat setzt Microsoft SmartScreen eine gewisse Reputation der Files voraus wie z.B. eine bestimmte Anzahl an Downloads. Erst dann wird die Signatur vollumfänglich als vertrauenswürdig eingestuft.
Hinweis
Sie benötigen für die Installation/Initialisierung des Zertifikats den Safenet Authentification Client und den DigiCert Hardware Certificate Installer (nur für Windows erhältlich).
Bitte stellen Sie sicher, dass Sie immer die neueste Softwareversion verwenden. Ältere Versionen des Safenet-Clients können zu Fehlern mit dem SafeNet eToken 5110+ FIPS führen.
Hinweis
Die Key Attestation erfolgt direkt auf dem Hardware-Token und erzeugt ein Zertifikat. Dieses muss bei der Bestellung bzw. Verlängerung oder Reissue im Formular hinterlegt werden.
Bei dieser Bereitstellungsmethode muss auch noch ein CSR mitgeliefert werden.
Hinweis
Der USB-Token wird im Auftrag von GlobalSign von einem Dienstleister mit Sitz in Deutschland verschickt. Das initiale Kennwort des USB-Tokens ist 0000.
Wir empfehlen vor der Installation des Zertifikates das Kennwort des USB-Tokens mittels SafeNet Authentication Client abzuändern.
Für vereinzelte Anwendungen kann es notwendig werden, das ausgelieferte Code Signing-Zertifikat zu konvertieren. Nutze hierfür Tools wie z. B. das MS SSL ToolKit.
Eine Anleitung für die Nutzung der enthaltenen Time-Stamp-Funktion erhältst du unter den folgenden Links:
Je nach CA ist die Auslieferung des Code Signing-Zertifikates unterschiedlich.
Bitte beachten Sie, dass zur Installation des Zertifikats ggf. Software lokal installiert werden muss und es Einschränkungen durch das jeweilige Betriebssystem geben kann.
Code Signing-Zertifikat | EV Code Signing-Zertifikat | Sonstiges | |
---|---|---|---|
DigiCert | Neue Methode ab dem 1.6.2023: Hardware-Token der CA: Zertifikat ist vorinstalliert Eigener konformer Hardware-Token: Per E-Mail zum Download | - | Bei einer Bestellung (Create), Verlängerung (Renew) bzw. Neuausstellung (Reissue) kann ein Hardware-Token optional dazu bestellt werden. Dafür können einmalige Kosten inkl. Versand anfallen; ggf. zzgl. Zollgebühren. Empfänger ist immer der administrative Kontakt. Der Versand erfolgt aus der EU und kann bis zu 5 Tage dauern. Eine Stornierung der Bestellung durch den Nutzer ist erst möglich, nachdem das Zertifikat auf dem Hardware-Token installiert wurde. Alternativ bitte an den Support wenden. |
GlobalSign | Kryptographischer USB-Token (inkl.) | Kryptographischer USB-Token (inkl.) | Der USB-Token wird beim Create von GlobalSign kostenfrei verschickt und ist im Grundpreis des Zertifikates bereits enthalten. Eine Abbestellung des USB-Tokens ist nicht möglich. Bei Versand des USB-Tokens außerhalb der EU können unter Umständen Zollgebühren anfallen, die vom Zertifikatsinhaber zu tragen sind. Das Zertifikat muss innerhalb von 7 Tagen nach einem Reissue und innerhalb von 30 Tagen nach Create/Renew abgerufen werden, andernfalls wird das Zertifikat storniert und kann nicht verwendet werden. Für Zertifikate, die vor dem 24. April 2023 ausgestellt wurden, prüft GlobalSign, ob ein Token erforderlich ist und verschickt bei der ersten Verlängerung oder Neuausstellung ebenfalls kostenlos einen Token. |
Sectigo | Neue Methode ab dem 1.6.2023: | - | Bei einer Bestellung (Create), Verlängerung (Renew) bzw. Neuausstellung (Reissue) kann ein Hardware-Token optional dazu bestellt werden. Dafür können einmalige Kosten inkl. Versand anfallen; ggf. zzgl. Zollgebühren. |