手机端下拉列表
400-002-9968

博客 > 为什么代码签名证书都是“硬证书”?如何选择代码签名证书?

为什么代码签名证书都是“硬证书”?如何选择代码签名证书?

  • 标签:
  • 代码签名证书
  • 硬证书
  • 代码签名
  • 数字签名

浏览量:1725次评论:0次

作者:manda时间:2024-04-23 14:44:04

代码签名证书是一种给软件应用程序数字签名的数字证书,它可以确保软件代码的完整性和来源的可信性。代码签名证书可以分为OV代码签名证书和EV代码签名证书,自OV代码签名证书也升级为“硬证书”之后,代码签名证书全部采用“硬证书”。那么,为什么代码签名证书都是“硬证书”?如何选择代码签名证书?

为什么代码签名证书都是“硬证书”?如何选择代码签名证书?

首先我们来了解两个概念“软证书”、“硬证书”。

什么是“软证书”

“软证书”,即以电子文档的形式,将证书存放在网络上。“软证书”的私钥一般存储在电脑上,容易导出并共享给他人。

什么是“硬证书”

“硬证书”,使用硬件安全介质存储,证书和私钥存储在USB 令牌、硬件安全模块HSM上,不支持导出。

为什么代码签名证书都是“硬证书”?

答案显而易见,不仅是因为CA/B联盟国际标准要求,也是因为“硬证书”采用硬件安全介质存储,更加安全。

1、CA/B联盟国际标准要求

EV代码签名证书早已采用硬件安全存储,而根据CA/B联盟国际标准要求,从2022年11月15日起,OV代码签名证书私钥必须存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件中(包括USB令牌、硬件安全模块HSM等),与EV代码签名证书实施同样的私钥保护机制。

2、硬件存储安全性更高

代码签名证书采用“硬证书”存储私钥和证书,这意味着证书从生成到签发使用,私钥始终被存储在硬件令牌或硬件安全模块中,并且不支持导出。相比“软证书”以电子文档形式的证书交付给用户、易被导出并共享给他人的特点,“硬证书”具有更高的安全性,能够有效降低证书私钥被泄露的风险。

如何选择代码签名证书?

代码签名证书主要分为OV代码签名证书和EV代码签名证书,两者均支持对32或64位.exe, .dll, .cab, .ocx(ActiveX),.msi,.xpi等文件进行数字签名,签名成功后可保证代码的完整性并减少软件下载时弹出的安全警告,以及不被恶意篡改和传播。两者的主要不同点在于:

  • OV代码签名证书需要通过累计下载才能获得SmartScreen即时信誉;
  • EV代码签名证书可立即获得SmartScreen即时信誉,并且支持WHQL徽标认证帐户Microsoft Entra ID 全局管理员帐户(原Azure AD)注册;

下图很好的说明了OV代码签名证书和EV代码签名证书的区别,助力您选择合适的证书:

为什么代码签名证书都是“硬证书”?如何选择代码签名证书?

总之,采用硬证书使得代码签名证书的安全性更加可靠,在帮助开发者实现标识可信身份以及确保软件代码完整性的同时,还能有效减少因私钥泄露导致的代码签名证书被恶意利用的风险

作为国内领先的数字证书服务商,锐成信息提供SectigoDigicertGlobalSignEntrust锐安信sslTrus等全球知名品牌的代码签名证书助力保护软件程序安全。如您有更多疑问或需求,请联系我们获得支持。

我的评论

还未登录?点击登录

微信扫码沟通
微信扫码沟通

微信扫码沟通

售前咨询
合作
售后
return head