ab 599,00 € (inkl. MwSt.)

DigiCert Code-Signing

Ob in Applets, Plug-ins, Macros und sonstige Dateien: Mit dem DigiCert Code-Signing schützen Sie Ihren entwickelten Code und stellen damit die Authentifizierung und Verifizierung der Identität als Herausgeber des Codes sicher und gewährleisten außerdem, dass der Code nicht beschädigt und verändert wurde. Dies geschieht mit der digitalen Signatur des DigiCert Code-Signing, die mit einer Unterschrift auf Ihren Code vergleichbar ist.

Ein großer Vorteil, den Ihnen das DigiCert Code-Signing ermöglicht, ist der flexible Einsatz. Mit dem DigiCert Code Signing OV-Zertifikat können unter anderem folgende Anwendungen signiert werden: 32- und 64-Bit-(.exe, .cab, .dll, .ocx, .msi, .xpi, .xap, ActiveX Controls. Optionaler Zeitstempel zeigt an, wann der Code signiert wurde.

Die Ausstellung des Code-Signing-Zertifikats erfolgt auf einem Hardware-Token, der postalisch versendet wird. Dadurch ist das DigiCert Code-Signing zusätzlich mit einer Zwei-Faktor-Authentifizierung geschützt.

Features
Validierung

MERKMALE

Certificate Authority: DigiCert
Sitz der CA: USA
Validierungstyp: Organization Validation
Ausstellungszeitraum*: 2-5 Werktage, zusätzlich Versand Token
Root-Zertifikat: DigiCert Assured ID Root CA
Signatur Hashalgorithmus: SHA-2
CSR: tokenbasiert
filename Extensions: 64-Bit-Dateien 32-Bit-Dateien .exe .cab .dll .ocx .xpi .xap ActiveX Controls

* nach erfolgreicher Prüfung Ihres Auftrags

VORTEILE

Hardware Token

Rückerstattung bis 30 Tage nach Ausstellung möglich

Zeitstempel

Kostenloser Austausch

Organisationsname im Zertifikat

Sichtbarer Schutz durch Anzeige des OV-Standards im Zertifikat

Validierungsguidlines - DigiCert CodeSigning

Warum gibt es überhaupt eine Validierung?

Eine Validierung gibt dem Empfänger des Zertifikats die Gewissheit, dass die darin enthaltenen Informationen korrekt sind und von einer vertrauenswürdigen Quelle geprüft wurden.
Bei Zertifikaten, die Firmen- und/oder Personendaten enthalten, muss sichergestellt werden, dass diese Daten korrekt sind. Die Regeln und Richtlinien für diese Prüfung werden dabei weltweit übergreifend vom CABrowser-Forum festgelegt.

Welche Daten werden geprüft?

1. Organisationsvalidierung

Die Organisation, die im Zertifikat eingetragen wird, muss auf Ihre Existenz überprüft werden.
- In entsprechenden öffentlichen Registerportalen wie z.B. dem Handelsregister oder Registern der örtlichen Behörden des Bundes und der Länder wird nach der Inhaberorganisation gesucht.
- Die Organisationsdaten der Bestellung müssen zu 100 % mit den Daten aus dem entsprechenden Register übereinstimmen.
- Die Organisation muss mindestens seit 3-Jahren tätig sein.

Tipp: Sollten Sie in keinen der genannten Register gelistet sein, kontaktieren Sie uns gerne unseren Support.

2. Telefonische Validierung

Zusätzlich wird in öffentlichen Telefonverzeichnissen ebenfalls nach der Inhaberorganisation gesucht. Der Telefonbucheintrag muss ebenfalls zu 100 % zu dem entsprechenden Registereintrag passen.
Über die Telefonnummer aus dem öffentlichen Telefonverzeichnis findet anschließend eine telefonische Validierung statt. Im Anruf werden die Domain, die abgesichert wird, die Organisationsdaten und das bestellte Produkt noch einmal abgeglichen.

Hinweis: Die Rufnummer für die telefonische Validierung kann nicht frei gewählt werden. Durchwahlen oder Handynummern können, sofern diese nicht in einem öffentlichen Telefonverzeichnis eingetragen sind, nicht berücksichtigt werden.

3. Genehmigungs-E-Mail

Die CA versendet abschließend eine Genehmigungs-E-Mail an den Kunden. In der E-Mail ist ein Verifizierungslink über den der Auftrag final genehmigt und somit ausgestellt wird.
Nach erfolgreicher Genehmigung wird der USB-Token postalisch an den Kunden versendet.

BESTSELLER

Die beliebtesten Produkte unserer Kunden

Procilon Group EDIFACT Standard Gateway

ab 229,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite (PositiveSSL)

ab 18,00 €(inkl. MwSt.)

Thawte Limitbreaker (SSL123)

ab 39,00 €(inkl. MwSt.)

+30 Tage

Sectigo EV

ab 229,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite Multidomain

ab 103,00 €(inkl. MwSt.)

GeoTrust Bronze Multidomain (QuickSSL Premium)

ab 39,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite Wildcard

ab 195,00 €(inkl. MwSt.)

Thawte Limitbreaker Wildcard (SSL123)

ab 169,00 €(inkl. MwSt.)

Sectigo Code-Signing

ab 549,00 €(inkl. MwSt.)

Sectigo S/MIME Basic

ab 21,00 €(inkl. MwSt.)

Code Signing und Code Signing Zertifikate – Das können Sie erwarten!

Mit dem Voranschreiten der Digitalisierung wuchsen die Anforderungen in der IT-Sicherheit der letzten Jahre: So auch in dem Bereich der Entwicklung und der Programmierung von Programmen, Applikationen und Software-Anwendungen.

Code Signing ist eine Lösung in der IT-Sicherheit, die den Zweck hat, die Identität des Herstellers oder des Entwicklers des programmierten Codes darzustellen und die Authentizität des Codes zu bestätigen.

Was ist ein Code Signing Zertifikat bzw. die Codesignatur?

Das englische Wort „Code Signing“ beschreibt den Vorgang, den Software Entwickler nutzen, um mithilfe eines entsprechenden Zertifikats ihren programmierten Code zu signieren. Die Codesignatur kann man hierbei als digitale Unterschrift für Programmen, Apps und Software bezeichnen.

Code Signing ist notwendig, um den Ursprung der Software eindeutig dem Entwickler zuzuordnen und den Hersteller des Programms nachzuweisen. Somit ist die Codesignatur eine Sicherheitsmaßnahme, bei der sich Unternehmen und Nutzer darauf verlassen können, dass die Software vom angegebenen Hersteller stammt und von einer unabhängigen Instanz (Zertifizierer des Code Signing Zertifikats) abgesegnet und nicht von einem unbekannten Dritten manipuliert wurde.

Die Codesignatur in der Praxis: So funktioniert ein Code Signing Zertifikat

Code Signing beweist die Authentizität des Entwicklers bzw. des Herstellers durch eine Binärdatei (mit Hash und Prüfsumme) und der digitalen und verschlüsselten Unterschrift des Entwicklers in Kombination mit dem Code Signing Zertifikat des unabhängigen Anbieters, dass die Software nicht kompromittiert wurde.

Zum vergrößern das Bild anklicken.

Das Zertifikat signalisiert Ihren Nutzern und Kunden von ActiveX-Controls bis hin zu Java-Applets-, dass deren Code authentisch ist und nicht durch Dritte manipuliert wurde. Durch weitere Informationen zum Datei-Ursprung ist das Code Signing Zertifikat für die Software-Entwickler und Herausgeber unabdingbar, um Ihren Nutzern die maximale Sicherheit zu bieten!

Die Sicherheitsmaßnahme aktueller Betriebssysteme sind zum Teil so konzipiert worden, dass diese Programme ohne diese digitale Software Signierung (Code Signing) nicht zulassen oder diese vor der Installation warnen.

Vorteile des Code Signings

Code Signing Zertifikate bietet als Anwendungssignatur folgende Vorteile:

die Authentizität von Anwendungen zu verifizieren;
Entwicklervertrauen aufzubauen und deren Ruf zu schützen;
Manipulationen und Man-in-the-Middle-Angriffe zu verhindern;
vor Malware zu schützen, die sich als unverdächtige Anwendung tarnen;
Fehlermeldungen zu verhindern;
gefälschte Anträge zu verhindern.

Code Signing FAQ: Die meistgestellten Fragen rund um Code Signing

Mit einem speziellen digitalen Zertifikat, dem Code Signing-Zertifikat, können Entwickler Ihren erstellten Code schützen und dadurch die Integrität und Echtheit sicherstellen. In unserem FAQ erklären wir Ihnen, was Sie bei Code Signing-Zertifikaten beachten sollten.

Hat die verwendete Plattform einen Einfluss auf die Anforderungen an die Signierung des Codes?

Ja, die gewählte Plattform beeinflusst auch die Signierungs-Anforderungen. Zum Beispiel wirkt sich das Dateiformat auf die Anforderungen an die Code-Signierung aus. So bestehen andere Voraussetzungen für bspw. Java .jar-Dateien im Vergleich zum Signieren von Apps unter OS X und iOs.

Welche Unterschiede gibt es?

für die Betriebssysteme Windows 9x, XP, Vista und Windows 7 mit der bewährten Microsoft Authenticode- Technologie – ganz gleich ob im 32-Bit- oder im 64-Bit- Benutzermodus. Wichtigste Formate: exe-, .cab-, .dll-, .ocx-, .msi-, .xpi- und .xap-Dateien.
für Sun Java beziehungsweise für die auf über 850 Millionen Rechnern installierte „Java Runtime Environment“ (JRE) sowohl für Desktop-Computer als auch für mobile Endgeräte. Wichtigste Formate sind: .jar-Dateien und Java-Anwendungen.
für Microsoft Office basierend auf Microsoft Visual Basic for Applications (VBA). Wichtigste Formate sind: VBA-Objekte, Skripts und Makros für .doc-, .xls- und .ppt-Dateien.
für Adobe AIR und damit für eine der wichtigsten plattformunabhängigen Laufzeitumgebungen und Betriebssysteme wie Android, BlackBerry Tablet OS, iOS, Mac OS X und Windows. Wichtigste Formate sind: Rich Internet Applications, Adobe Ajax- und Flex-Dateien.
für Mozilla und Netscape Objects, somit können dem Nutzer die zertifizierten Applikationen in den Browsern Firefox und Thunderbird als vertrauenswürdig angezeigt werden. Wichtigste Formate sind: Mozilla XPI Programmpakete und Browser-Add-ons.

Welche Angaben werden zur Validierung eines Code-Signing-Zertifikats herangezogen?

Für die Validierung wird der Name der Organisation, nachgewiesen durch den entsprechenden Registerauszug, benötigt. Einzige Ausnahme: bei Thawte Individuals (für Einzelpersonen/Gewerbetreibende) wird der Name der Person, nachgewiesen durch den gültigen Personalausweis/Reisepass bzw. den Gewerbeschein, benötigt. Für weitere Fragen kontaktieren Sie bitte unseren Support.

Können Privatpersonen oder Gewerbetreibende ein Code-Signing-Zertifikat erwerben?

Ja, es gibt speziell für Privatpersonen und Gewerbetreibende das Thawte Code-Signing for Individuals. Falls Sie Interesse an diesem Produkt haben, kontaktieren Sie bitte unseren Support unter support(at)psw.net.

Kann ein Code-Signing-Zertifikat auch auf unterschiedlichen Systemen eingesetzt werden?

Die Systeme verlangen unterschiedliche Dateiformate, daher kann es sein, dass Sie Ihr Code-Signing- Zertifikat in ein bestimmtes Format konvertieren müssen. Dies können Sie einfach mit OpenSSL tun, je nach Format nutzen Sie bitte folgende OpenSSL-Befehle:

DER- Datei (.crt .cer .der) in PEM umwandeln
openssl x509 -inform der -in certificate.cer -out certificate.pem

PEM- Datei in DER umwandeln
openssl x509 -outform der -in certificate.pem -out certificate.der

PKCS#12-Datei (.pfx .p12) welche das Zertifikat und den privaten Schlüssel beinhaltet in PEM umwandeln
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Sie können den Befehl -nocerts hinzufügen um zusätzlich den Privaten Schlüssel zu extrahieren oder mit -nokeys nur die Zertifikate aus der PKCS#12-Datei zu extrahieren

Zertifikat als PEM-Datei und privaten Schlüssel in eine PKCS#12-Datei (.pfx .p12) umwandeln
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Werden alle Code-Signing-Zertifikate mit SHA-2 ausgestellt?

Das CA/Browser-Forum beschloss alle nach dem 01.01.2017 noch aktiven Zertifikate, die mit dem SHA-1-Algorithmus unterzeichnet sind als nicht mehr vertrauenswürdig einzustufen. Das bedeutet, dass ab dem 01.01.2016 keine SHA-1-Zertifikate mehr ausgestellt werden dürfen. Dies betrifft auch Code-Signing-Zertifikate.

Daher werden bei Sectigo (ehemals Comodo), GlobalSign, Symantec, SwissSign, Thawte Code-Signing-Zertifikate Standardmäßig mit dem Unterzeichnungsalgorithmus SHA-2 ausgestellt.

Speziell für Microsoft Windows Vista und Windows 2008 stellt Sectigo (ehemals Comodo) das Code-Signing Legacy-Zertifikat aus, da diese Anwendungen im Moment noch kein SHA-2 unterstützen!

Woran erkenne ich ein falsch eingebundenes Code-Signing-Zertifikat?

Ob ein Code-Signing-Zertifikat korrekt in eine Anwendung eingebunden ist erkennen Sie am schnellsten an der Signatur. Bei der Prüfung der Signatur erhalten Sie die Meldung: Signatur ungültig. Sollten Sie diese Meldung erhalten kontaktieren Sie unseren Support unter support(at)psw.net.

Weshalb ist der Preis von Sectigo (ehemals Comodo) so viel günstiger – sind die Produkte nicht so hochwertig wie die von anderen?

Die großen Preisunterschiede sind auf die Preispolitik der jeweiligen CA zurückzuführen.

Sind signierte Applikationen/ Programme vertrauenswürdig?

Ein Code-Signing-Zertifikat ist die digitale Signatur, welche die Identität des Zertifikatsinhabers und die Integrität des Programmcodes bestätigt. Die digitale Signatur ist der Unterschrift des Zertifikatsinhabers gleichzusetzen. Zusätzlich wird mittels eines Algorithmus der Hash über den Programmcode gebildet. Wird dieser nach dem Signaturvorgang verändert, ändert sich auch der Hash-Wert - es kommt zu einer Hinweismeldung für den Anwender. Somit schafft das Code-Signing-Zertifikat mehr Vertrauen in Ihre Applikation/Ihr Programm und der Anwender kann sicher sein, dass die heruntergeladene Software nicht manipuliert wurde und somit authentisch ist.

Der Inhalt der Applikation/des Programms wird hingegen nicht überprüft.

Welche Unterschiede gibt es zwischen den einzelnen Produkten?

Die einzelnen Code-Signing-Zertifikate unterscheiden sich zunächst in ihrer Anwendungsart sowie in der Validierungsart (EV-Code-Signing-Zertifikate). Wir bieten Code-Signing-Zertifikate zum Signieren unterschiedlicher Applikationen und Plattformen (beachten Sie hier die jeweiligen Produktbeschreibungen). Als ein weiteres Unterscheidungsmerkmal sind die ausstellenden CAs (Zertifizierungsstellen) zu nennen.

Können mit einem Code-Signing-Zertifikat auch PDF Dokumente signiert werden (z.B. wenn es für Microsoft Office und VBA bestellt wurde)?

Leider nein. Zum Signieren von PDF Dokumenten benötigen Sie PDF Signing-Zertifikate.

Was ist ein Time-Stamp?

Ein Time-Stamp ist ein Zeitstempel. Er stellt sicher, dass die Vertrauenswürdigkeit der digitalen Signatur nicht zeitgleich mit dem Code-Signing-Zertifikat abläuft. Das bedeutet, auch wenn ein Code-Signing-Zertifikat abläuft, weiß der Time-Stamp-Dienst, dass die Signatur der Software zum Zeitpunkt der Signierung gültig war. Somit bleibt die Signatur auch über die Laufzeit des Code-Signing-Zertifikats hinaus gültig.

Sieht der Benutzer, dass eine Applikation signiert wurde?

Ja, der Benutzer kann sich die Signatur anzeigen lassen. Wie die Signatur angezeigt wird, ist von Betriebssystem zu Betriebssystem unterschiedlich. Unter Windows kommt es beispielsweise zu einer Fehlermeldung/Warnung, falls versucht wird eine unsignierte Software zu installiert.

Was geschieht wenn das Code-Signing-Zertifikat widerrufen wurde?

Wenn kein Zeitstempel beim Signieren verwendet wurde, wird die Signatur ungültig. Wurde ein Zeitstempel verwendet, war die Signatur bzw. das Code-Signing Zertifikat zu dem Zeitpunkt gültig und somit bleibt die Signatur auch gültig aber mit der Meldung, dass das Zertifikat revoziert wurde.

Welchen Vorteil haben Multipattform Code-Signing-Zertifikate?

Multiplattform Code-Signing-Zertifikate sind plattformunabhängig und eignen sich besonders gut für Unternehmen, die unterschiedliche Applikationen und Anwendungen (z.B. Java und Microsoft) digital signieren möchten.

Wo finde ich mein Code-Signing-Zertifikat, wenn es über den Browser generiert wurde?

Alle ab dem 01. Februar ausgestellten Code-Signing-Zertifikate müssen auf einem externen Gerät gespeichert werden. Zu keinem Zeitpunkt sollte der Private Schlüssel online in einem Web-Browser gesichert werden. D.h. Zertifikatsanforderungen (CSR) und der Private Schlüssel dürfen nicht mehr im Browser generiert werden.

Wie verlängere ich mein Code-Signing-Zertifikat?

Die Verlängerung eines Code-Signing-Zertifikates funktioniert mit uns als Partner wie eine Neubestellung. Bitte gehen Sie hierzu auf unsere Webseite und bestellen Ihr gewünschtes Code-Signing-Zertifikat.

Aus welchem Grund laufen Code-Signing-Zertifikate ab?

Der Zweck, der mit der begrenzten Laufzeit eines Code-Signing-Zertifikats verfolgt wird, liegt in der erhöhten Absicherung des Nutzers eines Zertifikats wie auch des Zertifikatsinhabers. Wenn ein Zertifikat verlängert wird, ist es notwendig, die Identität des Inhabers erneut zu prüfen. Dies wird durch die Zertifikatsstelle vorgenommen und bestätigt damit ein weiteres Mal die Seriosität der Quelle einer Anwendung und garantiert Ihnen als Inhaber das Vertrauen der Nutzer. Zum anderen bietet die Aktualität der Prüfung für den Nutzer die Gewissheit, dass die Anwendung sicher ist.

Ist Code mit Time-Stamp noch gültig, wenn das Code-Signing-Zertifikat schon abgelaufen ist?

Der Time-Stamp garantiert, dass der Code valide bleibt. Dies gilt auch, wenn Ihr Zertifikat abläuft. In der Regel kann die Software der Nutzer feststellen, ob ein Code mit einem veralteten Zertifikat signiert wurde und damit nicht seriös ist oder der Code mit einem gültigen Zertifikat signiert wurde, dann aber später abgelaufen ist und somit vertrauenswürdig ist.

Kann ich das gleiche Code-Signing-Zertifikat auf mehreren Computern nutzen?

Ja, beim Code-Signing ist es möglich Ihr Zertifikat auf verschiedenen Computern zu nutzen, allerdings nicht gleichzeitig. Sie müssen hierfür lediglich den Token (USB-Stick), der das Zertifikat enthält, an den Rechner anschließen auf dem Sie das Zertifikat verwenden möchten. Natürlich benötigen Sie dann erneut Ihr Passwort. Nach korrekter Eingabe ist die Signierung Ihrer Software auch auf einem anderen Computer möglich. Optimal ist dies, wenn mehrere Entwickler Ihres Unternehmens Code signieren möchten.

Was ist die digitale Treibersignatur?

Die Code Signierung, bei der der Treiber mit einer elektronischen Signatur unterzeichnet wird, funktioniert ähnlich wie eine signierte Mail. Die Herkunft eines signierten Treiber kann eindeutig bestimmt werden und die ungewollte Veränderung des Quellcodes offengelegt werden. Unter Windows-Betriebssystemen wird die Signatur aller Treiber vorausgesetzt. Hiermit soll erzielt werden, dass das System nicht unnötig mit unsicheren oder manipulierten Treibern belastet wird. Daher empfiehlt sich für Treiberentwickler die Signierung mit einem Code Signing-Zertifikat.

Wie oft kann ich ein Code Signing-Zertifikat zur Signierung von Code verwenden?

Mit einem einzigen Code Signing-Zertifikat ist es Ihnen während der Zertifikatslaufzeit möglich, beliebig oft zu Signieren. Ein weiterer Vorteil für Sie: Die Gültigkeit der Signatur besteht auch nach Ablauf des Zertifikats aufgrund der Zeitstempelfunktion.