DigiCert CS EV - nejsnazší cesta k podepisování aplikací

12.6.2019 | Jindřich Zechmeister

Certifikáty pro podpis kódu (Code Signing) jsou nutností pro všechny autory aplikací a Java appletů. Bez nich nedokáží aplikaci distribuovat a dostat k uživatelům. Nejsnazší cesta k získání důvěryhodného certifikátu pro vývoj software je DigiCert Code Signing EV certifikát. Tento nejdůvěryhodnější Code signing certifikát je nejlepší volba a získáte ho velice snadno.

Podpis aplikace je nevyhnutelný

Umístit vaši aplikaci na internet je jednoduché a zvládne to každý. Kdokoliv však může tuto aplikaci také stáhnout, pozměnit (například vložením škodlivého kódu) a šířit dál. Budoucí uživatel nepozná, která z aplikací je pravá, vydaná skutečným autorem, a která je pozměněná. Z tohoto důvodu se principy digitálního podpisu uplatňují i u vývoje aplikací a obecně jakéhokoliv software, který se šíří dále k uživatelům.

Aplikace opatřená digitálním podpisem autora, který vlastní Code Signing certifikát pro podpis kódu, jednoznačně autentizuje vydavatele a čas vydání. Platný digitální podpis také dokládá neměnnost dat, tedy to, že je nikdo od vydání a podepsání nezměnil. Podepisování aplikací code signing certifikátem tedy přináší stejné výhody jako digitální podpis - autentizaci původu, neměnnost a integritu.

Rozdíl mezi CS a CS EV certifikátem

Code Signing certifikát opatří aplikaci důvěryhodným digitálním podpisem. Otázkou je, jak se s tímto podpisem "popere" operační systém uživatele. Konkrétně Microsoft Windows uplatňuje ve svém systému vlastní posuzování důvěryhodnosti na základě netransparentní metodiky a tento mechanismus se jmenuje SmartScreen filter. Dříve byl součástí pouze Internet Exploreru, ale nyní je v celém systému. SmartScreen často blokuje i důvěryhodně podepsané aplikace, protože nemají vybudovanou reputaci (hlavním problémem je málo stažení).

SmartScreen filter blokuje aplikaci

Toto riziko blokace zcela eliminujete použitím Code Signing EV certifikátu. Jím podepsaná aplikace není systémem blokovaná nikdy. Druhou obrovskou výhodou Code Signing EV certifikátu je jeho uložení na tokenu. Zatímco zabezpečení běžného Code Signing certifikátu je problém uživatele, CS EV certifikát je spolu s privátním klíčem na tokenu chráněn proti krádeži a zneužití. Nejde exportovat a pro použití certifikátu je potřeba zadat heslo. Pokud ho zadáte několikrát špatně, tak se obsah tokenu nenávratně smaže.

HW token s uloženým certifikátem

Když chcete podepisovat a neztrácet čas

Výše zmíněné důvody jednoznačně hovoří pro používání CS EV certifikátu. Nejsnadněji ho získáte od CA DigiCert a můžete ho rovnou začít používat.

Jednou z dalších výhod tohoto EV certifikátu je jeho snadné získání. Zadáte objednávku, certifikační autorita ověří vaši společnost a certifikát vydá; tedy lépe řečeno expeduje k zákazníkovi. Certifikát dostanete od certifikační autority už nahraný na tokenu a nemusíte marnit čas vyzvedáváním certifikátu a jeho importem na token (jak je tomu u Symantec Code Signing EV).

Pomocná aplikace Safenet (dostupná pro všechny hlavní platformy) zajistí, že nový EV certifikát vidíte ve výchozím úložišti systému a nemusíte se při podepisování učit nic nového. Budete podepisovat jako doposud a pouze při samotném podpisu zadáte heslo k certifikátu, který si sami zvolíte. Jak bylo řečeno v předchozích odstavcích, certifikát s privátním klíčem vyžaduje heslo a nelze je z tokenu exportovat. Máte jistotu, že certifikát nemůže nikdo zneužít a podepisovat aplikace jménem vaší firmy (a tím ji poškozovat).

Token není jednorázový; můžete ho použít i pro obnovu certifikátu a mít na něm uloženo více certifikátů různých typů; například váš DigiCert Document Signing pro podepisování dokumentů (zejména PDF).

Potřebujete-li poradit s výběrem, nebo samotným podepisováním, neváhejte se obrátit na naši zákaznickou podporu.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz