ab 549,00 € (inkl. MwSt.)

Sectigo Code-Signing

Wer Software an Kunden und Partner vertreibt, muss sicherstellen, dass der entwickelte Code in den Plattformen als vertrauenswürdig angezeigt. Durch den Einsatz des Sectigo Code-Signing stellen Sie sicher, dass Ihre Software vertrauenswürdig ist und nicht verändert wurde. Dadurch erhält der Nutzer das maximale Vertrauen in die von Ihnen entwickelte Software. Für aktuelle Betriebssysteme sowie weitere Anwendungen ist der Einsatz von Code-Signing-Zertifikaten bereits Grundvoraussetzung, damit entwickelter Code zugelassen wird.

Um die Integrität Ihres Codes zu verifizieren und diesen vor Malware zu schützen spricht das Sectigo Code-Signing besonders Entwickler und Softwarehersteller an. Dieses überzeugt besonders mit dem breiten Einsatzfeld. Folgende Anwendungen können unter anderem signiert werden: Microsoft Authenticode und Treibersignierung, Adobe Air, Java, Microsoft Office Macro und VBA, Mozilla, Apple Mac Anwendungen, Mircosoft Silverlight.

Die Ausstellung des Code-Signing-Zertifikats erfolgt auf einem Hardware-Token, der postalisch versendet wird. Dadurch ist das Sectigo Code-Signing zusätzlich mit einer Zwei-Faktor-Authentifizierung geschützt.

Hinweis zu möglichen Zusatzkosten:

Da der Token aus Großbritannien versendet wird, können zusätzlich zum Zertifikatspreis noch Zoll- und Zustellgebühren anfallen.
Diese sind bei Erhalt des Tokens direkt an UPS zu entrichten.

MERKMALE

Certificate Authority: Sectigo
Sitz der CA: Vereinigtes Königreich
Validierungstyp: Organization Validation
Ausstellungszeitraum*: 2-5 Werktage, zusätzlich Versand Token
Signatur Hashalgorithmus: SHA-2
CSR: tokenbasiert

* nach erfolgreicher Prüfung Ihres Auftrags

VORTEILE

Hardware Token

Rückerstattung bis 30 Tage nach Ausstellung möglich

Zeitstempel

Organisationsname im Zertifikat

Sichtbarer Schutz durch Anzeige des OV-Standards im Zertifikat

verfügbare Plattformen:

macos

microsoft authenticode

microsoft kernel-mode code

microsoft office and vba

mozilla

java

adobe air

other

windows phone

Validierungsguidlines - Sectigo OV CodeSigning

Warum gibt es überhaupt eine Validierung?

Eine Validierung gibt dem Empfänger des Zertifikats die Gewissheit, dass die darin enthaltenen Informationen korrekt sind und von einer vertrauenswürdigen Quelle geprüft wurden.

Bei Zertifikaten, die Firmen- und/oder Personendaten enthalten, muss sichergestellt werden, dass diese Daten korrekt sind. Die Regeln und Richtlinien für diese Prüfung werden dabei weltweit übergreifend vom CABrowser-Forum festgelegt.

Welche Daten werden geprüft?

1. Personenvalidierung

Im Zuge der Bestellung wird ein Validierungsansprechpartner der Inhaberorganisation abgefragt. Dieser Ansprechpartner wird zwar validiert, ist aber am Ende nicht namentlich im Zertifikat ersichtlich.
- Von diesem Ansprechpartner wird eine Kopie der Vorderseite des Personalausweises benötigt.
- Zusätzlich ist von diesem Kontakt ein Selbstporträt (Selfie) erforderlich, in welchem der Personalausweis (Vorderseite) gut lesbar hochgehalten wird.

Hinweis: Welche Daten auf dem Personalausweis geschwärzt werden dürfen, wird in unserem PSW GROUP Support Bereich beschrieben.

2. Organisationsvalidierung

Die Organisation, die im Zertifikat eingetragen wird, muss auf Ihre Existenz überprüft werden.
In entsprechenden Registerportalen wird nach der Inhaberorganisation gesucht. Die Organisationsdaten der Bestellung müssen zu 100 % mit den Daten aus dem entsprechenden Register übereinstimmen.
Erlaubte Registerportale:
www.handelsregister.de
www.zefix.ch
www.firmenbuch.at

Tipp: Sollten Sie in keinem der genannten Register gelistet sein, kontaktieren Sie uns gerne unseren Support.

Zusätzlich muss die Organisation im Business Register von Dun&Bradstreet gelistet sein. Der Eintrag in D&B, dem Handelsregister und der Bestellung müssen für eine erfolgreiche Validierung zu 100% übereinstimmen.
- https://www.dnb.com/business-directory.html

3. Click-Through Agreement Link

Im Zuge der Validierung muss ein Ansprechpartner des Unternehmens dem Auftrag zustimmen.
- Diesbezüglich wird an den im Bestellvorgang definierten Ansprechpartner der Validierung eine Click-Through Agreement E-Mail versendet.
- Über den Link aus der E-Mail werden die folgenden Daten abgefragt:
  - Vorname
  - Nachname
  - E-Mail
  - Telefonnummer
  - Job Titel
  - Verifizierungscode
  - AGB bestätigen

Hinweis: Der Verifizierungscode befindet sich in derselben E-Mail wie auch der Click-Through Link.

BUSINESS PRACTICES DISCLOSURE

Since the year 2000, well-known companies have relied on the expertise, services and solutions of PSW GROUP. During these times we have developed into one of the leading service providers for certificate solutions in Germany. We successfully cooperate with the largest certification authorities worldwide.

Our goal is to provide our customers with the best possible service and to offer them exactly the product that meets their requirements. An important part is the pre-validation of organization-validated and extended validated SSL, S/MIME and Code Signing certificates. For the CAs for which we perform these validation activities, we verify the identity of the subscriber/certificate holder and usually perform the validation call in German. Our customers in the German-speaking countries greatly appreciate this service. In accordance with Webtrust requirements for Registration Authorities (RA), we provide the following information about the actions we perform as part of our work for Sectigo.

An important part is the pre-validation of organization-validated and extended validated SSL and Code Signing certificates. For the CAs for which we perform these validation activities, we verify the identity of the subscriber/certificate holder and usually perform the validation call in German. Our customers in the German-speaking countries greatly appreciate this service.

The complete Business Practices Disclosure you can find here.

BESTSELLER

Die beliebtesten Produkte unserer Kunden

Procilon Group EDIFACT Standard Gateway

ab 229,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite (PositiveSSL)

ab 18,00 €(inkl. MwSt.)

Thawte Limitbreaker (SSL123)

ab 39,00 €(inkl. MwSt.)

+30 Tage

Sectigo EV

ab 229,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite Multidomain

ab 103,00 €(inkl. MwSt.)

GeoTrust Bronze Multidomain (QuickSSL Premium)

ab 39,00 €(inkl. MwSt.)

+30 Tage

Sectigo Lite Wildcard

ab 195,00 €(inkl. MwSt.)

Thawte Limitbreaker Wildcard (SSL123)

ab 169,00 €(inkl. MwSt.)

Sectigo Code-Signing

ab 549,00 €(inkl. MwSt.)

Sectigo S/MIME Basic

ab 21,00 €(inkl. MwSt.)

Code Signing und Code Signing Zertifikate – Das können Sie erwarten!

Mit dem Voranschreiten der Digitalisierung wuchsen die Anforderungen in der IT-Sicherheit der letzten Jahre: So auch in dem Bereich der Entwicklung und der Programmierung von Programmen, Applikationen und Software-Anwendungen.

Code Signing ist eine Lösung in der IT-Sicherheit, die den Zweck hat, die Identität des Herstellers oder des Entwicklers des programmierten Codes darzustellen und die Authentizität des Codes zu bestätigen.

Was ist ein Code Signing Zertifikat bzw. die Codesignatur?

Das englische Wort „Code Signing“ beschreibt den Vorgang, den Software Entwickler nutzen, um mithilfe eines entsprechenden Zertifikats ihren programmierten Code zu signieren. Die Codesignatur kann man hierbei als digitale Unterschrift für Programmen, Apps und Software bezeichnen.

Code Signing ist notwendig, um den Ursprung der Software eindeutig dem Entwickler zuzuordnen und den Hersteller des Programms nachzuweisen. Somit ist die Codesignatur eine Sicherheitsmaßnahme, bei der sich Unternehmen und Nutzer darauf verlassen können, dass die Software vom angegebenen Hersteller stammt und von einer unabhängigen Instanz (Zertifizierer des Code Signing Zertifikats) abgesegnet und nicht von einem unbekannten Dritten manipuliert wurde.

Die Codesignatur in der Praxis: So funktioniert ein Code Signing Zertifikat

Code Signing beweist die Authentizität des Entwicklers bzw. des Herstellers durch eine Binärdatei (mit Hash und Prüfsumme) und der digitalen und verschlüsselten Unterschrift des Entwicklers in Kombination mit dem Code Signing Zertifikat des unabhängigen Anbieters, dass die Software nicht kompromittiert wurde.

Zum vergrößern das Bild anklicken.

Das Zertifikat signalisiert Ihren Nutzern und Kunden von ActiveX-Controls bis hin zu Java-Applets-, dass deren Code authentisch ist und nicht durch Dritte manipuliert wurde. Durch weitere Informationen zum Datei-Ursprung ist das Code Signing Zertifikat für die Software-Entwickler und Herausgeber unabdingbar, um Ihren Nutzern die maximale Sicherheit zu bieten!

Die Sicherheitsmaßnahme aktueller Betriebssysteme sind zum Teil so konzipiert worden, dass diese Programme ohne diese digitale Software Signierung (Code Signing) nicht zulassen oder diese vor der Installation warnen.

Vorteile des Code Signings

Code Signing Zertifikate bietet als Anwendungssignatur folgende Vorteile:

die Authentizität von Anwendungen zu verifizieren;
Entwicklervertrauen aufzubauen und deren Ruf zu schützen;
Manipulationen und Man-in-the-Middle-Angriffe zu verhindern;
vor Malware zu schützen, die sich als unverdächtige Anwendung tarnen;
Fehlermeldungen zu verhindern;
gefälschte Anträge zu verhindern.

Code Signing FAQ: Die meistgestellten Fragen rund um Code Signing

Mit einem speziellen digitalen Zertifikat, dem Code Signing-Zertifikat, können Entwickler Ihren erstellten Code schützen und dadurch die Integrität und Echtheit sicherstellen. In unserem FAQ erklären wir Ihnen, was Sie bei Code Signing-Zertifikaten beachten sollten.

Hat die verwendete Plattform einen Einfluss auf die Anforderungen an die Signierung des Codes?

Ja, die gewählte Plattform beeinflusst auch die Signierungs-Anforderungen. Zum Beispiel wirkt sich das Dateiformat auf die Anforderungen an die Code-Signierung aus. So bestehen andere Voraussetzungen für bspw. Java .jar-Dateien im Vergleich zum Signieren von Apps unter OS X und iOs.

Welche Unterschiede gibt es?

für die Betriebssysteme Windows 9x, XP, Vista und Windows 7 mit der bewährten Microsoft Authenticode- Technologie – ganz gleich ob im 32-Bit- oder im 64-Bit- Benutzermodus. Wichtigste Formate: exe-, .cab-, .dll-, .ocx-, .msi-, .xpi- und .xap-Dateien.
für Sun Java beziehungsweise für die auf über 850 Millionen Rechnern installierte „Java Runtime Environment“ (JRE) sowohl für Desktop-Computer als auch für mobile Endgeräte. Wichtigste Formate sind: .jar-Dateien und Java-Anwendungen.
für Microsoft Office basierend auf Microsoft Visual Basic for Applications (VBA). Wichtigste Formate sind: VBA-Objekte, Skripts und Makros für .doc-, .xls- und .ppt-Dateien.
für Adobe AIR und damit für eine der wichtigsten plattformunabhängigen Laufzeitumgebungen und Betriebssysteme wie Android, BlackBerry Tablet OS, iOS, Mac OS X und Windows. Wichtigste Formate sind: Rich Internet Applications, Adobe Ajax- und Flex-Dateien.
für Mozilla und Netscape Objects, somit können dem Nutzer die zertifizierten Applikationen in den Browsern Firefox und Thunderbird als vertrauenswürdig angezeigt werden. Wichtigste Formate sind: Mozilla XPI Programmpakete und Browser-Add-ons.

Welche Angaben werden zur Validierung eines Code-Signing-Zertifikats herangezogen?

Für die Validierung wird der Name der Organisation, nachgewiesen durch den entsprechenden Registerauszug, benötigt. Einzige Ausnahme: bei Thawte Individuals (für Einzelpersonen/Gewerbetreibende) wird der Name der Person, nachgewiesen durch den gültigen Personalausweis/Reisepass bzw. den Gewerbeschein, benötigt. Für weitere Fragen kontaktieren Sie bitte unseren Support.

Können Privatpersonen oder Gewerbetreibende ein Code-Signing-Zertifikat erwerben?

Ja, es gibt speziell für Privatpersonen und Gewerbetreibende das Thawte Code-Signing for Individuals. Falls Sie Interesse an diesem Produkt haben, kontaktieren Sie bitte unseren Support unter support(at)psw.net.

Kann ein Code-Signing-Zertifikat auch auf unterschiedlichen Systemen eingesetzt werden?

Die Systeme verlangen unterschiedliche Dateiformate, daher kann es sein, dass Sie Ihr Code-Signing- Zertifikat in ein bestimmtes Format konvertieren müssen. Dies können Sie einfach mit OpenSSL tun, je nach Format nutzen Sie bitte folgende OpenSSL-Befehle:

DER- Datei (.crt .cer .der) in PEM umwandeln
openssl x509 -inform der -in certificate.cer -out certificate.pem

PEM- Datei in DER umwandeln
openssl x509 -outform der -in certificate.pem -out certificate.der

PKCS#12-Datei (.pfx .p12) welche das Zertifikat und den privaten Schlüssel beinhaltet in PEM umwandeln
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes

Sie können den Befehl -nocerts hinzufügen um zusätzlich den Privaten Schlüssel zu extrahieren oder mit -nokeys nur die Zertifikate aus der PKCS#12-Datei zu extrahieren

Zertifikat als PEM-Datei und privaten Schlüssel in eine PKCS#12-Datei (.pfx .p12) umwandeln
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Werden alle Code-Signing-Zertifikate mit SHA-2 ausgestellt?

Das CA/Browser-Forum beschloss alle nach dem 01.01.2017 noch aktiven Zertifikate, die mit dem SHA-1-Algorithmus unterzeichnet sind als nicht mehr vertrauenswürdig einzustufen. Das bedeutet, dass ab dem 01.01.2016 keine SHA-1-Zertifikate mehr ausgestellt werden dürfen. Dies betrifft auch Code-Signing-Zertifikate.

Daher werden bei Sectigo (ehemals Comodo), GlobalSign, Symantec, SwissSign, Thawte Code-Signing-Zertifikate Standardmäßig mit dem Unterzeichnungsalgorithmus SHA-2 ausgestellt.

Speziell für Microsoft Windows Vista und Windows 2008 stellt Sectigo (ehemals Comodo) das Code-Signing Legacy-Zertifikat aus, da diese Anwendungen im Moment noch kein SHA-2 unterstützen!

Woran erkenne ich ein falsch eingebundenes Code-Signing-Zertifikat?

Ob ein Code-Signing-Zertifikat korrekt in eine Anwendung eingebunden ist erkennen Sie am schnellsten an der Signatur. Bei der Prüfung der Signatur erhalten Sie die Meldung: Signatur ungültig. Sollten Sie diese Meldung erhalten kontaktieren Sie unseren Support unter support(at)psw.net.

Weshalb ist der Preis von Sectigo (ehemals Comodo) so viel günstiger – sind die Produkte nicht so hochwertig wie die von anderen?

Die großen Preisunterschiede sind auf die Preispolitik der jeweiligen CA zurückzuführen.

Sind signierte Applikationen/ Programme vertrauenswürdig?

Ein Code-Signing-Zertifikat ist die digitale Signatur, welche die Identität des Zertifikatsinhabers und die Integrität des Programmcodes bestätigt. Die digitale Signatur ist der Unterschrift des Zertifikatsinhabers gleichzusetzen. Zusätzlich wird mittels eines Algorithmus der Hash über den Programmcode gebildet. Wird dieser nach dem Signaturvorgang verändert, ändert sich auch der Hash-Wert - es kommt zu einer Hinweismeldung für den Anwender. Somit schafft das Code-Signing-Zertifikat mehr Vertrauen in Ihre Applikation/Ihr Programm und der Anwender kann sicher sein, dass die heruntergeladene Software nicht manipuliert wurde und somit authentisch ist.

Der Inhalt der Applikation/des Programms wird hingegen nicht überprüft.

Welche Unterschiede gibt es zwischen den einzelnen Produkten?

Die einzelnen Code-Signing-Zertifikate unterscheiden sich zunächst in ihrer Anwendungsart sowie in der Validierungsart (EV-Code-Signing-Zertifikate). Wir bieten Code-Signing-Zertifikate zum Signieren unterschiedlicher Applikationen und Plattformen (beachten Sie hier die jeweiligen Produktbeschreibungen). Als ein weiteres Unterscheidungsmerkmal sind die ausstellenden CAs (Zertifizierungsstellen) zu nennen.

Können mit einem Code-Signing-Zertifikat auch PDF Dokumente signiert werden (z.B. wenn es für Microsoft Office und VBA bestellt wurde)?

Leider nein. Zum Signieren von PDF Dokumenten benötigen Sie PDF Signing-Zertifikate.

Was ist ein Time-Stamp?

Ein Time-Stamp ist ein Zeitstempel. Er stellt sicher, dass die Vertrauenswürdigkeit der digitalen Signatur nicht zeitgleich mit dem Code-Signing-Zertifikat abläuft. Das bedeutet, auch wenn ein Code-Signing-Zertifikat abläuft, weiß der Time-Stamp-Dienst, dass die Signatur der Software zum Zeitpunkt der Signierung gültig war. Somit bleibt die Signatur auch über die Laufzeit des Code-Signing-Zertifikats hinaus gültig.

Sieht der Benutzer, dass eine Applikation signiert wurde?

Ja, der Benutzer kann sich die Signatur anzeigen lassen. Wie die Signatur angezeigt wird, ist von Betriebssystem zu Betriebssystem unterschiedlich. Unter Windows kommt es beispielsweise zu einer Fehlermeldung/Warnung, falls versucht wird eine unsignierte Software zu installiert.

Was geschieht wenn das Code-Signing-Zertifikat widerrufen wurde?

Wenn kein Zeitstempel beim Signieren verwendet wurde, wird die Signatur ungültig. Wurde ein Zeitstempel verwendet, war die Signatur bzw. das Code-Signing Zertifikat zu dem Zeitpunkt gültig und somit bleibt die Signatur auch gültig aber mit der Meldung, dass das Zertifikat revoziert wurde.

Welchen Vorteil haben Multipattform Code-Signing-Zertifikate?

Multiplattform Code-Signing-Zertifikate sind plattformunabhängig und eignen sich besonders gut für Unternehmen, die unterschiedliche Applikationen und Anwendungen (z.B. Java und Microsoft) digital signieren möchten.

Wo finde ich mein Code-Signing-Zertifikat, wenn es über den Browser generiert wurde?

Alle ab dem 01. Februar ausgestellten Code-Signing-Zertifikate müssen auf einem externen Gerät gespeichert werden. Zu keinem Zeitpunkt sollte der Private Schlüssel online in einem Web-Browser gesichert werden. D.h. Zertifikatsanforderungen (CSR) und der Private Schlüssel dürfen nicht mehr im Browser generiert werden.

Wie verlängere ich mein Code-Signing-Zertifikat?

Die Verlängerung eines Code-Signing-Zertifikates funktioniert mit uns als Partner wie eine Neubestellung. Bitte gehen Sie hierzu auf unsere Webseite und bestellen Ihr gewünschtes Code-Signing-Zertifikat.

Aus welchem Grund laufen Code-Signing-Zertifikate ab?

Der Zweck, der mit der begrenzten Laufzeit eines Code-Signing-Zertifikats verfolgt wird, liegt in der erhöhten Absicherung des Nutzers eines Zertifikats wie auch des Zertifikatsinhabers. Wenn ein Zertifikat verlängert wird, ist es notwendig, die Identität des Inhabers erneut zu prüfen. Dies wird durch die Zertifikatsstelle vorgenommen und bestätigt damit ein weiteres Mal die Seriosität der Quelle einer Anwendung und garantiert Ihnen als Inhaber das Vertrauen der Nutzer. Zum anderen bietet die Aktualität der Prüfung für den Nutzer die Gewissheit, dass die Anwendung sicher ist.

Ist Code mit Time-Stamp noch gültig, wenn das Code-Signing-Zertifikat schon abgelaufen ist?

Der Time-Stamp garantiert, dass der Code valide bleibt. Dies gilt auch, wenn Ihr Zertifikat abläuft. In der Regel kann die Software der Nutzer feststellen, ob ein Code mit einem veralteten Zertifikat signiert wurde und damit nicht seriös ist oder der Code mit einem gültigen Zertifikat signiert wurde, dann aber später abgelaufen ist und somit vertrauenswürdig ist.

Kann ich das gleiche Code-Signing-Zertifikat auf mehreren Computern nutzen?

Ja, beim Code-Signing ist es möglich Ihr Zertifikat auf verschiedenen Computern zu nutzen, allerdings nicht gleichzeitig. Sie müssen hierfür lediglich den Token (USB-Stick), der das Zertifikat enthält, an den Rechner anschließen auf dem Sie das Zertifikat verwenden möchten. Natürlich benötigen Sie dann erneut Ihr Passwort. Nach korrekter Eingabe ist die Signierung Ihrer Software auch auf einem anderen Computer möglich. Optimal ist dies, wenn mehrere Entwickler Ihres Unternehmens Code signieren möchten.

Was ist die digitale Treibersignatur?

Die Code Signierung, bei der der Treiber mit einer elektronischen Signatur unterzeichnet wird, funktioniert ähnlich wie eine signierte Mail. Die Herkunft eines signierten Treiber kann eindeutig bestimmt werden und die ungewollte Veränderung des Quellcodes offengelegt werden. Unter Windows-Betriebssystemen wird die Signatur aller Treiber vorausgesetzt. Hiermit soll erzielt werden, dass das System nicht unnötig mit unsicheren oder manipulierten Treibern belastet wird. Daher empfiehlt sich für Treiberentwickler die Signierung mit einem Code Signing-Zertifikat.

Wie oft kann ich ein Code Signing-Zertifikat zur Signierung von Code verwenden?

Mit einem einzigen Code Signing-Zertifikat ist es Ihnen während der Zertifikatslaufzeit möglich, beliebig oft zu Signieren. Ein weiterer Vorteil für Sie: Die Gültigkeit der Signatur besteht auch nach Ablauf des Zertifikats aufgrund der Zeitstempelfunktion.