Sectigo Code-Signing
MERKMALE
- Certificate Authority: Sectigo
- Sitz der CA: Vereinigtes Königreich
- Validierungstyp: Organization Validation
- Ausstellungszeitraum*: 1-2 Werktage
- Signatur Hashalgorithmus: SHA-2
- CSR: eigenes & browserbasiertes CSR
VORTEILE
verfügbare Plattformen:
Eine Validierung gibt dem Empfänger des Zertifikats die Gewissheit, dass die darin enthaltenen Informationen korrekt sind und von einer vertrauenswürdigen Quelle geprüft wurden.
1. Personenvalidierung
- Da der Zertifikatsinhaber mit dem Vor- und Nachnamen im Zertifikat eingetragen wird, muss sichergestellt werden, dass es sich um eine echte, natürliche Person handelt.
- Dazu wird von dem Zertifikatsinhaber eine Kopie der Vorderseite des Personalausweises benötigt.
- Zusätzlich ist ein Selbstporträt (Selfie) des Zertifikatsinhabers erforderlich, in welchem der Personalausweis (Vorderseite) gut lesbar hochgehalten wird.
Hinweis: Welche Daten auf dem Personalausweis geschwärzt werden dürfen, wird in unserem PSW GROUP Support Bereich beschrieben.
- Die Organisation, die im Zertifikat eingetragen wird, muss auf Ihre Existenz überprüft werden.
- In entsprechenden Registerportalen wird nach der Inhaberorganisation gesucht. Die Organisationsdaten der Bestellung müssen zu 100 % mit den Daten aus dem entsprechenden Register übereinstimmen.
Erlaubte Registerportale:
www.handelsregister.de
www.zefix.ch
www.firmenbuch.at
- In entsprechenden Registerportalen wird nach der Inhaberorganisation gesucht. Die Organisationsdaten der Bestellung müssen zu 100 % mit den Daten aus dem entsprechenden Register übereinstimmen.
- Zusätzlich wird in öffentlichen Telefonverzeichnissen ebenfalls nach der Inhaberorganisation gesucht. Der Telefonbucheintrag muss ebenfalls zu 100 % zu dem entsprechenden Registereintrag passen.
Für Organisationen mit Sitz in Deutschland sind die nachfolgenden Telefonbuchquellen erlaubt. Für Organisationen mit Sitz außerhalb von Deutschland muss die Telefonnummer anhand einer unter www.thisnumber.com aufgeführten Datenbank nachgewiesen werden.
www.dasoertliche.de
www.dastelefonbuch.de
www.gelbeseiten.de - Über die Telefonnummer aus dem öffentlichen Telefonverzeichnis findet anschließend eine telefonische Validierung mit dem Ansprechpartner für die Validierung statt. Im Anruf werden die Firmendaten und das bestellte Produkt noch einmal abgeglichen.
Hinweis: Die Rufnummer für die telefonische Validierung kann nicht frei gewählt werden. Durchwahlen oder Handynummern können, sofern diese nicht in einem öffentlichen Telefonverzeichnis eingetragen sind, nicht berücksichtigt werden.
BUSINESS PRACTICES DISCLOSURE
Since the year 2000, well-known companies have relied on the expertise, services and solutions of PSW GROUP. During these times we have developed into one of the leading service providers for certificate solutions in Germany. We successfully cooperate with the largest certification authorities worldwide.
Our goal is to provide our customers with the best possible service and to offer them exactly the product that meets their requirements. An important part is the pre-validation of organization-validated and extended validated SSL, S/MIME and Code Signing certificates. For the CAs for which we perform these validation activities, we verify the identity of the subscriber/certificate holder and usually perform the validation call in German. Our customers in the German-speaking countries greatly appreciate this service. In accordance with Webtrust requirements for Registration Authorities (RA), we provide the following information about the actions we perform as part of our work for Sectigo.
An important part is the pre-validation of organization-validated and extended validated SSL and Code Signing certificates. For the CAs for which we perform these validation activities, we verify the identity of the subscriber/certificate holder and usually perform the validation call in German. Our customers in the German-speaking countries greatly appreciate this service.
The complete Business Practices Disclosure you can find here.
BESTSELLER
Die beliebtesten Produkte unserer Kunden
Code Signing und Code Signing Zertifikate – Das können Sie erwarten!
Mit dem Voranschreiten der Digitalisierung wuchsen die Anforderungen in der IT-Sicherheit der letzten Jahre: So auch in dem Bereich der Entwicklung und der Programmierung von Programmen, Applikationen und Software-Anwendungen.
Code Signing ist eine Lösung in der IT-Sicherheit, die den Zweck hat, die Identität des Herstellers oder des Entwicklers des programmierten Codes darzustellen und die Authentizität des Codes zu bestätigen.
Was ist ein Code Signing Zertifikat bzw. die Codesignatur?
Das englische Wort „Code Signing“ beschreibt den Vorgang, den Software Entwickler nutzen, um mithilfe eines entsprechenden Zertifikats ihren programmierten Code zu signieren. Die Codesignatur kann man hierbei als digitale Unterschrift für Programmen, Apps und Software bezeichnen.
Code Signing ist notwendig, um den Ursprung der Software eindeutig dem Entwickler zuzuordnen und den Hersteller des Programms nachzuweisen. Somit ist die Codesignatur eine Sicherheitsmaßnahme, bei der sich Unternehmen und Nutzer darauf verlassen können, dass die Software vom angegebenen Hersteller stammt und von einer unabhängigen Instanz (Zertifizierer des Code Signing Zertifikats) abgesegnet und nicht von einem unbekannten Dritten manipuliert wurde.
Die Codesignatur in der Praxis: So funktioniert ein Code Signing Zertifikat
Code Signing beweist die Authentizität des Entwicklers bzw. des Herstellers durch eine Binärdatei (mit Hash und Prüfsumme) und der digitalen und verschlüsselten Unterschrift des Entwicklers in Kombination mit dem Code Signing Zertifikat des unabhängigen Anbieters, dass die Software nicht kompromittiert wurde.
Zum vergrößern das Bild anklicken.
Das Zertifikat signalisiert Ihren Nutzern und Kunden von ActiveX-Controls bis hin zu Java-Applets-, dass deren Code authentisch ist und nicht durch Dritte manipuliert wurde. Durch weitere Informationen zum Datei-Ursprung ist das Code Signing Zertifikat für die Software-Entwickler und Herausgeber unabdingbar, um Ihren Nutzern die maximale Sicherheit zu bieten!
Die Sicherheitsmaßnahme aktueller Betriebssysteme sind zum Teil so konzipiert worden, dass diese Programme ohne diese digitale Software Signierung (Code Signing) nicht zulassen oder diese vor der Installation warnen.
Vorteile des Code Signings
Code Signing Zertifikate bietet als Anwendungssignatur folgende Vorteile:
- die Authentizität von Anwendungen zu verifizieren;
- Entwicklervertrauen aufzubauen und deren Ruf zu schützen;
- Manipulationen und Man-in-the-Middle-Angriffe zu verhindern;
- vor Malware zu schützen, die sich als unverdächtige Anwendung tarnen;
- Fehlermeldungen zu verhindern;
- gefälschte Anträge zu verhindern.
FAQ: Die meistgestellten Fragen rund um Code Signing
Mit einem speziellen digitalen Zertifikat, dem Code Signing-Zertifikat, können Entwickler Ihren erstellten Code schützen und dadurch die Integrität und Echtheit sicherstellen. In unserem FAQ erklären wir Ihnen, was Sie bei Code Signing-Zertifikaten beachten sollten.
Ja, die gewählte Plattform beeinflusst auch die Signierungs-Anforderungen. Zum Beispiel wirkt sich das Dateiformat auf die Anforderungen an die Code-Signierung aus. So bestehen andere Voraussetzungen für bspw. Java .jar-Dateien im Vergleich zum Signieren von Apps unter OS X und iOs.
- für die Betriebssysteme Windows 9x, XP, Vista und Windows 7 mit der bewährten Microsoft Authenticode- Technologie – ganz gleich ob im 32-Bit- oder im 64-Bit- Benutzermodus. Wichtigste Formate: exe-, .cab-, .dll-, .ocx-, .msi-, .xpi- und .xap-Dateien.
- für Sun Java beziehungsweise für die auf über 850 Millionen Rechnern installierte „Java Runtime Environment“ (JRE) sowohl für Desktop-Computer als auch für mobile Endgeräte. Wichtigste Formate sind: .jar-Dateien und Java-Anwendungen.
- für Microsoft Office basierend auf Microsoft Visual Basic for Applications (VBA). Wichtigste Formate sind: VBA-Objekte, Skripts und Makros für .doc-, .xls- und .ppt-Dateien.
- für Adobe AIR und damit für eine der wichtigsten plattformunabhängigen Laufzeitumgebungen und Betriebssysteme wie Android, BlackBerry Tablet OS, iOS, Mac OS X und Windows. Wichtigste Formate sind: Rich Internet Applications, Adobe Ajax- und Flex-Dateien.
- für Mozilla und Netscape Objects, somit können dem Nutzer die zertifizierten Applikationen in den Browsern Firefox und Thunderbird als vertrauenswürdig angezeigt werden. Wichtigste Formate sind: Mozilla XPI Programmpakete und Browser-Add-ons.
Für die Validierung wird der Name der Organisation, nachgewiesen durch den entsprechenden Registerauszug, benötigt. Einzige Ausnahme: bei Thawte Individuals (für Einzelpersonen/Gewerbetreibende) wird der Name der Person, nachgewiesen durch den gültigen Personalausweis/Reisepass bzw. den Gewerbeschein, benötigt. Für weitere Fragen kontaktieren Sie bitte unseren Support.
Ja, es gibt speziell für Privatpersonen und Gewerbetreibende das Thawte Code-Signing for Individuals. Falls Sie Interesse an diesem Produkt haben, kontaktieren Sie bitte unseren Support unter support(at)psw.net.
Die Systeme verlangen unterschiedliche Dateiformate, daher kann es sein, dass Sie Ihr Code-Signing- Zertifikat in ein bestimmtes Format konvertieren müssen. Dies können Sie einfach mit OpenSSL tun, je nach Format nutzen Sie bitte folgende OpenSSL-Befehle:
DER- Datei (.crt .cer .der) in PEM umwandeln
openssl x509 -inform der -in certificate.cer -out certificate.pem
PEM- Datei in DER umwandeln
openssl x509 -outform der -in certificate.pem -out certificate.der
PKCS#12-Datei (.pfx .p12) welche das Zertifikat und den privaten Schlüssel beinhaltet in PEM umwandeln
openssl pkcs12 -in keyStore.pfx -out keyStore.pem -nodes
Sie können den Befehl -nocerts hinzufügen um zusätzlich den Privaten Schlüssel zu extrahieren oder mit -nokeys nur die Zertifikate aus der PKCS#12-Datei zu extrahieren
Zertifikat als PEM-Datei und privaten Schlüssel in eine PKCS#12-Datei (.pfx .p12) umwandeln
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
Das CA/Browser-Forum beschloss alle nach dem 01.01.2017 noch aktiven Zertifikate, die mit dem SHA-1-Algorithmus unterzeichnet sind als nicht mehr vertrauenswürdig einzustufen. Das bedeutet, dass ab dem 01.01.2016 keine SHA-1-Zertifikate mehr ausgestellt werden dürfen. Dies betrifft auch Code-Signing-Zertifikate.
Daher werden bei Sectigo (ehemals Comodo), GlobalSign, Symantec, SwissSign, Thawte Code-Signing-Zertifikate Standardmäßig mit dem Unterzeichnungsalgorithmus SHA-2 ausgestellt.
Speziell für Microsoft Windows Vista und Windows 2008 stellt Sectigo (ehemals Comodo) das Code-Signing Legacy-Zertifikat aus, da diese Anwendungen im Moment noch kein SHA-2 unterstützen!
Ob ein Code-Signing-Zertifikat korrekt in eine Anwendung eingebunden ist erkennen Sie am schnellsten an der Signatur. Bei der Prüfung der Signatur erhalten Sie die Meldung: Signatur ungültig. Sollten Sie diese Meldung erhalten kontaktieren Sie unseren Support unter support(at)psw.net.
Die großen Preisunterschiede sind auf die Preispolitik der jeweiligen CA zurückzuführen.
Ein Code-Signing-Zertifikat ist die digitale Signatur, welche die Identität des Zertifikatsinhabers und die Integrität des Programmcodes bestätigt. Die digitale Signatur ist der Unterschrift des Zertifikatsinhabers gleichzusetzen. Zusätzlich wird mittels eines Algorithmus der Hash über den Programmcode gebildet. Wird dieser nach dem Signaturvorgang verändert, ändert sich auch der Hash-Wert - es kommt zu einer Hinweismeldung für den Anwender. Somit schafft das Code-Signing-Zertifikat mehr Vertrauen in Ihre Applikation/Ihr Programm und der Anwender kann sicher sein, dass die heruntergeladene Software nicht manipuliert wurde und somit authentisch ist.
Der Inhalt der Applikation/des Programms wird hingegen nicht überprüft.
Die einzelnen Code-Signing-Zertifikate unterscheiden sich zunächst in ihrer Anwendungsart sowie in der Validierungsart (EV-Code-Signing-Zertifikate). Wir bieten Code-Signing-Zertifikate zum Signieren unterschiedlicher Applikationen und Plattformen (beachten Sie hier die jeweiligen Produktbeschreibungen). Als ein weiteres Unterscheidungsmerkmal sind die ausstellenden CAs (Zertifizierungsstellen) zu nennen.
Leider nein. Zum Signieren von PDF Dokumenten benötigen Sie PDF Signing-Zertifikate.
Ein Time-Stamp ist ein Zeitstempel. Er stellt sicher, dass die Vertrauenswürdigkeit der digitalen Signatur nicht zeitgleich mit dem Code-Signing-Zertifikat abläuft. Das bedeutet, auch wenn ein Code-Signing-Zertifikat abläuft, weiß der Time-Stamp-Dienst, dass die Signatur der Software zum Zeitpunkt der Signierung gültig war. Somit bleibt die Signatur auch über die Laufzeit des Code-Signing-Zertifikats hinaus gültig.
Ja, der Benutzer kann sich die Signatur anzeigen lassen. Wie die Signatur angezeigt wird, ist von Betriebssystem zu Betriebssystem unterschiedlich. Unter Windows kommt es beispielsweise zu einer Fehlermeldung/Warnung, falls versucht wird eine unsignierte Software zu installiert.
Wenn kein Zeitstempel beim Signieren verwendet wurde, wird die Signatur ungültig. Wurde ein Zeitstempel verwendet, war die Signatur bzw. das Code-Signing Zertifikat zu dem Zeitpunkt gültig und somit bleibt die Signatur auch gültig aber mit der Meldung, dass das Zertifikat revoziert wurde.
Multiplattform Code-Signing-Zertifikate sind plattformunabhängig und eignen sich besonders gut für Unternehmen, die unterschiedliche Applikationen und Anwendungen (z.B. Java und Microsoft) digital signieren möchten.
Alle ab dem 01. Februar ausgestellten Code-Signing-Zertifikate müssen auf einem externen Gerät gespeichert werden. Zu keinem Zeitpunkt sollte der Private Schlüssel online in einem Web-Browser gesichert werden. D.h. Zertifikatsanforderungen (CSR) und der Private Schlüssel dürfen nicht mehr im Browser generiert werden.
Die Verlängerung eines Code-Signing-Zertifikates funktioniert mit uns als Partner wie eine Neubestellung. Bitte gehen Sie hierzu auf unsere Webseite und bestellen Ihr gewünschtes Code-Signing-Zertifikat.
Der Zweck, der mit der begrenzten Laufzeit eines Code-Signing-Zertifikats verfolgt wird, liegt in der erhöhten Absicherung des Nutzers eines Zertifikats wie auch des Zertifikatsinhabers. Wenn ein Zertifikat verlängert wird, ist es notwendig, die Identität des Inhabers erneut zu prüfen. Dies wird durch die Zertifikatsstelle vorgenommen und bestätigt damit ein weiteres Mal die Seriosität der Quelle einer Anwendung und garantiert Ihnen als Inhaber das Vertrauen der Nutzer. Zum anderen bietet die Aktualität der Prüfung für den Nutzer die Gewissheit, dass die Anwendung sicher ist.
Der Time-Stamp garantiert, dass der Code valide bleibt. Dies gilt auch, wenn Ihr Zertifikat abläuft. In der Regel kann die Software der Nutzer feststellen, ob ein Code mit einem veralteten Zertifikat signiert wurde und damit nicht seriös ist oder der Code mit einem gültigen Zertifikat signiert wurde, dann aber später abgelaufen ist und somit vertrauenswürdig ist.
Ja, beim Code-Signing ist es möglich Ihr Zertifikat auf verschiedenen Computern zu nutzen, allerdings nicht gleichzeitig. Sie müssen hierfür lediglich den Token (USB-Stick), der das Zertifikat enthält, an den Rechner anschließen auf dem Sie das Zertifikat verwenden möchten. Natürlich benötigen Sie dann erneut Ihr Passwort. Nach korrekter Eingabe ist die Signierung Ihrer Software auch auf einem anderen Computer möglich. Optimal ist dies, wenn mehrere Entwickler Ihres Unternehmens Code signieren möchten.
Die Code Signierung, bei der der Treiber mit einer elektronischen Signatur unterzeichnet wird, funktioniert ähnlich wie eine signierte Mail. Die Herkunft eines signierten Treiber kann eindeutig bestimmt werden und die ungewollte Veränderung des Quellcodes offengelegt werden. Unter Windows-Betriebssystemen wird die Signatur aller Treiber vorausgesetzt. Hiermit soll erzielt werden, dass das System nicht unnötig mit unsicheren oder manipulierten Treibern belastet wird. Daher empfiehlt sich für Treiberentwickler die Signierung mit einem Code Signing-Zertifikat.
Mit einem einzigen Code Signing-Zertifikat ist es Ihnen während der Zertifikatslaufzeit möglich, beliebig oft zu Signieren. Ein weiterer Vorteil für Sie: Die Gültigkeit der Signatur besteht auch nach Ablauf des Zertifikats aufgrund der Zeitstempelfunktion.