首页>安全资讯>沃通代码签名证书,保护代码安全、赢得用户信任

沃通代码签名证书,保护代码安全、赢得用户信任

软件代码开发需要开发者投入大量精力和人力物力,但您的软件代码发布到互联网上后可能会发生各种状况,软件代码可能受到黑客攻击、病毒感染或任何方式的篡改,也可能因为“发布者身份未知”的系统警告吓跑用户。而用户要找到安全可靠的软件程序也并不容易,在互联网上下载Java程序、插件、ActiveX控件或其他可执行文件时,无法了解软件发布者的真实身份信息,也无从得知这些软件包有没有被篡改,甚至植入病毒木马,这使得用户在运行代码程序时承担了较大的安全风险。

代码签名机制是基于PKI技术的成熟机制,帮助开发者和最终用户建立安全信任的软件发布环境和使用环境。代码签名证书是由权威CA机构认证开发者身份后颁发,提供给软件开发者对其开发的软件代码进行数字签名,附上可信身份证明并保护代码完整性,防止软件代码被仿冒或篡改。用户下载软件时,操作系统或浏览器可通过数字签名验证软件代码来源可信,且没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害。

较新的操作系统和浏览器都设置较高级别的网络安全策略,要求应用程序、驱动程序和软件程序添加数字签名。例如,Internet Explorer 利用 Authenticode 技术来识别签名软件的发布者,并确认它没有被篡改;Windows用户帐户控制(UAC)会对任何交互式应用程序强制执行数字签名检查。

当用户从某网站下载代码签名文件时,浏览器可以从文件中提取证书,通过证书颁发机构的信任列表、颁发机构信息访问 (AIA) 检查等途径验证证书中的签名,每个证书均要进行各种相关参数的有效性验证,如名称、时间、签名、吊销状态以及其他限制。如果签名软件以任何方式被篡改,则会破坏数字签名,操作系统或浏览器会提醒用户代码已修改且不再可信。

沃通代码签名证书是由全球信任顶级根签发,根证书预置在操作系统和浏览器的受信任列表,以及大部分设备和应用程序中,无缝实现签名代码验证和信任。根据验证等级和功能不同,沃通代码签名证书分为单位代码签名证书和EV代码签名证书。

两类代码签名证书都需要验证软件开发机构的单位真实身份,都支持多用途的普通代码签名,但沃通EV代码签名证书需要遵循更加严格的扩展验证标准,并采用更安全的私钥存储方式( USB Key硬件存储),也具备更丰富的应用功能,EV代码签名证书支持Windows硬件认证(即徽标认证),可以用它建立Windows硬件开发人员中心仪表板账号,并支持在Windows SmartScreen筛选器中快速建立信誉,让程序流畅运行。

对于程序开发者或软件发布者而言,在激烈的软件市场竞争中,软件代码就是您的声誉,如果您的软件版本受到黑客攻击、病毒感染或以任何方式发生篡改,将遭受系统拦截、查杀,损害用户对软件的信任和使用软件的信心,对软件代码带来致命打击。利用代码签名证书保护软件代码安全、建立软件信誉,是软件代码发布前必须做到的重要工作。

沃通原创文章,转载请注明出处

相关资讯

国密SM2 SSL证书全生态支持与全球信任解决方案

沃通作为国内领先的SSL证书签发CA,早在2014年就已经开始了采用国密算法签发SM2 SSL证书的研究,并取得了可喜的研究成果。我们充分认识到国密SSL证书要达到实用和大量部署使用还需要相关系统的支持,如浏览器和服务器软件。同时,还要考虑到其通用性与全球性,即网站用户可能使用各种不同的浏览器和用户来自世界各地。所以,我们一直在持续研究基于国密算法实现https网站加密的完整解决方案。

SM2证书的鉴定方法

SM2证书在Windows系统上,可以通过查看证书属性中的签名算法和公钥算法来判断是否为SM2的证书。直接双击证书,安装到IE中,查看证书信息,Win7以上的操作系统对ECC的算法可以简单识别,有些信息还是不能完全识别,ECC算法后面显示的长度为0bits,是因为不能完全识别的原因。

最新资讯

代码签名证书原理和作用

Hash算法的特点、应用和实现方法详解

rsa算法产生的过程与原理详解

Windows\Apple\Mozilla\Android删除根证书的方法

Firefox浏览器中出现SSL证书错误的解决方法

标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书