代码签名证书也是数字证书中的一种,专门保护软件。为发布的软件加上数字签名能够标识软件的发布者,消除软件在运行时Window的“未知发布者”弹窗,减少用户的疑虑,提升软件的安装成功率。另外,为软件加上数字签名能够保护软件代码的完整性,帮助用户识别“非我”软件(经过代码签名的软件一经改动,签名将会立即失效)。
代码签名证书可用来签名:.exe、.cab、.dll、.msi、.xap、.ocx、.xpi、.vbs等文件,且有效期内不限制签名次数。
代码签名证书有OV代码签名和EV代码签名之分。两者都能够对软件进行签名,消除“未知发布者”警告,保护软件代码的完整性,不过EV代码签名证书的功能更多更完善。
- 经过EV代码签名的软件会获得SmartScreen 的立即信任,而OV代码签名需要累计到一定的量才能够达到这种信任。
- 经过EV代码签名的软件在下载时没有是否信任警告,跳过了“更多信息”和“仍要运行”选项环节,消除风险警告。因为这些原因,经过EV代码签名的软件用户安装成功率更高。
- EV代码签名证书还支持创建WHQL账号,WHQL认证是微软专门为驱动程序签名提供的解决方案。现在的驱动签名不能直接使用代码签名证书进行签名,必须进行微软的WHQL认证,而EV代码签名证书是创建WHQL账号的前提条件。
- EV代码签名存储在eToken 硬件中(类似U盘),证书的私钥内置在硬件中。而OV代码签名证书是在线文档的形式,证书可被随意转发,使用灵活,但是在分发中被泄露风险极高。
CA/B论坛考虑到OV代码签名证书的存储安全性,发布OV代码签名新使用标准,预计从2022年11月15日起,OV代码签名证书也存储到硬件设备中去。这也意味着后期OV代码签名证书的使用方式将趋向EV代码签名证书,代码签名证书的存储安全性得到了一定的提升。
代码签名证书为软件发布者提供了良好的解决方案,从代码签名证书的不断升级和规范上我们也能感受到代码签名证书有多被重视。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。