DigiCert CS EV – einfachste Weg zur Signierung von Anwendungen

25.07.2019 | Petra Alm

Ohne die Zertifikate für Signierung von Codes (Code Signing Zertifikate) kommen Autoren von Anwendungen und Java Applets nicht aus. Ohne diesen Zertifikatstyp könnten sie ihre Software nicht verbreiten und den Nutzern anbieten. Ein vertrauenswürdiges Zertifikat für die Software-Entwicklung lässt sich am einfachsten mit dem Produkt DigiCert Code Signing EV erwerben. Dieses vertrauenswürdigste Code Signing Zertifikat stellt die beste Lösung dar.

Signierung von Anwendungen ist ein Muss

Eine Applikation auf dem Internet zu veröffentlichen ist einfach und somit kann sein Produkt jeder anbieten. Jeder kann aber diese Anwendung auch herunterladen, abändern – zum Beispiel einen schädlichen Code einfügen – und weiterverbreiten. Der zukünftige Nutzer wird nicht erkennen können, ob die heruntergeladene App die rechte ist und ob sie tatsächlich von dem angegebenen Hersteller stammt. Von der theoretisch geänderten würde er sie also nicht unterscheiden können. Aus diesem Grund werden die Prinzipien der digitalen Unterschrift also auch bei der Entwicklung von Applikationen und allgemein von jeglichen Software-Produkten angewendet, die für Endnutzer bestimmt sind.

Die mit der digitalen Signatur des Besitzers eines Code Signing Zertifikats versehene Anwendung authentifiziert diesen als ihren Autor und authentifiziert auch die Zeit der Ausstellung eindeutig. Die gültige digitale Unterschrift belegt weiter, dass die Daten nicht geändert worden sind, also dass in sie niemand seit der Ausstellung und Signierung eingegriffen hat. Das Signieren bringt also die folgenden Vorteile mit: Authentifizierung der Herkunft, Unabänderlichkeit und Integrität.

Unterschied zwischen einem CS und CS EV Zertifikat

Ein Code Signing Zertifikat stattet die Anwendung mit einer vertrauenswürdigen digitalen Signatur aus. Fraglich bleibt, wie sich zu dieser Signatur das Operationssystem des Nutzers stellen wird. Konkret Microsoft Windows bestimmt die (Nicht)-Vertrauenswürdigkeit nach seiner eigenen, nicht transparenten Methodik. Sein Mechanismus wird als SmartScreen Filter benannt und früher war er nur im Internet Explorer zu finden, heutzutage stellt es jedoch einen Teil des ganzen Systems dar. SmartScreen teilweise blockiert  auch die vertrauenswürdig signierten Anwendungen, weil sie wegen einer niedrigen Anzahl von Downloads über keine Reputation verfügen.

Dieses Risiko der Blockierung werden Sie dank dem Code Signing EV Zertifikat los. Eine mit diesem Zertifikat signierte Anwendung wird von dem System nie blockiert. Der zweite große Vorteil des Code Signing EV Zertifikats liegt in seiner Speicherung auf einem Token. Während für die sichere Aufbewahrung eines üblichen Code Signing Zertifikats der Nutzer selbst verantwortlich ist, ist das CS EV Zertifikat zusammen mit dem privaten Schlüssel auf einem Token gespeichert und somit vor Diebstahl und Missbrauch geschützt. Es lässt sich nicht exportieren und für die Zertifikatsnutzung muss ein Passwort eingegeben werden. Und falls das Passwort mehrmals falsch eingegeben wird, wird der Inhalt des Tokens unwiederbringlich gelöscht.

HW-Token mit dem gespeicherten Zertifikat

Möchten Sie ohne Zeitverlust signieren?

Die oben genannten Gründe sprechen eindeutig für das Code Signing EV Zertifikat. Am einfachsten können Sie es von der CA DigiCert erwerben.

Dieses Zertifikat werden Sie auch gleich nutzen können. Sie geben die Bestellung auf, die Zertifizierungsstelle überprüft die rechtliche Existenz Ihres Unternehmens und stellt das Zertifikat aus – genauer gesagt expediert es zu Ihnen. Das Zertifikat erhalten Sie von der Zertifizierungsstelle auf dem Token bereits eingespielt. Sie müssen es also nicht abholen und nachfolgend auf das Token importieren (wie bei dem Symantec Code Signing EV).

Die Bedienungsanwendung Safenet (für alle Hauptplattformen nutzbar) stellt sicher, dass Ihnen das neue EV-Zertifikat in dem Default-Speicher des Systems angezeigt wird. Somit brauchen Sie fürs Signieren nichts Neues lernen. Sie werden wie bisher signieren können und nur bei der Signierung selbst geben Sie das Passwort zu dem Zertifikat ein, welches Sie selbst wählen.

Wie wir schon oben erwähnt haben, erfordert das Zertifikat mit dem privaten Schlüssel ein Passwort und lässt sich von dem Token nicht exportieren. Sie können sicher sein, dass das Zertifikat von niemandem missbraucht wird und dass mit dem guten Namen und Ruf Ihrer Firma keine betrügerischen Anwendungen signiert werden.

Das Token ist nicht nur einmalig nutzbar. Sie können es auch für die Erneuerung (Verlängerung) des Zertifikats ausnutzen und darauf sogar mehrere Zertifikate verschiedener Typs speichern. Zum Beispiel Ihr DigiCert Document Signing für Signierung von Dokumenten, vor allem von PDF.

Sollten Sie bei der Auswahl, oder der Signierung einen Rat benötigen, sind wir für Sie gerne da.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de