Code-Signing-Zertifikate sorgen dafür, dass Code nicht von Angreifern manipuliert werden kann, und schützen so den Endanwender.
TLS/SSL-Zertifikate werden zum Herstellen einer verschlüsselten Verbindung zwischen einem Browser oder dem Computer eines Anwenders und einem Server oder einer Website verwendet. Auch dies dient dem Schutz von Endanwendern.
Es handelt sich jedoch um unterschiedliche Arten von Zertifikaten, die nicht einfach gegeneinander ausgetauscht werden können.
Code-Signing-Zertifikate werden zur Authentifizierung des Softwareentwicklers oder -herausgebers eingesetzt und gewährleisten, dass die Software nicht verändert oder manipuliert wurde. Softwareentwickler können mit Code-Signing-Zertifikaten Anträge, Treiber, ausführbare Dateien und Softwareprogramme digital signieren, sodass Endanwender sicher sein können, dass der hinterlegte Code nicht von Dritten manipuliert wurde. Ein solches Zertifikat enthält die Signatur des Herausgebers, den Firmennamen und bei Bedarf auch einen Zeitstempel.
SSL (Secure Sockets Layer) ist die Standardtechnologie für die Absicherung von Internetverbindungen durch die Verschlüsselung der Daten, die zwischen einer Website und einem Browser (oder zwischen zwei Servern) übertragen werden. Durch SSL-Zertifikate wird verhindert, dass Hacker die übertragenen Informationen, darunter personenbezogene oder Finanzdaten, mitlesen oder stehlen können.
TLS (Transport Layer Security) ist eine aktualisierte Version von SSL, die noch stärkere Sicherheit bietet. Manche reden in Bezug auf Sicherheitszertifikate weiterhin oft von SSL, da dieser Begriff am geläufigsten ist. Wenn Sie jedoch Zertifikate von DigiCert erwerben, kaufen Sie tatsächlich die aktuellsten, vertrauenswürdigsten TLS-Zertifikate.
TLS-Zertifikate können nicht für Code Signing verwendet werden. Für Code Signing und für TLS müssen jeweils separate Zertifikate verwendet werden.
Code-Signing-Zertifikate werden zum Verschlüsseln von Software verwendet, TLS-Zertifikate hingegen verschlüsseln die Verbindungen auf einer Website. Beide dienen jedoch dem Schutz von Endanwendern und Unternehmen.
Wenn Sie diese Zertifikate nicht einsetzen, wird Anwendern eine Warnung angezeigt. Dies könnte sie dazu veranlassen, Ihre Dienste nicht mehr nutzen zu wollen.
Sie benötigen ein Code-Signing-Zertifikat, wenn Sie Software und Updates bereitstellen möchten, um Ihr geistiges Eigentum und Anwender zu schützen sowie branchen- und plattformspezifische Anforderungen zu erfüllen.
Anhand von Code-Signing-Zertifikaten erkennen Ihre Kunden, dass Ihr Code authentisch ist und nicht manipuliert wurde. Das schützt sowohl Sie als auch Ihre Kunden vor Betrug, Malware und Diebstahl. Ihre Kunden erwarten, dass die Installation Ihrer Software nach dem Herunterladen reibungslos und professionell abläuft. Mit digital signierten Programmen können Sie Warnmeldungen beim Herunterladen und Installieren verhindern und so für eine bessere Akzeptanz Ihrer Software sorgen.
Zudem erwarten Ihre Partner und Kunden, dass Sie die personenbezogenen Daten ihrer Kunden auf allen Kanälen und Plattformen schützen und Best Practices hinsichtlich Code-Signing anwenden.
DigiCert bietet sowohl Code-Signing-Zertifikate als auch Code Signing mit EV. Code-Signing-Zertifikate bieten eine verschlüsselte digitale Signatur. Mit Code-Signing-Zertifikaten mit Extended Validation (EV) profitieren Sie von allen üblichen Vorteilen sowie von einer umfassenden Prüfung der Unternehmensidentität und Zwei-Faktor-Authentifizierung – damit Ihre Benutzer Ihren Anwendungen noch leichter vertrauen können. Ein weiteres Plus: Beim Zuverlässigkeitsfilter im Microsoft Defender SmartScreen erhalten Sie mit einem EV-Code-Signing-Zertifikat automatisch den Vertrauenswürdigkeitsstatus und verringern so Warnmeldungen, die das Vertrauen von Kunden schmälern könnten.
Schlecht verwaltetes Code Signing kann Ihr Unternehmen großer Gefahr aussetzen. Vorfälle wie der Angriff auf SolarWinds zeigen deutlich, welche Folgen schlechte umgesetzte Code-Signing-Verfahren haben.
Umfragen zufolge befürchten mehr als die Hälfte der IT-Sicherheitsexperten, dass Cyberkriminelle Zertifikate stehlen oder fälschen könnten, um eigenen Code oder Anwendungen zu signieren. Dennoch setzt nur ein Drittel der Befragten Code-Signing-Richtlinien konsequent um. DigiCert bietet Unternehmen innovative Lösungen zur Vereinfachung der Code-Signing-Verwaltung.
Der Secure Software Manager in DigiCert ONE™ ist ein modernes Tool für die Code-Signing-Verwaltung, das mit Modellen für die übertragbare, flexible Bereitstellung und sichere Schlüsselverwaltung automatisch alle Pipelines für die Continuous Integration / Continuous Delivery (CI/CD) absichert. Der Secure Software Manager unterstützt Best Practices für das Code Signing, zum Beispiel pro Vorgang einmalige private Schlüssel und Zertifikate sowie On-Demand-Schlüssel und rotierende Schlüssel. Er ist mit den meisten häufig genutzten Plattformen und Bibliotheken kompatibel, darunter Docker, Microsoft Authenticode, Java, OpenSSL und Android. Mit dem Secure Software Manager lässt sich Code bequem in den Produktentwicklungsprozess integrieren, wobei kryptografische Vorgänge, das Signieren und die Verwaltung auf kontrollierte, nachvollziehbare Weise ablaufen.