Best Practices 02-02-2021

Code-Signing- und TLS/SSL-Zertifikate: Alles Wichtige auf einen Blick

DigiCert

Code-Signing-Zertifikate sorgen dafür, dass Code nicht von Angreifern manipuliert werden kann, und schützen so den Endanwender.

TLS/SSL-Zertifikate werden zum Herstellen einer verschlüsselten Verbindung zwischen einem Browser oder dem Computer eines Anwenders und einem Server oder einer Website verwendet. Auch dies dient dem Schutz von Endanwendern.

Es handelt sich jedoch um unterschiedliche Arten von Zertifikaten, die nicht einfach gegeneinander ausgetauscht werden können.

Was ist ein Code-Signing-Zertifikat?

Code-Signing-Zertifikate werden zur Authentifizierung des Softwareentwicklers oder -herausgebers eingesetzt und gewährleisten, dass die Software nicht verändert oder manipuliert wurde. Softwareentwickler können mit Code-Signing-Zertifikaten Anträge, Treiber, ausführbare Dateien und Softwareprogramme digital signieren, sodass Endanwender sicher sein können, dass der hinterlegte Code nicht von Dritten manipuliert wurde. Ein solches Zertifikat enthält die Signatur des Herausgebers, den Firmennamen und bei Bedarf auch einen Zeitstempel.

Was ist ein TLS/SSL-Zertifikat?

SSL (Secure Sockets Layer) ist die Standardtechnologie für die Absicherung von Internetverbindungen durch die Verschlüsselung der Daten, die zwischen einer Website und einem Browser (oder zwischen zwei Servern) übertragen werden. Durch SSL-Zertifikate wird verhindert, dass Hacker die übertragenen Informationen, darunter personenbezogene oder Finanzdaten, mitlesen oder stehlen können.

TLS (Transport Layer Security) ist eine aktualisierte Version von SSL, die noch stärkere Sicherheit bietet. Manche reden in Bezug auf Sicherheitszertifikate weiterhin oft von SSL, da dieser Begriff am geläufigsten ist. Wenn Sie jedoch Zertifikate von DigiCert erwerben, kaufen Sie tatsächlich die aktuellsten, vertrauenswürdigsten TLS-Zertifikate.

Kann ich ein TLS-Zertifikat für Code Signing verwenden?

TLS-Zertifikate können nicht für Code Signing verwendet werden. Für Code Signing und für TLS müssen jeweils separate Zertifikate verwendet werden.

Unterschied zwischen Code-Signing-Zertifikaten und TLS-Zertifikaten

Code-Signing-Zertifikate werden zum Verschlüsseln von Software verwendet, TLS-Zertifikate hingegen verschlüsseln die Verbindungen auf einer Website. Beide dienen jedoch dem Schutz von Endanwendern und Unternehmen.

Wenn Sie diese Zertifikate nicht einsetzen, wird Anwendern eine Warnung angezeigt. Dies könnte sie dazu veranlassen, Ihre Dienste nicht mehr nutzen zu wollen.

  • Versucht ein Anwender, eine Software herunterzuladen, die nicht mit einem Code-Signing-Zertifikat signiert ist, wird ebenfalls eine Warnmeldung angezeigt.
  • Beim Besuch einer Website ohne TLS-Zertifikat wird im Browser neben der URL die Meldung „nicht sicher“ angezeigt.
Brauche ich ein Code-Signing-Zertifikat?

Sie benötigen ein Code-Signing-Zertifikat, wenn Sie Software und Updates bereitstellen möchten, um Ihr geistiges Eigentum und Anwender zu schützen sowie branchen- und plattformspezifische Anforderungen zu erfüllen.

Anhand von Code-Signing-Zertifikaten erkennen Ihre Kunden, dass Ihr Code authentisch ist und nicht manipuliert wurde. Das schützt sowohl Sie als auch Ihre Kunden vor Betrug, Malware und Diebstahl. Ihre Kunden erwarten, dass die Installation Ihrer Software nach dem Herunterladen reibungslos und professionell abläuft. Mit digital signierten Programmen können Sie Warnmeldungen beim Herunterladen und Installieren verhindern und so für eine bessere Akzeptanz Ihrer Software sorgen.

Zudem erwarten Ihre Partner und Kunden, dass Sie die personenbezogenen Daten ihrer Kunden auf allen Kanälen und Plattformen schützen und Best Practices hinsichtlich Code-Signing anwenden.

Arten von Code-Signing-Zertifikaten

DigiCert bietet sowohl Code-Signing-Zertifikate als auch Code Signing mit EV. Code-Signing-Zertifikate bieten eine verschlüsselte digitale Signatur. Mit Code-Signing-Zertifikaten mit Extended Validation (EV) profitieren Sie von allen üblichen Vorteilen sowie von einer umfassenden Prüfung der Unternehmensidentität und Zwei-Faktor-Authentifizierung – damit Ihre Benutzer Ihren Anwendungen noch leichter vertrauen können. Ein weiteres Plus: Beim Zuverlässigkeitsfilter im Microsoft Defender SmartScreen erhalten Sie mit einem EV-Code-Signing-Zertifikat automatisch den Vertrauenswürdigkeitsstatus und verringern so Warnmeldungen, die das Vertrauen von Kunden schmälern könnten.

Verwalten von Code-Signing-Zertifikaten

Schlecht verwaltetes Code Signing kann Ihr Unternehmen großer Gefahr aussetzen. Vorfälle wie der Angriff auf SolarWinds zeigen deutlich, welche Folgen schlechte umgesetzte Code-Signing-Verfahren haben.

Umfragen zufolge befürchten mehr als die Hälfte der IT-Sicherheitsexperten, dass Cyberkriminelle Zertifikate stehlen oder fälschen könnten, um eigenen Code oder Anwendungen zu signieren. Dennoch setzt nur ein Drittel der Befragten Code-Signing-Richtlinien konsequent um. DigiCert bietet Unternehmen innovative Lösungen zur Vereinfachung der Code-Signing-Verwaltung.

Der Secure Software Manager in DigiCert ONE™ ist ein modernes Tool für die Code-Signing-Verwaltung, das mit Modellen für die übertragbare, flexible Bereitstellung und sichere Schlüsselverwaltung automatisch alle Pipelines für die Continuous Integration / Continuous Delivery (CI/CD) absichert. Der Secure Software Manager unterstützt Best Practices für das Code Signing, zum Beispiel pro Vorgang einmalige private Schlüssel und Zertifikate sowie On-Demand-Schlüssel und rotierende Schlüssel. Er ist mit den meisten häufig genutzten Plattformen und Bibliotheken kompatibel, darunter Docker, Microsoft Authenticode, Java, OpenSSL und Android. Mit dem Secure Software Manager lässt sich Code bequem in den Produktentwicklungsprozess integrieren, wobei kryptografische Vorgänge, das Signieren und die Verwaltung auf kontrollierte, nachvollziehbare Weise ablaufen.

UP NEXT
PKI

Drei überraschende PKI-Anwendungen in großen Unternehmen und wie sie sicher gemacht werden

5 Min

Im Blickpunkt

Digitales Vertrauen für die analoge Welt wird Wirklichkeit

Mit Zero Trust zum digitalen Vertrauen

Smart Homes sollen das Leben einfacher machen, aber da jedes Smart Home-Gerät eine eigene App benötigt, um es zu verwalten, war es für die Verbraucher nicht einfach, ihre verschiedenen Geräte zu verwalten. Lesen Sie hier mehr über Matter-Trusted Devices.