Häufig Gestellte Fragen zu Code Signing

Was sind Code Signing-Zertifikate und digitale Signaturen?

Entwickler und Softwarehersteller können mit Code Signing-Zertifikaten ihre Applets, Plug-ins, Macros und sonstigen ausführbaren Dateien vor der Veröffentlichung mit einer unverwechselbaren digitalen Signatur versehen. Die digitale Signatur umfasst Informationen zur Identität des Herstellers und bestätigt, dass der Code nach der Veröffentlichung nicht verändert oder manipuliert wurde.

Warum müssen Entwickler ihren Code signieren?

Dank der unkomplizierten Verbreitung über das Internet können Entwickler unterhaltsamen und funktionellen Code jederzeit und überall erstellen. Demgegenüber steht jedoch das Betrugspotenzial sowie die Gefahr der Verbreitung von Schadcode. Software-Anwendungen und -Plattformen verfügen über Sicherheitsfunktionen zur Überprüfung, ob eine digitale Signatur vorhanden ist und Ausgabe einer Empfehlung, ob Benutzer dem Code vertrauen sollen. Bei manchen Plattformen, wie Adobe® AIR®, müssen alle Anwendungen digital signiert werden.

Wie wirkt sich signierter Code auf Benutzer aus?

Wenn ein Benutzer auf nicht signierten Code stößt, wird je nach den Sicherheitseinstellungen des Browsers ein Warnhinweis angezeigt oder die Inhalte können nicht geladen werden. Solche Warnhinweise streuen Zweifel und sorgen bei Benutzern für Verwirrung, so dass sie sich häufig an den technischen Support des Herstellers oder Entwicklers wenden. Wenn ein Benutzer auf signierten Code stößt, wird die verifizierte Identität des Herstellers in einer Pop-up-Meldung angezeigt. Der Benutzer kann entscheiden, ob er dem Code vertrauen möchte. Dank Code Signing-Zertifikaten von Thawte® bietet Ihr Code Kunden die gleiche Sicherheit und Zuverlässigkeit wie originalverpackte Software aus dem Laden.

Wie kann eine Anwendung meine digitale Signatur als vertrauenswürdig einstufen?

Code Signing-Zertifikate sind digitale Zertifikate. Wenn Sie das Zertifikat beantragen, erstellen Sie einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel und Dokumente zum Nachweis Ihrer Identität werden an eine Zertifizierungsstelle, wie Thawte, übermittelt. Nach erfolgter Authentifizierung und Verifizierung der Informationen seitens der Zertifizierungsstelle wird ein Zertifikat mit dem vollen Namen Ihres Unternehmens sowie Ihrem öffentlichen Schlüssel ausgegeben. Thawte® Code Signing-Zertifikate sind an unsere Stammzertifikate gebunden und werden von führenden Plattformen anerkannt. Zwar können Sie Code auch selbst signieren, doch kann keine vertrauenswürdige Drittpartei für die bereitgestellten Informationen bürgen.

Benötige ich mehrere Code Signing-Zertifikate für unterschiedliche Plattformen?

Alle Plattformen verarbeiten digitale Signaturen auf unterschiedliche Weise. Code Signing-Zertifikate für Microsoft® Authenticode® (Multi-Purpose) von Thawte bieten ein Höchstmaß an Flexibilität: Mit einem einzigen Zertifikat kann auf unterschiedlichen Plattformen entwickelter Code signiert werden. Sie können 32- und 64-Bit-Benutzermodus (.exe-, .cab-, .dll-, .ocx-, .msi- und .xpi-Dateien) sowie Code für Microsoft® Office 2000, Microsoft VBA, Netscape® Object Signing und Marimba Channel Signing digital signieren. Thawte bietet außerdem Code Signing-Zertifikate für:
Microsoft® Authenticode® (Multi-Purpose)
Java®
Adobe® AIR®
Mac®
Microsoft® Office VBA

Warum laufen Code Signing-Zertifikate ab?

Im Verlauf des Sicherheitsprozesses prüfen Anwendungen und Plattformen mit Code Signing, ob ein Zertifikat gültig ist. Die zeitlich beschränkte Gültigkeitsdauer von digitalen Zertifikaten dient sowohl dem Schutz des Zertifikatsinhabers als auch der Benutzer, die dem Zertifikat vertrauen. Zum Verlängern eines Zertifikats muss der Zertifikatsinhaber seine Identität nachweisen. Die Zertifikatsstelle authentifiziert und verifiziert diese Daten. Im Thawte® Certificate Center können Sie sämtliche Code-Signing- und SSL-Zertifikate über nur eine Anmeldung erneuern, verwalten und nachverfolgen.

Ist mein Code nach Ablauf meines Code Signing-Zertifikats noch gültig?

Die Gültigkeit von Code Signing-Zertifikaten beschränkt sich auf die beim Erwerb festgelegte Dauer. Code kann nicht mit abgelaufenen Zertifikaten signiert werden. Ein Zeitstempel weist jedoch zum Zeitpunkt der Signatur auf die Gültigkeit hin. Thawte unterhält keinen Zeitstempelserver, Sie können jedoch das Zeitstempelverfahren von VeriSign nutzen, indem Sie Folgendes zur Code-Signatur-Befehlszeile hinzufügen: "http://timestamp.verisign.com/scripts/timstamp.dll". Bei Java verwenden Sie "http://sha256timestamp.ws.symantec.com/sha256/timestamp" (SHA256), "http://sha1timestamp.ws.symantec.com/sha1/timestamp" (SHA1).

Was geschieht, wenn ein Code Signing-Zertifikat widerrufen werden muss?

Im Verlust- oder Diebstahlsfall können Inhaber ein Zertifikat widerrufen. Wenn ein Hersteller bösartigen oder auf mutwillige Schädigung ausgerichteten Code verbreitet, kann Thawte das Zertifikat ebenfalls widerrufen. Thawte führt widerrufene Zertifikate in einer Zertifikatswiderrufsliste (CRL) auf. Im Verlauf des Sicherheitsprozesses prüfen Anwendungen und Plattformen mit Code Signing anhand der CRL, ob ein Zertifikat gültig ist.

Wer benötigt Code Signing?

Jeder Softwarehersteller, der Code oder Content über das Internet oder Extranets von Unternehmen vertreiben möchte, riskiert Identitätserschleichung und Manipulation. Code Signing-Zertifikate von Thawte bieten ein hohes Maß an Gewissheit bezüglich der Identität des Codeherstellers und Integrität des Codes.

Zertifiziert oder garantiert Thawte Code?

Nein. Thawte gibt Zertifikate an Hersteller, nicht jedoch für den Code selbst aus. Das Zertifikat bestätigt, dass die Software tatsächlich von dem signierenden Hersteller stammt – für die Vertrauensentscheidung potenzieller Kunden spielt dies eine zentrale Rolle. Des Weiteren bestätigt das Zertifikat, dass der Code bei der Übertragung oder beim Download nicht verändert oder beschädigt wurde und sich im vom Hersteller vorgesehenen Zustand befindet. Thawte widerruft das Code Signing-Zertifikat eines Entwicklers bei jedweden Hinweisen darauf, dass der Entwickler das Vertrauen der Code Signing-Infrastruktur missbraucht hat.

Warum Thawte?

Weltweit vertrauen Millionen von Menschen auf Thawte. Wenn wir ein SSL-Zertifikat ausstellen, erscheint unser Name neben dem Ihren als vertrauenswürdige Verifizierungsinstanz. Vertrauen wird bei uns großgeschrieben. Dank unserer strengen Authentifizierungsverfahren und globalen Infrastruktur zur Unterstützung von Zertifikatsüberprüfungen in Echtzeit führen wir die Branche an.

Kontakt zum Verkauf

+49 693 8078 9081
+353 1 793 9142 (Südafrika)
1-888-484-2983
(Vereinigte Staaten)
+33 157 32 42 68 (Frankreich)
+44 2034505486 (Großbritannien)
Schicken Sie eine Online-Anfrage ab