沃通代码签名证书,保护代码安全、赢得用户信任
软件代码开发需要开发者投入大量精力和人力物力,但您的软件代码发布到互联网上后可能会发生各种状况,软件代码可能受到黑客攻击、病毒感染或任何方式的篡改,也可能因为“发布者身份未知”的系统警告吓跑用户。而用户要找到安全可靠的软件程序也并不容易,在互联网上下载Java程序、插件、ActiveX控件或其他可执行文件时,无法了解软件发布者的真实身份信息,也无从得知这些软件包有没有被篡改,甚至植入病毒木马,这使得用户在运行代码程序时承担了较大的安全风险。
代码签名机制是基于PKI技术的成熟机制,帮助开发者和最终用户建立安全信任的软件发布环境和使用环境。代码签名证书是由权威CA机构认证开发者身份后颁发,提供给软件开发者对其开发的软件代码进行数字签名,附上可信身份证明并保护代码完整性,防止软件代码被仿冒或篡改。用户下载软件时,操作系统或浏览器可通过数字签名验证软件代码来源可信,且没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害。
较新的操作系统和浏览器都设置较高级别的网络安全策略,要求应用程序、驱动程序和软件程序添加数字签名。例如,Internet Explorer 利用 Authenticode 技术来识别签名软件的发布者,并确认它没有被篡改;Windows用户帐户控制(UAC)会对任何交互式应用程序强制执行数字签名检查。
当用户从某网站下载代码签名文件时,系统可以从文件中提取证书,通过证书颁发机构的信任列表、颁发机构信息访问 (AIA) 检查等途径验证证书中的签名,每个证书均要进行各种相关参数的有效性验证,如名称、时间、签名、吊销状态以及其他限制。如果签名软件以任何方式被篡改,则会破坏数字签名,操作系统或浏览器会提醒用户代码已修改且不再可信。
沃通代码签名证书是由全球信任顶级根签发,根证书预置在操作系统和浏览器的受信任列表,以及大部分设备和应用程序中,无缝实现签名代码验证和信任。根据验证等级和功能不同,沃通代码签名证书分为单位代码签名证书和EV代码签名证书。
两类代码签名证书都需要验证软件开发机构的单位真实身份,都支持多用途的普通代码签名,但沃通EV代码签名证书需要遵循更加严格的扩展验证标准,并采用更安全的私钥存储方式( USB Key硬件存储),也具备更丰富的应用功能,EV代码签名证书支持Windows硬件认证(即徽标认证),可以用它建立Windows硬件开发人员中心仪表板账号,并支持在Windows SmartScreen筛选器中快速建立信誉,让程序流畅运行。
对于程序开发者或软件发布者而言,在激烈的软件市场竞争中,软件代码就是您的声誉,如果您的软件版本受到黑客攻击、病毒感染或以任何方式发生篡改,将遭受系统拦截、查杀,损害用户对软件的信任和使用软件的信心,对软件代码带来致命打击。利用代码签名证书保护软件代码安全、建立软件信誉,是软件代码发布前必须做到的重要工作。
- 点赞
- 收藏
- 关注作者
评论(0)