EV CODE nebo Standard CODE?
Důvěryhodnost stahovaného software z internetu a ochrana uživatelů je postavena na použití certifikátů pro podepisování kódu. Speciálně u operačního systému Windows je nutné každý vydávaný software podepisovat. Code signing certifikáty jsou pro vývojáře klíčové, protože zajišťují důvěryhodnou distribuci a zvyšují jejich reputaci.
Existují dva typy CODE signing certifikátů: Standardní CODE signing certifikáty (OV) a EV CODE signing certifikáty. Hlavní rozdíly mezi nimi spočívají v úrovni zabezpečení, procesu ověření a důvěryhodnosti, kterou poskytují uživatelům.
Obsah článku
Skrýt obsah článkuJaký CODE vybrat?
V principu jsou oba typy CODE certifikátů totožné. CA musí provést validaci žadatele, jsou vystavovány na tokenu, hsm zařízení nebo do bezpečného cloudu. Podepisování a vlastnosti podpisu jsou stejné. Jaký je tedy rozdíl mezi EV CODE a Standard CODE?
Standard CODE signing (OV)
- Základní validace žadatele - ověření existence firmy, ověření osoby (scan ID a obličeje)
- USB token, HSM modul, bezpečný cloud
- Nutnost vytvářet reputaci v ekosystému Windows
- Výrazně nižší cena oproti EV CODE
EV CODE signing
- Rozšířená validace žadatele - ověření existence firmy, potvrzení adresy či telefonní ověření, ověření osoby (scan ID a obličeje), přísnější proces ověřování identity
- nejdůvěryhodnější CODE certifikáty
- USB token, HSM modul, bezpečný cloud
- Okamžitá důvěra v ekosystému Windows (SmartScreen)
- Vyžadovány pro přístup k portálu Windows Hardware Developer Center Dashboard Portal, jehož prostřednictvím musí být podepsány všechny ovladače v režimu jádra zaměřené na Windows 10 (build 1607 a novější).
EV CODE certifikát a SmartScreen
EV CODE signing certifikáty poskytují okamžitou důvěru v rámci technologie SmartScreen společnosti Microsoft. SmartScreen je bezpečnostní funkce integrovaná do Windows a prohlížeče Microsoft Edge, která pomáhá chránit uživatele před stahováním a instalací škodlivého softwaru tím, že kontroluje reputaci podepisovacího certifikátu.
Uvedená informace platila oficiálně do léta roku 2024, než společnost Microsoft prohlásila, že "bude vyhodnocovat EV CODE certifikáty stejným způsobem jako standardní CODE certifikáty". To znamená, že EV CODE certifikáty již nebudou automaticky důvěryhodné pro SmartScreen filter a vydavatelé SW si budou muset reputaci postupně vybudovat.
Toto prohlášení naprosto převrátilo stávající, mnohaletý systém důvěry. Pravděpodobně si to lidé ve společnosti Microsoft uvědomili a stále platí, že EV CODE certifikáty jsou pro SmartScreen důvěryhodné. Zda a kdy se to změní nevíme, ale nyní si můžete platnost ověřit na našem testovacím SW.
Otestujte si code certifikáty - Demo SW
Pro testování chování Standard CODE a EV CODE můžete využít náš testovací software napsaný v dotNET a podepsaný CODE certifikáty Certum Code Signing in Cloud a Certum EV Code Signing in Cloud.
Standard CODE signing
- MS Edge, Chrome - warning!
- MS Windows - SmartScreen
- Je nutné vyjádřit uživatelskou důvěru
- DOWNLOAD DEMO - Certum Standard CODE signing
EV CODE signing
- MS Edge - bezproblémový download
- MS Windows - SmartScreen se nezobrazuje
- Chrome - warning! Zde je to v pořádku, Chrome má vlastní databáze.
- Antivirové programy jsme netestovali.
- DOWNLOAD EV DEMO - Certum EV CODE signing
Jak získat reputaci
Reputaci je možné získat pouze časem a častým podepisováním SW, který uživatelé stahují a instalují. Čím více uživatelů SW nainstaluje bez problémů, tím rychleji se buduje reputace vydavatele. Ideální počty jsou vyšší stovky či tisíce instalací. Při podepisování je vhodné používat časové razítka (timestamp), aby podpis zůstal platný i po vypršení platnosti certifikátu.
Přesné vyhodnocování reputace však zná pouze společnost Microsoft.
Manuální získání reputace
Pokud máte malé množství stahování, reputaci se dlouho nedaří získat, můžete zkusit získat reputaci pomocí následujících kroků.
1/Můžete využít službu Microsoft WDSI File Submission, kde můžete nahrát svůj podepsaný software k analýze. Tímto způsobem můžete urychlit proces získání reputace pro váš software.
2/Můžete váš software stáhnout v prohlížeči Edge a v něm zvolit odkaz "Report this file as safe", který vede na formulář Zpětná vazba společnosti Microsoft, kde bude nutné vyplnit různé informace k SW a vaší firmě.
Tyto kroky mohou pomoci urychlit proces získání reputace pro váš software, ale není zaručeno, že to povede k okamžitému výsledku. Nejlepší je kombinovat tyto metody s pravidelným podepisováním a větší distribucí vašeho softwaru.
Zákaznická zkušenost
Minimálně třikrát jsem odeslal spustitelné soubory (EXE) do služby Microsoft Security Intelligence. Každé skenování vždy potvrdilo, že jsou soubory bezpečné. Rozhodl jsem se „podat námitku“, protože problémy s reputací přetrvávaly. Vysvětlil jsem, že moje společnost je 22 let stará a má malou uživatelskou základnou, kteří jsou obecně netechničtí. Zmínil jsem, že mám nový CODE certifikát.
První odpověď Microsoftu byla, že soubory jsou bezpečné a že stačí počkat, až se reputace certifikátu přirozeně vybuduje. Oponoval jsem vysvětlením, že nabízím specializovaný software, nikoli produkt pro masový trh, což znamená, že organická reputace se buduje mnohem pomaleji. Výslovně jsem požádal, aby na bílou listinu zařadili samotný certifikát, a ne jen jednotlivé soubory, aby se předešlo dalším problémům.
Snažil jsem se proces urychlit nasazením nového certifikátu abych zvýšil počet detekcí „in-the-wild“. Nakonec jsem požádal o eskalaci na vyšší oddělení. Na základě této žádosti společnost Microsoft potvrdila, že můj certifikát byl nyní oficiálně přidán na white list.
Pokud na této stránce něco chybí, něčemu nerozumíte nebo chování podepsaného SW je jiné, neváhejte nás kontaktovat!
Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!
