SSLmentor

Kvalitní TLS/SSL certifikáty pro webové stránky a internetové projekty.

CODE certifikát

CODE certifikát

CODE Signing certifikát

CODE certifikát, oficiálně Code Signing certifikát, je digitální certifikát určený k podepisování aplikací, skriptů, ovladačů a dalšího softwaru šířeného přes internet. Digitální podpis prokazuje, kdo software vydal, a zaručuje, že kód nebyl od podepsání změněn. Pojďme se na CODE certifikáty podívat blíže.

Co je CODE certifikát?

Certifikát Code Signing je digitální certifikát vydávaný vydavateli softwaru – firmě nebo samostatnému vývojáři – důvěryhodnou certifikační autoritou (CA). Zatímco SSL/TLS certifikát zabezpečuje komunikaci mezi prohlížečem a webovým serverem, CODE certifikát zabezpečuje samotný software. Vývojář jím připojuje digitální podpis ke spustitelným souborům, instalátorům, skriptům, makrům, ovladačům nebo firmwaru před jejich distribucí.

Certifikační autorita vydá CODE certifikát až po ověření existence firmy nebo totožnosti vývojáře. Díky tomuto ověření podpis jednoznačně identifikuje vydavatele a uživatel i operační systém mají jistotu, že software je pravý a nebyl při distribuci nijak upraven (Code signing – wiki).

CODE signing

Jak funguje podepisování kódu?

Podepisování kódu je založeno na asymetrické kryptografii, tedy na stejném principu jako SSL certifikáty. Vývojář vlastní pár klíčů – privátní a veřejný klíč. Při podepisování se vytvoří jedinečný otisk (hash) souboru aplikace a zašifruje se privátním klíčem vývojáře. Výsledek se spolu s certifikátem připojí k souboru jako digitální podpis.

Když si uživatel aplikaci stáhne, operační systém podpis ověří: dešifruje otisk pomocí veřejného klíče z certifikátu a porovná ho se skutečným otiskem souboru. Pokud se shodují, je kód neporušený a pochází od vydavatele uvedeného v certifikátu. Pokud byl změněn byť jediný bajt aplikace, ověření selže a systém uživatele varuje.

Nepodepsaný software je dnes prakticky nešiřitelný. Bezpečnostní mechanismy Microsoftu, jako jsou Defender SmartScreen a Smart App Control, nekompromisně blokují nepodepsané stažené aplikace a varují uživatele před jejich spuštěním. CODE certifikát je proto nezbytným nástrojem každé softwarové firmy i vývojáře.

Podepsání kódu samotný software nemění. Ke spustitelnému souboru pouze připojí digitální podpis. Důležitou součástí podpisu je časové razítko (timestamp), které prokazuje, že kód byl podepsán v době platnosti certifikátu. Podpis s časovým razítkem zůstává důvěryhodný i po vypršení platnosti samotného certifikátu.

Proč podepisovat svůj software?

CODE certifikát potřebuje každý vydavatel softwaru, který distribuuje kód nebo obsah přes internet. Kvůli zásadám operačních systémů, jako jsou Windows a macOS, by měly být podepisovány i kódy šířené v rámci firmy po intranetu. Všechny moderní systémy upřednostňují podepsaný kód, aby chránily uživatele a bránily šíření škodlivého softwaru.

Výhody CODE certifikátu
  • Prokazuje identitu vydavatele softwaru
  • Zaručuje integritu kódu – software nebyl změněn
  • Odstraňuje varování "Neznámý vydavatel" při instalaci
  • Chrání vaše jméno a značku před zneužitím pro padělaný software
  • Zvyšuje důvěru uživatelů, počty stažení i prodeje
  • Funguje pro aplikace Windows i macOS
Co CODE certifikát nedělá
  • Nešifruje aplikaci ani její data
  • Nezaručuje, že je kód bez chyb
  • Nenahrazuje SSL certifikát pro váš web
  • Nezajistí okamžitou reputaci ve SmartScreen

Typy CODE certifikátů

CODE certifikáty se liší úrovní ověření vydavatele. Na rozdíl od SSL certifikátů neexistuje varianta s ověřením domény – certifikační autorita vždy ověřuje žadatele.

Standard Code Signing (OV)

Standardní certifikát Code Signing s ověřením organizace (OV) se vydává firmám a organizacím. Certifikační autorita ověřuje existenci firmy ve veřejných rejstřících, její adresu a oprávnění žadatele. Podpis pak jako vydavatele (CN) zobrazuje ověřený název firmy.
Nejprodávanějším CODE certifikátem je dnes Cloud CODE certifikát od certifikační autority Certum.

Code Signing pro jednotlivce

Nezávislí vývojáři bez registrované firmy mohou získat certifikát Code Signing pro samostatné vývojáře (Individual). Certifikační autorita ověřuje totožnost vývojáře podle dokladu totožnosti. Podpis pak jako vydavatele zobrazuje ověřené jméno vývojáře. Tento CODE certifikát má stejné vlastnosti jako Standard Code Signing

EV Code Signing

Certifikáty EV Code Signing nabízejí nejvyšší, rozšířenou úroveň ověření firmy (Extended Validation). Jsou vyžadovány pro podepisování ovladačů v režimu jádra (kernel-mode) a systémových komponent pro Microsoft Windows. Jsou určeny především vývojářům hardwaru, tvůrcům systémového softwaru a organizacím, které vyžadují nejvyšší úroveň ověření firmy.

CODE certifikáty a Windows SmartScreen

Microsoft Defender SmartScreen je technologie založená na reputaci, která chrání uživatele Windows při stahování souborů z internetu. Pokud aplikace nemá dostatečnou reputaci, SmartScreen před jejím spuštěním zobrazí varování – i když je aplikace podepsaná. Reputace se buduje počtem instalací a je vázána nejen na samotný software, ale i na certifikát Code Signing použitý k podpisu.

Jakmile je reputace vybudována a instalace procházejí SmartScreen automaticky, lze nové verze aplikace podepisovat stejným CODE certifikátem a vše funguje hladce. Při použití nového nebo obnoveného certifikátu je však nutné reputaci budovat znovu.

V minulosti poskytovaly EV Code certifikáty okamžitou reputaci SmartScreen. Po bezpečnostních aktualizacích Windows vydaných na jaře 2026 Microsoft změnil své zásady a k EV Code certifikátům nyní přistupuje podobně jako ke standardním OV certifikátům – reputaci je nutné budovat i u certifikátů EV Code Signing. Více podrobností najdete na stránce Filtr Windows SmartScreen.

Cloud Code Signing

Protože privátní klíč CODE certifikátu musí být uložen na certifikovaném hardwaru, dodávaly certifikační autority certifikáty tradičně na fyzických USB tokenech. Cloud Code Signing tuto komplikaci odstraňuje: privátní klíč je vygenerován a uložen v zabezpečené HSM infrastruktuře certifikační autority a vývojář podepisuje kód vzdáleně – odkudkoli, ihned po vystavení certifikátu a bez čekání na doručení tokenu.

Podle požadavků CA/Browser Forum musí být privátní klíč CODE certifikátu uložen na certifikovaném hardwaru (fyzickém tokenu nebo HSM modulu). Proto se moderní CODE certifikáty vydávají především jako cloudové certifikáty, kde je klíč bezpečně uložen v HSM certifikační autority a vývojář podepisuje vzdáleně – bez zasílání tokenu a bez starostí o hardware.

Typickým příkladem je služba Certum SimplySign, kde se podepisování autorizuje přes mobilní aplikaci a funguje se standardními nástroji, jako je Microsoft SignTool. Některé Cloud CODE certifikáty lze integrovat do CI/CD build pipeline, takže jsou praktickou a cenově výhodnou volbou pro dnešní vývojáře.

CODE certifikáty na projektu SSLmentor

Na našem webu najdete důvěryhodné CODE signing certifikáty od celosvětově důvěryhodných certifikačních autorit DigiCert, Sectigo a Certum. Většině vývojářů doporučujeme Cloud Code certifikáty od evropské certifikační autority Certum, které nabízíme za nejlepší cenu na trhu.

Zpět na Nápovědu
Našli jste chybu nebo něčemu nerozumíte? Napište nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum