程式碼簽名證書,讓軟體真正擁有姓名!

雲叔_又拍雲發表於2021-10-01

二狗子最近遇到了一個很靈異的事件。

一個月黑風高的夜晚,雪色的 LED 燈和電腦螢幕上變動的圖案共同在二狗子臉上映出一片色彩斑斕的影子。效能卓越的耳機遮蔽了一切外在雜音,只留給二狗子簡單極致的:“Double Kill!Triple Kill!Quadr Kill!”二狗子感覺那個震耳欲聾的“Penta Kill”已經出現在耳邊。

就在這時,只聽“噔”的一聲!一個亮黃色的彈窗猛地跳了出來

二狗子一時也顧不上有沒有五殺了,這搞不好就是什麼病毒攻擊,馬上開始了電腦查殺。然而詭異的事情來了,無論二狗子查殺多少次,用多少種方式查殺,都完全找不到病毒源。

迫於無奈的二狗子只能抱著隨便試試的心態聯絡了老朋友,又拍雲的客服薇薇小姐姐。

“這個彈窗是因為程式沒有程式碼簽名證書 哦,你有在安裝什麼程式嗎?”薇薇仔細判斷了一番後作出解答。

“我只下載了我自己的圖片儲存程式呀?這麼說來這個程式好像下載完會自動安裝!”二狗子恍然大悟。

這亮黃色的安全提醒讓人很不安心啊,有沒有什麼辦法去除呢?二狗子繼續諮詢薇薇小姐姐。

“有程式碼簽名證書就可以哦,我給你細說一下吧。”薇薇耐心回覆。

程式碼簽名證書

程式碼簽名證書(Code Signing Certificates)是針對程式程式碼和內容建立的一種數字化驗證和保護的安全數字證書,是用來標識軟體或程式碼的來源以及軟體開發者真實身份的一種解決方案。

它能讓軟體開發商對軟體程式碼進行數字簽名來表示開發者的真實身份。有了程式碼簽名證書的程式,在安裝的時候,會顯示對應的開發商名稱,方便使用者進行判斷安裝。而未使用程式碼簽名證書,則會像上面二狗子那樣出現黃色提示框。

有程式碼簽名證書的軟體提示

除此之外,使用程式碼簽名證書有以下幾項優點:

  • 建立可信身份: 數字證書將個人或實體的身份繫結在與私鑰對應的公鑰上。 私鑰和公鑰系統的使用被稱為公鑰基礎設施(PKI)。 開發人員用其私鑰對程式碼進行簽名,終端使用者使用開發人員的公鑰來驗證開發人員的身份。
  • 防止惡意篡改: 程式碼簽名證明簽名的軟體是合法的,來自一個已知的軟體供應商,並且該程式碼自發布以來沒有被篡改。 程式碼簽名可防止使用者由於安全警告訊息,惡意更改合法程式碼以及供應商作者的身份被盜取而放棄應用程式的安裝。
  • 消除安全警告: 消除“未知釋出商”安全警告
  • 使軟體可信: 證書中顯示組織名稱,標示軟體可信身份。
  • 提高品牌形象

如果有了程式碼簽名證書,二狗子就不會被黃色表示嚇一跳,說不定五殺後還能打字吹一波!

薇薇還告訴二狗子,現在有越來越多的軟體釋出下載和搭載平臺都開始要求軟體的安全驗證。例如二狗子目前使用的 Windows,就要求軟體開發商使用可應用於微軟系統的程式碼簽名證書對軟體進行數字簽名。

那要如何才能擁有程式碼簽名證書呢?

如何申請證書

程式碼簽名證書一般是由第三方認證機構(CA)在認證開發者身份後頒發的,分為標準版和 EV 專業版兩種型別,按照品牌和型別的不同有著不同的價格,軟體開發商們可以按照自己的需求進行選擇購買。

但是一般而言都推薦大家申請 DigiCert EV 程式碼簽名證書 ,因為它不但有普通核心程式碼簽名證書的所有功能,而且採用更加嚴格的擴充套件驗證,嚴格的證書私鑰保護機制能有效防止證書被非法盜用。同時 DigiCert EV 程式碼簽名證書也是微軟指定用於核心程式碼簽名的證書。

目前又拍雲與國際頂級 CA 機構 TrustAsia 合作,為廣大軟體開發者、發行商提供 DigiCert 旗下的微軟 EV 程式碼簽名證書和標準版程式碼簽名證書申請。

推薦閱讀

全站 HTTPS 就一定安全了嗎?

開源浪潮下程式設計師的職業規劃和成長

相關文章