E-mailFAQ à propos de la signature de code
Que sont les certificats de signature de code et les signatures numériques ?
Les développeurs et les éditeurs de logiciels utilisent des certificats de signature de code pour associer une signature numérique unique à des scripts, des modules d'extension, des macros et autres fichiers exécutables avant leur émission. La signature numérique contient des informations d'identification à propos de l'éditeur et est utilisée pour vérifier que le code n'a pas été modifié ou falsifié depuis l'émission.
Pourquoi les développeurs doivent signer leur code ?
Une distribution facile en ligne a permis aux développeurs de créer un code amusant et fonctionnel, n'importe où et partout. Néanmoins, les possibilités de fraude et la propagation de code malveillant ont également augmenté. Les applications de logiciel et les plate-formes ont développé des fonctions de sécurité pour vérifier une signature numérique et recommander que le code soit ou non approuvé. Certaines plate-formes, telles que Adobe® AIR®, nécessitent des signatures numériques pour toutes les applications.
Que voient les utilisateurs lorsqu'ils rencontrent un code signé ?
Lorsqu'un utilisateur rencontre un code non-signé, un avertissement de sécurité apparaît ou le contenu n'est pas téléchargeable, en fonction des paramètres de sécurité et de navigateur. Les avertissements créent le doute et la confusion chez les utilisateurs et se traduisent souvent en appels de support chez l'éditeur ou le développeur. Lorsque le code signé est rencontré, une cotification contextuelle affiche l'identité vérifiée de l'éfiteur et l'utilisateur décide de faire ou non confiance au code. Avec un certificat de signature de code Thawte®, votre code sera aussi sûr et fiable pour les clients qu'un logiciel prêt à l'emploi dans une étagère de magasin.
Comment l'application sait faire confiance à ma signature numérique ?
Un certificat de signature de code est un type de certificat numérique. Lorsque vous appliquez le certificat, vous générez une paire de clé privée/publique et soumettez la partie publique à une autorité de certification, telle que Thawte, avec la documentation permettant de prouver votre identité. Une fois que l'autorité de certification authentifie et vérifie les informations, elle émet un certificat contenant votre nom d'entreprise complet et votre clé publique. Les certificats de signature de code Thawte® sont enchaînés à notre certificat racine et approuvés par les principales plate-formes. Il est possible to d'autosigner le code, néanmoins, vous n'avez pas de tierce prouvée pour répondre des information que vous fournissez
Ai-je besoin de différent certificats de signature de code pour le développemment du code dans diverses plate-formes ?
Les manières dont les signatures numériques sont traitées varient légèrement d'une plate-forme à l'autre. Les Les certificats Code Signing de Thawte® pour Microsoft® Authenticode® (universels)
offrent une flexibilité maximum avec un seul certificat pour signer un code développé sur plusieurs plates-formes. Vous pouvez signer numériquement en mode utilisateur 32 et 64 bits (fichiers .exe, .cab, .dll, .ocx, .msi and .xpi), ainsi qu'un code pour Microsoft® Office 2000, Microsoft VBA, Netscape® Object Signing et Marimba Channel Signing. Thawte offre des certificats signature code supplémentaires pour :
Microsoft® Authenticode® (universel)
Java®
Adobe® AIR®
Mac®
Microsoft® Office VBA
Pourquoi les certificats de signature de code expirent-ils ?
Les applications et plate-formes qui utilisent une signature de code vérifieront la validité d'un certificat lors du processus de sécurité. Les certificats numériques sont conçus pour expirer afin de protéger tant le propriétaire du certificat que les utilisateurs qui lui font confiance. Pour renouveler un certificat de signature de code, le propriétaire du certificat fournit des informations d'identification et l'autorité de certification les authentifie et les vérifie. Le Thawte® Certificate Center permet de renouveler, gérer et suivre tous vos certificats SSL et de signature de code très facilement en une seule connexion.
Mon code sera-t-il encore valide si mon certificat de signature de code a expiré ?
Un certificat de signature de code est valide pendant la période de validité achetée et un certificat qui a expiré ne peut plus être utilisé pour signer un code. Néanmoins, un horodatage affiche la validité du certificat au moment où le code a été signé. Thawte n'exécute pas de serveur d'horodatage, cependant, vous pouvez utiliser l'horodatage VeriSign en ajoutant : "http://timestamp.verisign.com/scripts/timstamp.dll" à la ligne de commande de signature de code. Pour Java, utilisez "http://sha256timestamp.ws.symantec.com/sha256/timestamp" (SHA256), "http://sha1timestamp.ws.symantec.com/sha1/timestamp" (SHA1)
Que se passe-t-il si un certificat de signature de code doit être révoqué ?
Un certificat peut être révoqué par son propriétaire s'il est perdu ou volé, ou il peut être révoqué par Thawte si l'éditeur distribue des codes malveillants ou délibérément défectueux. Thawte conserve une liste de révocation des certificats (CRL). Les applications et plate-formes qui utilisent une signature de code vérifieront la CRL pour confirmer la validité d'un certificat lors du processus de sécurité.
Qui a besoin d'utiliser une signature de code ?
Tous les éditeurs prévoyant de distribuer du code ou du contenu sur Internet ou sur des extranets d'entreprise risquent l'usurpation d'identité et la falsification de leurs logiciels. Les certificats de signature de code de Thawte offrent une garantie élevée à propos de l'identité de l'éditeur du code et de son intégrité.
Thawte certifie-t-il ou garantit-il le code ?
Non. Thawte émet un certificat au développeur pas au code. Le certificat certifie que le logiciel provient véritablement de l'éditeur qui l'a signé - un aspect extrêment important lorsque des clients potentiels décident d'accorder leur confiance ou non. Le certificat certifie également que le code n'a pas été modifié ou altéré pendant la transmission ou le téléchargement et est tel que ce à quoit l'éditeur le destinait. Thawte révoquera un certificat de signature de code de développeur™ s'il existe une indication selon laquelle le développeur a abusé de la confiance de l'infrastructure de signature de code.
Pourquoi choisir Thawte ?
Des millions de personnes dans le monde font confiance à Thawte. Lorsque nous émettons un certificat SSL, nous savons que notre nom apparaîtra en regard du vôtre, en tant que tiers de confiance qui l'a vérifié. Nous prenons cette confiance au sérieux et sommes leaders dans ce secteur, à l'aide de méthodes d'authentification rigoureuses et d'une infrastructure mondiale pour prendre en charge les recherches de certificat en temps réel.
Nous contacter
+33 157 32 42 68
(France)
+353 1 793 9142
(Afrique du Sud)
1-888-484-2983
(Etats-Unis)
+49 69380789081
(Allemagne)
+44 2034505486
(Royaume-Uni)
Soumettez votre question
