شهادات توقيع الكود OV وEV من Comodo وSectigo وDigiCert وGoGetSSL، تبدأ من $219/سنة. تصدر معظم الطلبات في غضون 1-7 أيام عمل وتُشحن مع رمز USB، أو يمكنك التوقيع عبر cloud HSM. مدعومة بضمان استرداد الأموال لمدة 25 يومًا.


شهادات توقيع الكود OV مقابل EV
يوجد مستويان للتحقق، ويعتمد اختيار المشتري بينهما على هوية الموقِّع وطبيعة ما يوقّعه.
- OV (التحقق من المؤسسة) هو المستوى القياسي. تتحقق CA من الوجود القانوني للشركة المسجلة وتصدر الشهادة باسمها. تُصدر Comodo وSectigo أيضًا شهادات مكافئة لـ OV للأفراد الموثقين، تُعرف أحيانًا بـ Individual Validation (IV)، للمطورين المستقلين الذين لا يمتلكون شركة مسجلة. تبدأ خيارات OV في SSL Dragon من $219/سنة.
- EV (التحقق الموسّع) يتطلب فحصًا أعمق للأعمال وفق إرشادات EV الصادرة عن CA/Browser Forum. لا يحق للأفراد التقدم بطلب؛ فقط المؤسسات المسجلة مؤهلة. EV هو المستوى الوحيد المقبول لتوقيع برامج تشغيل Windows kernel-mode، وكثير من سياسات المشتريات والتدقيق المؤسسية تشترطه. تبدأ خيارات EV في SSL Dragon من $287/سنة.
| OV / Individual | EV | |
|---|---|---|
| التحقق من الهوية | شركة أو فرد | مؤسسة مسجلة (لا أفراد) |
| سلوك SmartScreen | يبني السمعة بناءً على hash الملف | يبني السمعة بناءً على hash الملف |
| توقيع برامج تشغيل Windows kernel-mode | غير مؤهل | مؤهل |
| السعر الابتدائي (SSL Dragon) | $219/سنة | $287/سنة |
| الأنسب لـ | تطبيقات user-mode، السكريبتات، الميزانيات المحدودة | توقيع برامج التشغيل، ضمان الهوية، المشتريات |
ملاحظة حول SmartScreen: أدخل تحديث عام 2024 على برنامج Microsoft Trusted Root تغييرًا في طريقة تراكم السمعة. أصبحت سمعة SmartScreen تُبنى الآن بناءً على hash الملف وحجم التنزيلات بصرف النظر عن نوع الشهادة. لم تعد EV تمنح ثقة SmartScreen الفورية. تبني كل من الملفات الثنائية الموقعة بـ OV وEV سمعتها بالطريقة ذاتها بمجرد انتشارها.
اختر OV إذا كنت توقّع تطبيقات user-mode وتريد السعر الأقل. اختر EV إذا كنت توقّع برامج تشغيل Windows kernel-mode، أو تحتاج إلى أقصى قدر من ضمان الهوية، أو كانت متطلبات المشتريات لديك تنص صراحةً على EV.
رمز USB، أو Cloud HSM، أو جهازك الخاص
منذ 1 يونيو 2023، تشترط CA/Browser Forum أن يتم توليد المفتاح الخاص لكل شهادة موثوقة عامًا وتخزينه على أجهزة تستوفي معيار FIPS 140-2 Level 2 أو Common Criteria EAL 4+. لم يعد يتم إصدار ملفات .pfx قابلة للتنزيل. يختار المشترون أحد ثلاثة مسارات للتسليم:
- رمز USB يُشحن من CA. تُرسل CA رمز USB محمّلًا مسبقًا يستوفي معيار FIPS 140-2 Level 2 (عادةً YubiKey) إلى العنوان الموثق في الطلب.
- جهاز متوافق تمتلكه بالفعل. إذا كان فريقك يشغّل بالفعل HSM أو رمزًا يستوفي معيار FIPS 140-2 Level 2 أو Common Criteria EAL 4+، تُصدر CA الشهادة بناءً على شهادة تصديق من ذلك الجهاز.
- خدمة التوقيع عبر Cloud HSM. يتم توليد المفتاح الخاص وحفظه في cloud HSM تديره CA، مثل DigiCert KeyLocker أو خدمة التوقيع السحابي من Sectigo أو eSigner من SSL.com. لا حاجة لشحن رمز مادي، ويندمج التوقيع بسلاسة في مسارات CI/CD.
رمز USB هو الأبسط للتوقيع اليدوي العرضي؛ أما التوقيع السحابي فيناسب أكثر عمليات البناء الآلية. تشترك المسارات الثلاثة في البنية التحتية ذاتها للمفاتيح العامة (PKI): تربط الشهادة هويتك الموثقة بمفتاح عام، يحمي الجهاز المفتاح الخاص، والتوقيع الرقمي الناتج هو ما يتحقق منه Windows.
خطوات الإعداد موجودة في دروس توقيع الكود لدينا.
حد صلاحية جديد يبلغ 460 يومًا (ساري اعتبارًا من مارس 2026)
اعتبارًا من 1 مارس 2026، أصبح الحد الأقصى لصلاحية الشهادات الموثوقة عامًا 460 يومًا (نحو 15 شهرًا)، بدلًا من الحد الأقصى السابق البالغ 39 شهرًا. يأتي هذا التغيير من CA/Browser Forum Ballot CSC-31. لا تزال الطلبات متعددة السنوات متاحة، لكن يتم إعادة إصدار الشهادة ذاتها خلال المدة المشتراة بدلًا من امتدادها عليها.
ما يعنيه ذلك على مستوى الطلب:
- تقتصر صلاحية الشهادة الجديدة الواحدة على ~15 شهرًا
- لا تزال الطلبات لمدة سنتين وثلاث سنوات متاحة، مع إعادة الإصدار خلال المدة
- قد تغطي الطلبات المثبتة على HSM المدة الكاملة المشتراة لكنها تستلزم إعادة إصدار سنوية
- تظل الشهادات الصادرة قبل 1 مارس 2026 سارية حتى تاريخ انتهائها الأصلي
يظل الكود الموقَّع بطابع زمني صحيح موثوقًا به بعد انتهاء صلاحية الشهادة، لذا لا يتأثر البرنامج الذي وقّعته وشحنته بالفعل. يتغير فقط إيقاع التجديد.
مقارنة شهادات توقيع الكود حسب CA والسعر
يوفر SSL Dragon خيارات من أربع جهات إصدار شهادات. إليك مقارنة خيارات OV وEV من حيث السعر الابتدائي وطريقة تسليم الجهاز ووقت الإصدار.
| الشهادة | التحقق | السعر الابتدائي | طريقة تسليم الجهاز | وقت الإصدار |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/سنة | رمز USB أو HSM | 1-7 أيام |
| Sectigo Code Signing SSL | OV / Individual | $219/سنة | رمز USB أو HSM | 1-7 أيام |
| GoGetSSL Code Signing SSL | OV / Individual | $289/سنة | رمز USB أو HSM | 1-7 أيام |
| DigiCert Code Signing | OV | $400/سنة | رمز USB أو HSM أو KeyLocker السحابي | 1-7 أيام |
| Comodo EV Code Signing | EV | $287/سنة | رمز USB أو HSM | 1-7 أيام |
| Sectigo EV Code Signing | EV | $287/سنة | رمز USB أو HSM | 1-7 أيام |
| GoGetSSL Code Signing EV SSL | EV | $369/سنة | رمز USB أو HSM | 1-7 أيام |
| DigiCert EV Code Signing | EV | $685/سنة | رمز USB أو HSM أو KeyLocker السحابي | 1-7 أيام |
تبدأ كل من Comodo وSectigo OV من $219/سنة وهما الخياران الأرخص الموثوقان عامًا في هذه الصفحة. تقع DigiCert في الطرف المميز بسعر $400 لـ OV و$685 لـ EV، وعادةً ما يختارها المشترون الذين تنص عقودهم أو أطر امتثالهم صراحةً على DigiCert. GoGetSSL هو الخيار الاقتصادي في مستوى EV بسعر $369/سنة. تشحن جميع جهات الإصدار الأربع رموز USB، مع توفير DigiCert أيضًا لخدمة التوقيع السحابي KeyLocker لسير العمل التي لا تحتاج إلى HSM مادي.
لماذا توقيع الكود المجاني غير واقعي
لا توجد جهة إصدار شهادات موثوقة عامًا تقدم توقيع الكود مجانًا اعتبارًا من عام 2026.
ثمة تكلفتان حقيقيتان تجعلان ذلك غير قابل للتطبيق:
- يجب على CA التحقق من هوية الناشر (مؤسسة أو فرد)
- منذ يونيو 2023، يجب أن يكون المفتاح الخاص محفوظًا على أجهزة متوافقة مع FIPS يتحمل تكلفتها شخص ما
يمكن توليد الشهادات الموقعة ذاتيًا باستخدام OpenSSL دون أي تكلفة، لكن Windows وmacOS والمتصفحات لا تثق بها، مما يبقي تحذير “Unknown Publisher” قائمًا. إذا كان السعر هو العامل الحاسم، فإن Comodo Code Signing وSectigo Code Signing OV (أو Individual Validation للمطورين المستقلين) هما الخياران الأساسيان بسعر $219/سنة.
ما الذي يمكنك توقيعه بشهادة توقيع الكود
يمكن لشهادة من أي CA يوفرها SSL Dragon توقيع:
- ملفات Windows الثنائية والمثبّتات: ملفات .exe و.dll و.cab و.ocx و.msi و.xap الموقعة عبر Microsoft Authenticode
- برامج تشغيل Windows: برامج تشغيل user-mode (OV أو EV) وبرامج تشغيل kernel-mode (EV فقط)
- تطبيقات Java: ملفات .jar الموقعة باستخدام jarsigner
- السكريبتات والماكرو: سكريبتات PowerShell وVBScript وماكرو VBA في Microsoft Office
- صيغ أخرى: حزم Adobe AIR وملفات Mozilla الكائنية وMicrosoft Silverlight (قديمة لكن لا تزال صالحة)
- البرامج الثابتة وبرامج إنترنت الأشياء
- الحاويات وحزم البرامج
تغطي الشهادة ذاتها معظم ما ورد في القائمة أعلاه؛ حالة برامج تشغيل kernel-mode هي الوحيدة التي تستلزم مستوى EV.
شهادات توقيع الكود مقابل شهادات SSL/TLS
تُشفّر شهادة SSL/TLS الاتصال بين المتصفح والموقع الإلكتروني. أما شهادة توقيع الكود فتوقّع البرنامج رقميًا ليتمكن نظام التشغيل من التحقق من هوية ناشره وعدم تغيير الملف.
لا يمكن استبدال إحداهما بالأخرى: إحداهما تؤمّن نطاقًا، والأخرى تُثبت مصدر ملف تنفيذي. كلتاهما شهادتا X.509 صادرتان عن جهة إصدار شهادات، وهذا ما يُسبب الخلط بينهما.
الأسئلة المتداولة
هي شهادة X.509 تتيح للناشر إرفاق توقيع رقمي قابل للتحقق بالبرنامج. وعلى عكس CSR (الذي هو مجرد طلب الطلب المُقدَّم إلى CA)، فإن الشهادة الصادرة تربط هوية موثَّقة بمفتاح عام تستخدمه أنظمة التشغيل للتحقق من مصدر الملف.
نسخ الرابط
عادةً ما يستغرق التحقق من EV وقتاً أطول بمقدار 3-5 أيام عمل مقارنةً بـ OV، وفقط EV مؤهل لتوقيع برامج تشغيل وضع النواة (kernel-mode driver signing). التسعير وفحوصات الهوية ومقارنة سلوك SmartScreen موجودة جميعها في قسم OV مقابل EV أعلاه.
نسخ الرابط
الرمز المادي هو أحد ثلاثة خيارات. تتجاوز خدمات التوقيع السحابي مثل DigiCert KeyLocker وSSL.com eSigner الرمز المادي كليًا: يوجد المفتاح في HSM تديره CA وتقوم بالتوقيع عبر API، وهو ما يناسب بيئات CI/CD. راجع قسم التسليم المادي أعلاه.
نسخ الرابط
الحد الأقصى 460 يومًا لكل إصدار وفق القواعد الحالية. احرص دائمًا على التوقيع باستخدام سلطة الطوابع الزمنية (tsa.digicert.com الخاصة بـ DigiCert أو timestamp.sectigo.com الخاصة بـ Sectigo) حتى تظل الملفات الثنائية موثوقة بعد انتهاء الصلاحية. يمكنك الاطلاع على السياق الكامل في قسم صلاحية 460 يومًا أعلاه.
نسخ الرابط
لا تصدرها أي جهة CA موثوقة عامًا. يمكنك الاطلاع على الأسباب الكاملة وأرخص البدائل المدفوعة في قسم “لماذا توقيع الكود المجاني غير واقعي” أعلاه.
نسخ الرابط
أي شهادة توقيع كود EV. بوابة WHQL الخاصة بـ Microsoft وتدفق توقيع الإثبات كلاهما يرفضان الشهادات غير EV بشكل قاطع.
نسخ الرابط
من 1 إلى 7 أيام عمل حسب CA ومستوى التحقق. عادةً ما يستغرق EV وقتاً أطول من OV لأن عملية التحقق من المؤسسة أكثر تعقيداً، لذا خطط لوقت إضافي إذا كان لديك موعد إصدار ضيق.
نسخ الرابط
نعم، لتوقيع الملفات الثنائية عبر الأنظمة المختلفة بشكل عام، بما في ذلك ملفات .jar والعديد من تنسيقات الحاويات. يتطلب توزيع تطبيقات macOS عبر App Store برنامج Apple Developer ID منفصل؛ أما توقيع Linux فهو أقل توحيداً، غير أنه مدعوم عبر معظم تنسيقات الحزم.
نسخ الرابط
لا تعرف ما تحتاجه؟
استخدم SSL Wizard لتحديد الخيارات المناسبة لك، وسنساعدك في العثور على شهادة SSL المثالية.
لا تعرف ما تحتاجه؟

