hero digicert Image

Code Signing-Zertifikate

OV- und EV-Code-Signing-Zertifikate von Comodo, Sectigo, DigiCert und GoGetSSL, ab $219/Jahr. Die meisten Bestellungen werden innerhalb von 1-7 Werktagen ausgestellt und werden mit einem Hardware-Token geliefert, oder Sie können uber Cloud HSM signieren. Abgesichert durch eine 25-tagige Geld-zuruck-Garantie.

Symbol eines Support-Headsets mit dem Text 'Support'
Dedizierter Support
GLEIF-Logo mit eingebettetem Text 'GLEIF Accredited'
25 Tage Ruckerstattung

OV vs. EV Code-Signing-Zertifikate

Es gibt zwei Validierungsstufen, und die Wahl zwischen ihnen hangt davon ab, wer signiert und was signiert wird.

OV / IndividualEV
IdentitatsverifizierungUnternehmen oder EinzelpersonEingetragene Organisation (keine Einzelpersonen)
SmartScreen-VerhaltenBaut Reputation pro Datei-Hash aufBaut Reputation pro Datei-Hash auf
Windows-Kernelmodustreiber-SignierungNicht berechtigtBerechtigt
Einstiegspreis (SSL Dragon)$219/Jahr$287/Jahr
Am besten geeignet furUser-Mode-Apps, Skripte, kleineres BudgetTreibersignierung, Identitatsnachweis, Beschaffung

Hinweis zu SmartScreen: Ein Update des Microsoft Trusted Root Program aus dem Jahr 2024 hat verandert, wie Reputation aufgebaut wird. SmartScreen-Reputation wird nun nach Datei-Hash und Download-Volumen aufgebaut, unabhangig vom Zertifikatstyp. EV gewahrt kein sofortiges SmartScreen-Vertrauen mehr. Sowohl OV- als auch EV-signierte Binardateien bauen Reputation auf dieselbe Weise auf, sobald sie in Umlauf sind.

Wahlen Sie OV, wenn Sie User-Mode-Anwendungen signieren und den gunstigeren Preis bevorzugen. Wahlen Sie EV, wenn Sie Windows-Kernelmodustreiber signieren, maximale Identitassicherheit benotigen oder Ihre Beschaffungsrichtlinien EV ausdrucklich vorschreiben.

Hardware-Token, Cloud HSM oder eigenes Gerat

Seit dem 1. Juni 2023 schreibt das CA/Browser Forum vor, dass der private Schlussel jedes offentlich vertrauenswurdigen Zertifikats auf Hardware generiert und gespeichert werden muss, die FIPS 140-2 Level 2 oder Common Criteria EAL 4+ erfullt. Herunterladbare .pfx-Dateien werden nicht mehr ausgestellt. Kaufer wahlen einen von drei Lieferwegen:

  1. Von der CA versandter USB-Token. Die CA sendet einen vorinstallierten FIPS 140-2 Level 2 USB-Token (typischerweise ein YubiKey) an die verifizierte Adresse der Bestellung.
  2. Eigenes konformes Gerat mitbringen. Wenn Ihr Team bereits ein FIPS 140-2 Level 2 oder Common Criteria EAL 4+ HSM oder Token betreibt, stellt die CA das Zertifikat auf Basis einer Attestierung dieses Gerats aus.
  3. Cloud-HSM-Signierdienst. Der private Schlussel wird in einem von der CA verwalteten Cloud-HSM generiert und gespeichert, z. B. DigiCert KeyLocker, Sectigo Cloud Signing oder SSL.com eSigner. Kein physischer Token erforderlich, und die Signierung lasst sich problemlos in CI/CD-Pipelines integrieren.

Ein USB-Token ist am einfachsten fur gelegentliches manuelles Signieren; Cloud-Signing eignet sich besser fur automatisierte Builds. Alle drei Wege nutzen dieselbe Public Key Infrastructure (PKI): Das Zertifikat verknupft Ihre verifizierte Identitat mit einem offentlichen Schlussel, Hardware schutzt den privaten Schlussel, und die resultierende digitale Signatur wird von Windows verifiziert.

Einrichtungsschritte finden Sie in unseren Code-Signing-Tutorials.

Neue 460-Tage-Gultigkeitsbegrenzung (gultig ab Marz 2026)

Ab dem 1. Marz 2026 haben offentlich vertrauenswurdige Zertifikate eine maximale Gultigkeit von 460 Tagen (etwa 15 Monate), gegenuber dem bisherigen Maximum von 39 Monaten. Die Anderung geht auf das CA/Browser Forum Ballot CSC-31 zuruck. Mehrjahrige Bestellungen sind weiterhin erhaltlich, das Zertifikat selbst wird jedoch innerhalb der gekauften Laufzeit neu ausgestellt, anstatt sie zu uberspannen.

Was das auf Bestellebene bedeutet:

  • Ein einzelnes neues Zertifikat ist auf ca. 15 Monate Gultigkeit begrenzt
  • 2-jahrige und 3-jahrige Bestellungen bleiben verfugbar, mit Neuausstellung wahrend der Laufzeit
  • HSM-installierte Bestellungen konnen die gesamte gekaufte Laufzeit abdecken, erfordern jedoch eine jahrliche Neuausstellung
  • Vor dem 1. Marz 2026 ausgestellte Zertifikate bleiben bis zu ihrem ursprunglichen Ablaufdatum gultig

Ordnungsgemas mit einem Zeitstempel versehener Code bleibt auch nach Ablauf des Zertifikats vertrauenswurdig, sodass bereits signierte und veroffentlichte Software nicht betroffen ist. Nur der Erneuerungsrhythmus andert sich.

Code-Signing-Zertifikate nach CA und Preis vergleichen

SSL Dragon fuhrt Optionen von vier Certificate Authorities. Hier ist ein Uberblick, wie die OV- und EV-Optionen bei Einstiegspreis, Hardware-Lieferung und Ausstellungszeit abschneiden.

ZertifikatValidierungEinstiegspreisHardware-LieferungAusstellung
Comodo Code SigningOV / Individual$219/JahrUSB-Token oder HSM1-7 Tage
Sectigo Code Signing SSLOV / Individual$219/JahrUSB-Token oder HSM1-7 Tage
GoGetSSL Code Signing SSLOV / Individual$289/JahrUSB-Token oder HSM1-7 Tage
DigiCert Code SigningOV$400/JahrUSB-Token, HSM oder KeyLocker Cloud1-7 Tage
Comodo EV Code SigningEV$287/JahrUSB-Token oder HSM1-7 Tage
Sectigo EV Code SigningEV$287/JahrUSB-Token oder HSM1-7 Tage
GoGetSSL Code Signing EV SSLEV$369/JahrUSB-Token oder HSM1-7 Tage
DigiCert EV Code SigningEV$685/JahrUSB-Token, HSM oder KeyLocker Cloud1-7 Tage

Comodo und Sectigo OV beginnen beide bei $219/Jahr und sind die gunstigsten offentlich vertrauenswurdigen Optionen auf dieser Seite. DigiCert liegt im Premium-Bereich – $400 fur OV und $685 fur EV – und wird in der Regel von Kaufern gewahlt, deren Vertrage oder Compliance-Rahmenwerke DigiCert ausdrucklich nennen. GoGetSSL ist die gunstige Wahl auf EV-Ebene mit $369/Jahr. Alle vier CAs liefern Hardware-Token, wobei DigiCert zusatzlich KeyLocker Cloud Signing fur HSM-freie Workflows anbietet.

Warum kostenloses Code Signing nicht realistisch ist

Keine offentlich vertrauenswurdige Certificate Authority bietet ab 2026 kostenloses Code Signing an.

Zwei reale Kostenfaktoren machen es unpraktikabel:

  1. Die CA muss die Identitat des Herausgebers verifizieren (Organisation oder Einzelperson)
  2. Seit Juni 2023 muss der private Schlussel auf FIPS-konformer Hardware gespeichert sein, fur die jemand bezahlen muss

Selbstsignierte Zertifikate konnen mit OpenSSL erstellt werden und sind kostenlos, aber Windows, macOS und Browser vertrauen ihnen nicht, sodass die Warnung „Unbekannter Herausgeber“ bestehen bleibt. Wenn der Preis das entscheidende Kriterium ist, sind Comodo Code Signing und Sectigo Code Signing OV (oder Individual Validation fur Solo-Entwickler) die Einstiegs-SKUs bei $219/Jahr.

Was Sie mit einem Code-Signing-Zertifikat signieren konnen

Ein Zertifikat von jeder CA, die SSL Dragon fuhrt, kann Folgendes signieren:

  • Windows-Binardateien und Installer: .exe-, .dll-, .cab-, .ocx-, .msi- und .xap-Dateien, signiert uber Microsoft Authenticode
  • Windows-Treiber: User-Mode-Treiber (OV oder EV) und Kernelmodustreiber (nur EV)
  • Java-Anwendungen: .jar-Dateien, signiert mit jarsigner
  • Skripte und Makros: PowerShell-Skripte, VBScript und Microsoft Office VBA-Makros
  • Weitere Formate: Adobe AIR-Pakete, Mozilla-Objektdateien und Microsoft Silverlight (veraltet, aber weiterhin gultig)
  • Firmware und IoT-Software
  • Container und Softwarepakete

Dasselbe Zertifikat deckt die meisten der oben genannten Falle ab; der Kernelmodustreiber-Fall ist der einzige, der die EV-Stufe erfordert.

Code-Signing- vs. SSL/TLS-Zertifikate

Ein SSL/TLS-Zertifikat verschlusselt die Verbindung zwischen einem Browser und einer Website. Ein Code-Signing-Zertifikat signiert Software digital, damit das Betriebssystem verifizieren kann, wer sie veroffentlicht hat und ob die Datei unverandert ist.

Die beiden sind nicht austauschbar: Eines sichert eine Domain, das andere beweist den Ursprung einer ausfuhrbaren Datei. Beide sind X.509-Zertifikate, die von einer Certificate Authority ausgestellt werden, weshalb sie haufig verwechselt werden.

Häufig gestellte Fragen

Was ist ein Code-Signing-Zertifikat?

It’s an X.509 certificate that lets a publisher attach a verifiable digital signature to software. Unlike a CSR (just the order request submitted to the CA), the issued certificate binds a vetted identity to a public key that operating systems use to confirm a file’s origin.

Link kopieren

Was ist der Unterschied zwischen OV und EV?

EV vetting typically takes 3–5 business days longer than OV, and only EV qualifies for kernel-mode driver signing. Pricing, identity checks, and the SmartScreen behavior comparison are all in the OV vs EV section above.

Link kopieren

Benötige ich einen Hardware-Token für die Code-Signierung?

A hardware token is one of three options. Cloud signing services such as DigiCert KeyLocker and SSL.com eSigner skip the physical token entirely: the key sits in a CA-managed HSM and you sign over an API, which works well for CI/CD. See the hardware delivery section above.

Link kopieren

Wie lange ist ein Code-Signing-Zertifikat gültig?

Maximum 460 days per issuance under current rules. Always sign with a timestamping authority (DigiCert’s tsa.digicert.com or Sectigo’s timestamp.sectigo.com) so binaries stay trusted past expiration. Full context in the 460-Day Validity section above.

Link kopieren

Kann ich ein kostenloses Code-Signing-Zertifikat erhalten?

Keine öffentlich vertrauenswürdige CA stellt sie aus. Die vollständige Begründung und die günstigsten kostenpflichtigen Alternativen finden Sie im obigen Abschnitt „Warum kostenloses Code Signing nicht realistisch ist“.

Link kopieren

Welches Zertifikat benötige ich für Windows-Kernelmodustreiber?

Any EV code signing certificate. Microsoft’s WHQL portal and attestation signing flow both reject non-EV certificates outright.

Link kopieren

Wie lange dauert die Ausstellung einer Code-Signing-Zertifikats?

1–7 business days depending on the CA and validation level. EV usually takes longer than OV because the organization vetting is more involved, so plan extra time on a tight release deadline.

Link kopieren

Funktioniert Code-Signing unter macOS und Linux?

Yes for general signing of cross-platform binaries, including .jar files and many container formats. macOS App Store distribution requires a separate Apple Developer ID program; Linux signing is less standardized but supported across most package formats.

Link kopieren

Wissen Sie nicht, was Sie benotigen?

Nutzen Sie unseren SSL-Wizard, um die fur Sie passenden Optionen auszuwahlen, und wir helfen Ihnen, das richtige SSL-Zertifikat zu finden.

Wissen Sie nicht, was Sie benotigen?

SSL Dragon Setup-Wizard-Oberflache mit Schaltflachen und Anleitungstext

Unsere Kunden & Kennzahlen

Volvo logo
Netflix logo with a red background, displaying the text 'Netflix' in white.
Koton logo featuring stylized text and a light background.
Dufry logo
Phillips logo
Northrop Grumman Logo
Yale logo
Harvard logo
Oxford Logo
Rockefeller Logo
Goodwill Logo
Sapient Logo
Hawaii Logo
Army Logo
force Logo
Schneider Logo
cisco Logo
Cornell Logo

Bewertet 4.8 von 5 von 1232 Kunden

avatar-male-4
Christopher Broderick
June 15, 2022, , united kingdom

Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.

avatar-male-5
Munro James
October 31, 2020, Victoria, AU

Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.

avatar-female-3
Kelly Mark
October 29, 2020, Dublin, IE

Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.

Echte Kundenbewertungen und Rezensionen bei Shopper Approved. Lesen Sie sie alle.