OV- und EV-Code-Signing-Zertifikate von Comodo, Sectigo, DigiCert und GoGetSSL, ab $219/Jahr. Die meisten Bestellungen werden innerhalb von 1-7 Werktagen ausgestellt und werden mit einem Hardware-Token geliefert, oder Sie können uber Cloud HSM signieren. Abgesichert durch eine 25-tagige Geld-zuruck-Garantie.


OV vs. EV Code-Signing-Zertifikate
Es gibt zwei Validierungsstufen, und die Wahl zwischen ihnen hangt davon ab, wer signiert und was signiert wird.
- OV (Organization Validation) ist die Standardstufe. Die CA verifiziert die rechtliche Existenz eines eingetragenen Unternehmens und stellt das Zertifikat fur diese Organisation aus. Comodo und Sectigo stellen OV-aquivalente Zertifikate auch an verifizierte Einzelpersonen aus – manchmal als Individual Validation (IV) bezeichnet – fur Solo-Entwickler ohne eingetragenes Unternehmen. Die OV-Optionen von SSL Dragon beginnen bei $219/Jahr.
- EV (Extended Validation) erfordert eine grundlichere Unternehmensverifizierung gemas den EV-Richtlinien des CA/Browser Forums. Nur eingetragene Organisationen kommen in Frage; Einzelpersonen nicht. EV ist die einzige Stufe, die fur die Signierung von Windows-Kernelmodustreibern akzeptiert wird, und viele Unternehmens-Beschaffungs- und Audit-Richtlinien schreiben sie vor. Die EV-Optionen von SSL Dragon beginnen bei $287/Jahr.
| OV / Individual | EV | |
|---|---|---|
| Identitatsverifizierung | Unternehmen oder Einzelperson | Eingetragene Organisation (keine Einzelpersonen) |
| SmartScreen-Verhalten | Baut Reputation pro Datei-Hash auf | Baut Reputation pro Datei-Hash auf |
| Windows-Kernelmodustreiber-Signierung | Nicht berechtigt | Berechtigt |
| Einstiegspreis (SSL Dragon) | $219/Jahr | $287/Jahr |
| Am besten geeignet fur | User-Mode-Apps, Skripte, kleineres Budget | Treibersignierung, Identitatsnachweis, Beschaffung |
Hinweis zu SmartScreen: Ein Update des Microsoft Trusted Root Program aus dem Jahr 2024 hat verandert, wie Reputation aufgebaut wird. SmartScreen-Reputation wird nun nach Datei-Hash und Download-Volumen aufgebaut, unabhangig vom Zertifikatstyp. EV gewahrt kein sofortiges SmartScreen-Vertrauen mehr. Sowohl OV- als auch EV-signierte Binardateien bauen Reputation auf dieselbe Weise auf, sobald sie in Umlauf sind.
Wahlen Sie OV, wenn Sie User-Mode-Anwendungen signieren und den gunstigeren Preis bevorzugen. Wahlen Sie EV, wenn Sie Windows-Kernelmodustreiber signieren, maximale Identitassicherheit benotigen oder Ihre Beschaffungsrichtlinien EV ausdrucklich vorschreiben.
Hardware-Token, Cloud HSM oder eigenes Gerat
Seit dem 1. Juni 2023 schreibt das CA/Browser Forum vor, dass der private Schlussel jedes offentlich vertrauenswurdigen Zertifikats auf Hardware generiert und gespeichert werden muss, die FIPS 140-2 Level 2 oder Common Criteria EAL 4+ erfullt. Herunterladbare .pfx-Dateien werden nicht mehr ausgestellt. Kaufer wahlen einen von drei Lieferwegen:
- Von der CA versandter USB-Token. Die CA sendet einen vorinstallierten FIPS 140-2 Level 2 USB-Token (typischerweise ein YubiKey) an die verifizierte Adresse der Bestellung.
- Eigenes konformes Gerat mitbringen. Wenn Ihr Team bereits ein FIPS 140-2 Level 2 oder Common Criteria EAL 4+ HSM oder Token betreibt, stellt die CA das Zertifikat auf Basis einer Attestierung dieses Gerats aus.
- Cloud-HSM-Signierdienst. Der private Schlussel wird in einem von der CA verwalteten Cloud-HSM generiert und gespeichert, z. B. DigiCert KeyLocker, Sectigo Cloud Signing oder SSL.com eSigner. Kein physischer Token erforderlich, und die Signierung lasst sich problemlos in CI/CD-Pipelines integrieren.
Ein USB-Token ist am einfachsten fur gelegentliches manuelles Signieren; Cloud-Signing eignet sich besser fur automatisierte Builds. Alle drei Wege nutzen dieselbe Public Key Infrastructure (PKI): Das Zertifikat verknupft Ihre verifizierte Identitat mit einem offentlichen Schlussel, Hardware schutzt den privaten Schlussel, und die resultierende digitale Signatur wird von Windows verifiziert.
Einrichtungsschritte finden Sie in unseren Code-Signing-Tutorials.
Neue 460-Tage-Gultigkeitsbegrenzung (gultig ab Marz 2026)
Ab dem 1. Marz 2026 haben offentlich vertrauenswurdige Zertifikate eine maximale Gultigkeit von 460 Tagen (etwa 15 Monate), gegenuber dem bisherigen Maximum von 39 Monaten. Die Anderung geht auf das CA/Browser Forum Ballot CSC-31 zuruck. Mehrjahrige Bestellungen sind weiterhin erhaltlich, das Zertifikat selbst wird jedoch innerhalb der gekauften Laufzeit neu ausgestellt, anstatt sie zu uberspannen.
Was das auf Bestellebene bedeutet:
- Ein einzelnes neues Zertifikat ist auf ca. 15 Monate Gultigkeit begrenzt
- 2-jahrige und 3-jahrige Bestellungen bleiben verfugbar, mit Neuausstellung wahrend der Laufzeit
- HSM-installierte Bestellungen konnen die gesamte gekaufte Laufzeit abdecken, erfordern jedoch eine jahrliche Neuausstellung
- Vor dem 1. Marz 2026 ausgestellte Zertifikate bleiben bis zu ihrem ursprunglichen Ablaufdatum gultig
Ordnungsgemas mit einem Zeitstempel versehener Code bleibt auch nach Ablauf des Zertifikats vertrauenswurdig, sodass bereits signierte und veroffentlichte Software nicht betroffen ist. Nur der Erneuerungsrhythmus andert sich.
Code-Signing-Zertifikate nach CA und Preis vergleichen
SSL Dragon fuhrt Optionen von vier Certificate Authorities. Hier ist ein Uberblick, wie die OV- und EV-Optionen bei Einstiegspreis, Hardware-Lieferung und Ausstellungszeit abschneiden.
| Zertifikat | Validierung | Einstiegspreis | Hardware-Lieferung | Ausstellung |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/Jahr | USB-Token oder HSM | 1-7 Tage |
| Sectigo Code Signing SSL | OV / Individual | $219/Jahr | USB-Token oder HSM | 1-7 Tage |
| GoGetSSL Code Signing SSL | OV / Individual | $289/Jahr | USB-Token oder HSM | 1-7 Tage |
| DigiCert Code Signing | OV | $400/Jahr | USB-Token, HSM oder KeyLocker Cloud | 1-7 Tage |
| Comodo EV Code Signing | EV | $287/Jahr | USB-Token oder HSM | 1-7 Tage |
| Sectigo EV Code Signing | EV | $287/Jahr | USB-Token oder HSM | 1-7 Tage |
| GoGetSSL Code Signing EV SSL | EV | $369/Jahr | USB-Token oder HSM | 1-7 Tage |
| DigiCert EV Code Signing | EV | $685/Jahr | USB-Token, HSM oder KeyLocker Cloud | 1-7 Tage |
Comodo und Sectigo OV beginnen beide bei $219/Jahr und sind die gunstigsten offentlich vertrauenswurdigen Optionen auf dieser Seite. DigiCert liegt im Premium-Bereich – $400 fur OV und $685 fur EV – und wird in der Regel von Kaufern gewahlt, deren Vertrage oder Compliance-Rahmenwerke DigiCert ausdrucklich nennen. GoGetSSL ist die gunstige Wahl auf EV-Ebene mit $369/Jahr. Alle vier CAs liefern Hardware-Token, wobei DigiCert zusatzlich KeyLocker Cloud Signing fur HSM-freie Workflows anbietet.
Warum kostenloses Code Signing nicht realistisch ist
Keine offentlich vertrauenswurdige Certificate Authority bietet ab 2026 kostenloses Code Signing an.
Zwei reale Kostenfaktoren machen es unpraktikabel:
- Die CA muss die Identitat des Herausgebers verifizieren (Organisation oder Einzelperson)
- Seit Juni 2023 muss der private Schlussel auf FIPS-konformer Hardware gespeichert sein, fur die jemand bezahlen muss
Selbstsignierte Zertifikate konnen mit OpenSSL erstellt werden und sind kostenlos, aber Windows, macOS und Browser vertrauen ihnen nicht, sodass die Warnung „Unbekannter Herausgeber“ bestehen bleibt. Wenn der Preis das entscheidende Kriterium ist, sind Comodo Code Signing und Sectigo Code Signing OV (oder Individual Validation fur Solo-Entwickler) die Einstiegs-SKUs bei $219/Jahr.
Was Sie mit einem Code-Signing-Zertifikat signieren konnen
Ein Zertifikat von jeder CA, die SSL Dragon fuhrt, kann Folgendes signieren:
- Windows-Binardateien und Installer: .exe-, .dll-, .cab-, .ocx-, .msi- und .xap-Dateien, signiert uber Microsoft Authenticode
- Windows-Treiber: User-Mode-Treiber (OV oder EV) und Kernelmodustreiber (nur EV)
- Java-Anwendungen: .jar-Dateien, signiert mit jarsigner
- Skripte und Makros: PowerShell-Skripte, VBScript und Microsoft Office VBA-Makros
- Weitere Formate: Adobe AIR-Pakete, Mozilla-Objektdateien und Microsoft Silverlight (veraltet, aber weiterhin gultig)
- Firmware und IoT-Software
- Container und Softwarepakete
Dasselbe Zertifikat deckt die meisten der oben genannten Falle ab; der Kernelmodustreiber-Fall ist der einzige, der die EV-Stufe erfordert.
Code-Signing- vs. SSL/TLS-Zertifikate
Ein SSL/TLS-Zertifikat verschlusselt die Verbindung zwischen einem Browser und einer Website. Ein Code-Signing-Zertifikat signiert Software digital, damit das Betriebssystem verifizieren kann, wer sie veroffentlicht hat und ob die Datei unverandert ist.
Die beiden sind nicht austauschbar: Eines sichert eine Domain, das andere beweist den Ursprung einer ausfuhrbaren Datei. Beide sind X.509-Zertifikate, die von einer Certificate Authority ausgestellt werden, weshalb sie haufig verwechselt werden.
Häufig gestellte Fragen
It’s an X.509 certificate that lets a publisher attach a verifiable digital signature to software. Unlike a CSR (just the order request submitted to the CA), the issued certificate binds a vetted identity to a public key that operating systems use to confirm a file’s origin.
Link kopieren
EV vetting typically takes 3–5 business days longer than OV, and only EV qualifies for kernel-mode driver signing. Pricing, identity checks, and the SmartScreen behavior comparison are all in the OV vs EV section above.
Link kopieren
A hardware token is one of three options. Cloud signing services such as DigiCert KeyLocker and SSL.com eSigner skip the physical token entirely: the key sits in a CA-managed HSM and you sign over an API, which works well for CI/CD. See the hardware delivery section above.
Link kopieren
Maximum 460 days per issuance under current rules. Always sign with a timestamping authority (DigiCert’s tsa.digicert.com or Sectigo’s timestamp.sectigo.com) so binaries stay trusted past expiration. Full context in the 460-Day Validity section above.
Link kopieren
Keine öffentlich vertrauenswürdige CA stellt sie aus. Die vollständige Begründung und die günstigsten kostenpflichtigen Alternativen finden Sie im obigen Abschnitt „Warum kostenloses Code Signing nicht realistisch ist“.
Link kopieren
Any EV code signing certificate. Microsoft’s WHQL portal and attestation signing flow both reject non-EV certificates outright.
Link kopieren
1–7 business days depending on the CA and validation level. EV usually takes longer than OV because the organization vetting is more involved, so plan extra time on a tight release deadline.
Link kopieren
Yes for general signing of cross-platform binaries, including .jar files and many container formats. macOS App Store distribution requires a separate Apple Developer ID program; Linux signing is less standardized but supported across most package formats.
Link kopieren
Wissen Sie nicht, was Sie benotigen?
Nutzen Sie unseren SSL-Wizard, um die fur Sie passenden Optionen auszuwahlen, und wir helfen Ihnen, das richtige SSL-Zertifikat zu finden.
Wissen Sie nicht, was Sie benotigen?

