Ein EV Code-Signing-Zertifikat authentifiziert Ihre Software unter der strengsten Identitätsprüfung im öffentlichen PKI, mit Preisen ab 287 $/Jahr bei SSL Dragon. Wir bieten Extended Validation (EV) Code-Signing-Zertifikate an, die von vertrauenswürdigen Zertifizierungsstellen ausgestellt werden, darunter Sectigo (ehemals Comodo), DigiCert und GoGetSSL. Die Ausstellung dauert 1 bis 7 Werktage nach Abschluss der Prüfung, mit einer 25-tägigen Geld-zurück-Garantie auf jede Bestellung.


Wann Sie EV Code Signing benötigen (und wann OV ausreicht)
EV ist in drei Kaufszenarien die einzig praktikable Stufe:
- Signierung von Windows-Kernel-Mode-Treibern. Das Windows Hardware Dev Center-Portal und der WHQL-Einreichungsprozess lehnen alles unterhalb von EV ab.
- Beschaffungsverträge oder Prüfrahmen, die Extended Validation ausdrücklich nennen. Sobald die Spezifikation EV vorschreibt, erfüllt OV die Anforderungsliste des Käufers nicht.
- Enterprise-Softwareanbieter, die maximale Identitätssicherheit benötigen. Nützlich, wenn Installationsprogramme Kunden in regulierten Branchen erreichen.
Für alles andere ist OV die richtige Wahl. Die Verschlüsselung ist auf beiden Stufen identisch; der Unterschied liegt in der Identitätssicherheit und darin, was Microsofts Authenticode-Infrastruktur für die Kernel-Mode-Signierung akzeptiert. Einzelne Entwickler, User-Mode-Anwendungen, Skripte, Makros und Signierungsprogramme mit geringerem Budget werden alle durch OV zu einem niedrigeren Preis mit leichterer Prüfung bedient.
Wenn Ihr Szenario kein EV erfordert, finden Sie auf unserer Seite für OV Code-Signing-Zertifikate die günstigere Alternative.
EV Code-Signing-Zertifikate von Comodo, Sectigo, DigiCert und GoGetSSL im Vergleich
Alle EV-Zertifikate auf dieser Seite werden gemäß denselben CA/Browser Forum EV-Anforderungen ausgestellt, sodass die Wahl in der Regel von Markenvorgaben, Budget und der Frage abhängt, ob Sie einen Cloud-Signing-Pfad benötigen.
| Zertifikat | Startpreis | Hardware-Lieferung | Ausstellungszeit | Am besten geeignet für |
|---|---|---|---|---|
| Comodo EV Code Signing | 287 $/Jahr | USB-Token oder HSM | 1-7 Tage | Günstigste EV-Option |
| Sectigo EV Code Signing | 287 $/Jahr | USB-Token oder HSM | 1-7 Tage | Günstigste EV-Option (alternative Marke) |
| GoGetSSL Code Signing EV SSL | 369 $/Jahr | USB-Token oder HSM | 1-7 Tage | Mittleres EV-Segment mit starker internationaler Abdeckung |
| DigiCert EV Code Signing | 685 $/Jahr | USB-Token, HSM oder KeyLocker Cloud | 1-7 Tage | Beschaffungs- und Compliance-Rahmen, die DigiCert namentlich nennen |
Wenn Sie keine Markenvorgabe haben und den niedrigsten Preis wünschen, ist Comodo EV Code Signing zu 287 $/Jahr der Einstiegspunkt. Wählen Sie DigiCert, wenn KeyLocker Cloud Signing Teil Ihrer Build-Pipeline ist oder ein Beschaffungsrahmen DigiCert direkt nennt. GoGetSSL liegt dazwischen und bietet eine breitere internationale Prüfungsreichweite.
So wird Ihr EV-Zertifikat ausgeliefert
Jeder EV Code-Signing-Schlüssel befindet sich nun gemäß dem CA/Browser Forum-Mandat vom Juni 2023 auf zertifizierter Hardware. Für die Zertifikate auf dieser Seite stehen drei EV-spezifische Lieferwege zur Verfügung:
- Von der CA versandter USB-Token. Am besten für gelegentliches manuelles Signieren geeignet. Die CA lädt den privaten Schlüssel auf ein FIPS 140-2 Level 2-Gerät vor, in der Regel einen YubiKey FIPS, und sendet es an Ihre registrierte Organisation.
- Eigenes HSM oder kompatibles Gerät. Wenn Sie bereits ein Hardware-Sicherheitsmodul mit FIPS 140-2 Level 2 oder Common Criteria EAL 4+ betreiben, stellt die CA das Zertifikat gegen eine Attestierungsdatei Ihres Geräts aus.
- Cloud-HSM-Signierdienst. DigiCert KeyLocker ist die auf dieser Seite verfügbare Cloud-HSM-Option. Das Signieren erfolgt über eine API, was CI/CD-Pipelines entgegenkommt und den physischen Token aus dem Workflow entfernt.
Für automatisierte Builds oder das Signieren unter Linux oder macOS, wo ein Windows-gebundener USB-Token unpraktisch ist, sollte Cloud Signing als erste Option in Betracht gezogen werden.
Microsoft SmartScreen und EV Code Signing
Bis Anfang 2024 wurde eine EV-Signatur auf einer Windows-Binärdatei von Microsoft SmartScreen als sofortiger Reputationsbooster behandelt, und die Marketingseiten der meisten CAs implizieren dies noch immer. Das Update des Microsoft Trusted Root Program vom März 2024 hat die Berechnung der Reputation verändert.
SmartScreen bewertet das Vertrauen nun anhand von Datei-Hash und Download-Volumen, unabhängig davon, ob die Binärdatei unter EV oder OV signiert wurde; beide Stufen akkumulieren Reputation auf dieselbe Weise, sobald ein Build in der Öffentlichkeit ist. Kaufen Sie EV wegen der Kernel-Mode-Treiber- und Beschaffungsgründe, nicht für eine SmartScreen-Abkürzung, die nicht mehr existiert.
Gültigkeit von Code-Signing-Zertifikaten unter der neuen 460-Tage-Regel
Mit Wirkung zum 1. März 2026 begrenzt das CA/Browser Forum Ballot CSC-31 (verabschiedet im November 2025) die maximale Gültigkeitsdauer jedes Code-Signing-Zertifikats auf 460 Tage. Mehrjährige Bestellungen werden weiterhin angeboten; Zertifikate werden während der Laufzeit neu ausgestellt. HSM-installierte Bestellungen können die gesamte gekaufte Laufzeit abdecken, erfordern jedoch eine jährliche Neuausstellung.
Code, der mit einem gültigen Zeitstempel eines TSA signiert wurde, beispielsweise dem Zeitstempeldienst von DigiCert oder Sectigo, bleibt auch nach Ablauf des Zertifikats vertrauenswürdig, sodass ältere Versionen weiterhin funktionieren.
Häufig gestellte Fragen
EV requires registered-organization vetting and is the only tier accepted for Windows kernel-mode drivers; OV permits individual developers at lower cost. EV vetting typically takes 3–5 business days longer than OV.
Link kopieren
For kernel-mode drivers, yes; Microsoft’s WHQL portal rejects anything below EV. User-mode drivers can be signed with OV under the same Authenticode flow as ordinary applications.
Link kopieren
Comodo EV und Sectigo EV beginnen beide bei $287/Jahr und sind damit die günstigsten EV-Optionen auf dieser Seite. Mehrjährige Bestellungen senken die jährlichen Kosten, mit jährlicher Neuausstellung gemäß der 460-Tage-Regel.
Link kopieren
Ja. DigiCert KeyLocker Cloud-HSM-Signierung ermöglicht es Ihnen, über eine API ohne Token zu signieren, und unterstützt macOS- oder Linux-Build-Agenten, bei denen ein USB-Token nicht praktikabel ist.
Link kopieren
Nein. Mit einem gültigen Zeitstempel signierter Code bleibt auch nach Ablauf vertrauenswürdig; nur neue Signaturen sind nicht mehr möglich. Verwenden Sie tsa.digicert.com oder timestamp.sectigo.com als kostenlosen TSA.
Link kopieren
Wissen Sie nicht, was Sie brauchen?
Nutzen Sie unseren SSL-Assistenten, um Ihre Optionen auszuwählen, und wir helfen Ihnen, das richtige SSL-Zertifikat zu finden.
Wissen Sie nicht, was Sie brauchen?

