hero digicert Image

Certificats de signature de code

Certificats de signature de code OV et EV de Comodo, Sectigo, DigiCert et GoGetSSL, à partir de 219 $/an. La plupart des commandes sont émises en 1 à 7 jours ouvrables et livrées avec un token matériel, ou vous pouvez signer via un HSM cloud. Garantie de remboursement de 25 jours.

Icône représentant un casque de support avec le texte 'Support'
Support dédié
Logo GLEIF avec le texte intégré 'GLEIF Accredited'
Remboursement sous 25 jours

Certificats de signature de code OV vs EV

Il existe deux niveaux de validation, et le choix de l’acheteur entre les deux dépend de qui signe et de ce qu’il signe.

OV / IndividuelEV
Vérification d’identitéEntreprise ou particulierOrganisation enregistrée (pas de particuliers)
Comportement SmartScreenConstruit la réputation par hash de fichierConstruit la réputation par hash de fichier
Signature de pilotes en mode noyau WindowsNon éligibleÉligible
Prix de départ (SSL Dragon)219 $/an287 $/an
Idéal pourApplications en mode utilisateur, scripts, budget réduitSignature de pilotes, assurance d’identité, approvisionnement

Note sur SmartScreen : une mise à jour de 2024 du Microsoft Trusted Root Program a modifié la façon dont la réputation s’accumule. La réputation SmartScreen se construit désormais par hash de fichier et volume de téléchargements, quel que soit le type de certificat. EV n’accorde plus une confiance SmartScreen instantanée. Les binaires signés OV et EV accumulent la réputation de la même manière une fois diffusés.

Choisissez OV si vous signez des applications en mode utilisateur et souhaitez un tarif plus bas. Choisissez EV si vous signez des pilotes en mode noyau Windows, avez besoin d’une assurance d’identité maximale, ou si vos procédures d’approvisionnement mentionnent explicitement EV.

Token matériel, HSM cloud ou apportez votre propre appareil

Depuis le 1er juin 2023, le CA/Browser Forum exige que la clé privée de chaque certificat de confiance publique soit générée et stockée sur un matériel conforme à FIPS 140-2 Level 2 ou Common Criteria EAL 4+. Les fichiers .pfx téléchargeables ne sont plus émis. Les acheteurs choisissent l’une des trois méthodes de livraison suivantes :

  1. Token USB expédié par la CA. La CA envoie par courrier un token USB FIPS 140-2 Level 2 préchargé (généralement un YubiKey) à l’adresse vérifiée de la commande.
  2. Apportez votre propre appareil conforme. Si votre équipe dispose déjà d’un HSM ou d’un token conforme FIPS 140-2 Level 2 ou Common Criteria EAL 4+, la CA émet le certificat sur la base d’une attestation de cet appareil.
  3. Service de signature via HSM cloud. La clé privée est générée et conservée dans un HSM cloud géré par la CA, tel que DigiCert KeyLocker, la signature cloud Sectigo, ou SSL.com eSigner. Aucun token physique à expédier, et la signature s’intègre facilement dans les pipelines CI/CD.

Un token USB est la solution la plus simple pour une signature manuelle occasionnelle ; la signature cloud convient mieux aux builds automatisés. Les trois méthodes partagent la même infrastructure à clé publique (PKI) : le certificat lie votre identité vérifiée à une clé publique, le matériel protège la clé privée, et la signature numérique résultante est ce que Windows vérifie.

Les étapes de configuration sont disponibles dans nos tutoriels de signature de code.

Nouvelle limite de validité de 460 jours (en vigueur à partir de mars 2026)

À compter du 1er mars 2026, les certificats de confiance publique ont une validité maximale de 460 jours (environ 15 mois), contre un maximum précédent de 39 mois. Ce changement découle du vote CSC-31 du CA/Browser Forum. Les commandes pluriannuelles sont toujours disponibles, mais le certificat lui-même est réémis au cours de la période achetée plutôt que de la couvrir entièrement.

Ce que cela signifie au niveau de la commande :

  • Un nouveau certificat individuel est limité à environ 15 mois de validité
  • Les commandes sur 2 et 3 ans restent disponibles, avec réémission pendant la période
  • Les commandes installées sur HSM peuvent couvrir toute la période achetée mais nécessitent une réémission annuelle
  • Les certificats émis avant le 1er mars 2026 restent valides jusqu’à leur date d’expiration initiale

Le code correctement horodaté reste fiable au-delà de l’expiration du certificat, de sorte que les logiciels déjà signés et distribués ne sont pas affectés. Seule la fréquence de renouvellement change.

Comparer les certificats de signature de code par CA et par prix

SSL Dragon propose des options de quatre autorités de certification. Voici comment les options OV et EV se comparent en termes de prix de départ, de livraison matérielle et de délai d’émission.

CertificatValidationPrix de départLivraison matérielleÉmission
Comodo Code SigningOV / Individuel219 $/anToken USB ou HSM1-7 jours
Sectigo Code Signing SSLOV / Individuel219 $/anToken USB ou HSM1-7 jours
GoGetSSL Code Signing SSLOV / Individuel289 $/anToken USB ou HSM1-7 jours
DigiCert Code SigningOV400 $/anToken USB, HSM ou KeyLocker cloud1-7 jours
Comodo EV Code SigningEV287 $/anToken USB ou HSM1-7 jours
Sectigo EV Code SigningEV287 $/anToken USB ou HSM1-7 jours
GoGetSSL Code Signing EV SSLEV369 $/anToken USB ou HSM1-7 jours
DigiCert EV Code SigningEV685 $/anToken USB, HSM ou KeyLocker cloud1-7 jours

Comodo et Sectigo OV démarrent tous deux à 219 $/an et sont les options de confiance publique les moins chères de cette page. DigiCert se positionne en haut de gamme, à 400 $ pour OV et 685 $ pour EV, et est généralement choisi par les acheteurs dont les contrats ou les cadres de conformité mentionnent spécifiquement DigiCert. GoGetSSL est le choix économique au niveau EV à 369 $/an. Les quatre CA expédient des tokens matériels, DigiCert proposant également la signature cloud KeyLocker pour les workflows sans HSM.

Pourquoi la signature de code gratuite n’est pas réaliste

Aucune autorité de certification de confiance publique ne propose de signature de code gratuite en 2026.

Deux coûts réels rendent cela impossible :

  1. La CA doit vérifier l’identité de l’éditeur (organisation ou particulier)
  2. Depuis juin 2023, la clé privée doit être stockée sur un matériel conforme FIPS, dont quelqu’un doit assumer le coût

Les certificats auto-signés peuvent être générés avec OpenSSL et ne coûtent rien, mais Windows, macOS et les navigateurs ne leur font pas confiance, ce qui laisse l’avertissement « Éditeur inconnu » en place. Si le prix est le facteur déterminant, Comodo Code Signing et Sectigo Code Signing OV (ou Individual Validation pour les développeurs indépendants) sont les offres d’entrée de gamme à 219 $/an.

Ce que vous pouvez signer avec un certificat de signature de code

Un certificat de n’importe quelle CA proposée par SSL Dragon peut signer :

  • Binaires et installateurs Windows : fichiers .exe, .dll, .cab, .ocx, .msi et .xap signés via Microsoft Authenticode
  • Pilotes Windows : pilotes en mode utilisateur (OV ou EV) et pilotes en mode noyau (EV uniquement)
  • Applications Java : fichiers .jar signés avec jarsigner
  • Scripts et macros : scripts PowerShell, VBScript et macros VBA Microsoft Office
  • Autres formats : packages Adobe AIR, fichiers objets Mozilla et Microsoft Silverlight (héritage mais toujours valide)
  • Firmware et logiciels IoT
  • Conteneurs et packages logiciels

Le même certificat couvre la plupart des éléments de la liste ci-dessus ; le cas des pilotes en mode noyau est celui qui impose le niveau EV.

Signature de code vs certificats SSL/TLS

Un certificat SSL/TLS chiffre la connexion entre un navigateur et un site web. Un certificat de signature de code signe numériquement un logiciel afin que le système d’exploitation puisse vérifier qui l’a publié et que le fichier n’a pas été modifié.

Les deux ne sont pas interchangeables : l’un sécurise un domaine, l’autre prouve l’origine d’un exécutable. Ce sont tous deux des certificats X.509 émis par une autorité de certification, ce qui explique la confusion fréquente entre eux.

Questions fréquemment posées

Qu’est-ce qu’un certificat de signature de code ?

C’est un certificat X.509 qui permet à un éditeur d’associer une signature numérique vérifiable à un logiciel. Contrairement à un CSR (simple demande de commande soumise à la CA), le certificat émis lie une identité vérifiée à une clé publique que les systèmes d’exploitation utilisent pour confirmer l’origine d’un fichier.

Copier le lien

Quelle est la différence entre OV et EV ?

La validation EV prend généralement 3 à 5 jours ouvrables de plus que l’OV, et seul l’EV est éligible pour la signature de pilotes en mode noyau. Les informations sur les tarifs, les vérifications d’identité et la comparaison du comportement SmartScreen se trouvent dans la section OV vs EV ci-dessus.

Copier le lien

Ai-je besoin d’un token matériel pour la signature de code ?

Un token matériel est l’une des trois options. Les services de signature cloud tels que DigiCert KeyLocker et SSL.com eSigner se passent entièrement du token physique : la clé réside dans un HSM géré par la CA et vous signez via une API, ce qui fonctionne bien pour les pipelines CI/CD. Consultez la section sur la livraison matérielle ci-dessus.

Copier le lien

Quelle est la durée de validité d’un certificat de signature de code ?

Maximum 460 jours par émission selon les règles actuelles. Signez toujours avec une autorité d’horodatage (tsa.digicert.com de DigiCert ou timestamp.sectigo.com de Sectigo) afin que les binaires restent approuvés après expiration. Contexte complet dans la section Validité de 460 jours ci-dessus.

Copier le lien

Puis-je obtenir un certificat de signature de code gratuit ?

Aucune CA de confiance publique n’en émet. Le raisonnement complet et les alternatives payantes les moins chères se trouvent dans la section Pourquoi la signature de code gratuite n’est pas réaliste ci-dessus.

Copier le lien

De quel certificat ai-je besoin pour les pilotes en mode noyau Windows ?

Tout certificat de signature de code EV. Le portail WHQL de Microsoft et le flux de signature par attestation rejettent tous deux les certificats non-EV d’emblée.

Copier le lien

Combien de temps prend l’émission d’un certificat de signature de code ?

1 à 7 jours ouvrables selon le CA et le niveau de validation. EV prend généralement plus de temps que OV car la vérification de l’organisation est plus approfondie, donc prévoyez du temps supplémentaire si vous avez une échéance de mise en production serrée.

Copier le lien

La signature de code fonctionne-t-elle sur macOS et Linux ?

Oui, pour la signature générale de binaires multiplateformes, y compris les fichiers .jar et de nombreux formats de conteneurs. La distribution sur le Mac App Store nécessite un programme Apple Developer ID distinct ; la signature sous Linux est moins standardisée mais prise en charge dans la plupart des formats de paquets.

Copier le lien

Vous ne savez pas ce dont vous avez besoin ?

Utilisez notre assistant SSL pour sélectionner les options qui vous correspondent, et nous vous aiderons à trouver le bon certificat SSL.

Vous ne savez pas ce dont vous avez besoin ?

Interface de l'assistant de configuration SSL Dragon avec des boutons et du texte explicatif

Nos clients et chiffres clés

Volvo logo
Netflix logo with a red background, displaying the text 'Netflix' in white.
Koton logo featuring stylized text and a light background.
Dufry logo
Phillips logo
Northrop Grumman Logo
Yale logo
Harvard logo
Oxford Logo
Rockefeller Logo
Goodwill Logo
Sapient Logo
Hawaii Logo
Army Logo
force Logo
Schneider Logo
cisco Logo
Cornell Logo

Classé 4.8 sur 5 par 1236 clients

avatar-male-2
Christopher Broderick
June 15, 2022, , united kingdom

Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.

avatar-male-4
Munro James
October 31, 2020, Victoria, AU

Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.

avatar-female-4
Kelly Mark
October 29, 2020, Dublin, IE

Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.

De vraies évaluations et commentaires de clients sur Shopper Approved. Lisez-les tous.