Signature du code

À partir du 1er juin 2023, des mesures de sécurité améliorées exigeront que les clés privées des certificats de signature de code standard soient exclusivement stockées sur du matériel certifié FIPS 140 niveau 2, Critères communs EAL 4+ ou équivalent. Cette modification s’aligne sur les normes de protection rigoureuses des certificats de signature de code EV. En conséquence, les autorités de certification (AC) ont cessé de prendre en charge les processus de génération de clés, de création de CSR et d’installation basés sur le navigateur. En revanche, si vous optez pour la méthode d’envoi “token+” lors de la demande de certificat, l’autorité de certification sera invitée à créer la RSC. Ceux qui préfèrent installer un HSM doivent se référer aux instructions ci-dessous ou aux directives du fournisseur concerné.

• YubiKey 5 Génération et attestation de CSR FIPS
• Luna Network Attached HSM v7.x : CSR & Attestation Guide

En savoir plus sur les méthodes de délivrance des certificats de signature de code.

Copier le lien

Le processus de signature de code DigiCert/GoGetSSL Organization Validation (OV) comprend cinq étapes :

1. Authentification de l’organisation : L’AC confirme l’enregistrement légal et le statut actif, en comparant les informations avec les registres officiels ou les documents soumis.
2. Validation de l’adresse physique: DigiCert compare les adresses d’entreprises avec des sites web gouvernementaux et des annuaires réputés pour s’assurer de leur présence physique.
3. Vérification du numéro de téléphone: Le Ca vérifie le numéro de téléphone de l’organisation en consultant des annuaires tiers ou des documents officiels.
4. Appel de vérification : Un agent de DigiCert lance un appel au représentant autorisé, en utilisant un numéro de téléphone vérifié, ou fournit une option de messagerie vocale si nécessaire.
5. Approbation finale: Le Ca examine les détails en interne et envoie des instructions par courrier électronique pour la collecte du certificat en cas de validation réussie.

Pour plus d’informations, consultez notre guide détaillé sur la validation de l’organisation pour les certificats Digicert/GoGetSSL.

Copier le lien

Pour obtenir un certificat de signature de code GoGetSSL à titre individuel, procédez comme suit :

Confirmer l’identité

Remplir une lettre d’attestation et se soumettre à un contrôle vidéo à l’aide de votre webcam. L’AC vérifiera votre photo d’identité et votre identité. Si vous n’avez pas de passeport, fournissez deux pièces d’identité : une pièce officielle avec votre photo et votre nom, et une autre avec votre nom.

Vérification du téléphone

Vérifiez la validité et l’activité de votre numéro de téléphone. Une source Google Business est acceptée.

Appel de vérification finale

Répondez à quelques questions lors d’un appel téléphonique avec un agent de l’AC pour confirmer les détails de votre demande.

Pour plus d’informations, consultez le guide complet sur la manière de passer la validation individuelle pour un certificat de signature de code GoGetSSL.

Copier le lien

Voici les étapes nécessaires pour réussir la validation individuelle d’un certificat de signature de code Sectigo/Comodo :

Option photo d’identité :

• Présenter une pièce d’identité gouvernementale avec photo.
• Envoyez un selfie avec votre pièce d’identité.
• Ouvrir un ticket Sectigo.
• Recevoir le numéro de dossier.

Option face à face :

• Fournir une pièce d’identité et un justificatif financier.
• Inclure le document relatif à l’adresse non financière.
• Remplir la déclaration personnelle.
• Notariser des documents.
• Ouvrir un ticket Sectigo.
• Obtenir le numéro de dossier.

Veuillez noter qu’il s’agit d’une vue d’ensemble concise. Se référer aux instructions détaillées de validation individuelle pour les certificats de signature de code Sectigo/Comodo.

Copier le lien

Les dernières directives du Ca/Browser Forum exigent que les certificats de signature de code soient délivrés sur des clés USB physiques ou installés sur un module de sécurité matériel (HSM) existant. Pour plus de détails, consultez le guide complet des méthodes de livraison par signature de code.

Copier le lien

Les certificats de signature de code ont une durée de validité de 1 à 3 ans. Avec SSL Dragon, vous pouvez économiser une somme considérable sur chaque certificat de signature de code lorsque vous achetez un abonnement pluriannuel. Plus la période de validité est longue, plus le prix est bas et moins la maintenance du certificat est nécessaire. Ne manquez pas nos remises, offres et promotions !

Copier le lien

Si vous distribuez des logiciels ou des scripts aux utilisateurs, vous devez obtenir un certificat de signature de code. Il authentifie votre code et le protège contre la falsification, permettant ainsi aux utilisateurs d’accéder à vos produits numériques et de les utiliser.

Copier le lien

Vous pouvez créer un certificat de signature de code, mais il sera auto-signé et ne sera pas reconnu par défaut par les autres systèmes. Vous devez obtenir un certificat de signature de code auprès d’une autorité de certification publique pour bénéficier d’une confiance et d’une reconnaissance étendues.

Copier le lien

Le coût d’un certificat de signature de code varie en fonction de l’autorité de certification (AC) et du type de certificat (Organization Validation ou Extended Validation).

Copier le lien

Le code signé reste valide, mais les utilisateurs peuvent voir des avertissements ou des invites indiquant que le certificat a expiré. Vous devez obtenir un nouveau certificat de signature de code et signer à nouveau votre code pour garantir le maintien de la confiance et éviter les messages d’avertissement.

Copier le lien