Un certificat de signature de code EV authentifie votre logiciel selon le niveau de vérification d’identité le plus strict du PKI public, avec des prix à partir de 287 $/an via SSL Dragon. Nous proposons des certificats de signature de code Extended Validation (EV) émis par des autorités de certification de confiance, notamment Sectigo (anciennement Comodo), DigiCert et GoGetSSL. L’émission prend de 1 à 7 jours ouvrables une fois la vérification terminée, avec une garantie de remboursement de 25 jours sur chaque commande.


Quand opter pour un certificat EV de signature de code (et quand OV suffit)
EV est le seul niveau viable dans trois scénarios d’achat :
- Signature des pilotes en mode noyau Windows. Le portail Windows Hardware Dev Center et le flux de soumission WHQL rejettent tout ce qui est en dessous du niveau EV.
- Contrats d’approvisionnement ou cadres d’audit mentionnant explicitement Extended Validation. Dès que la spécification exige EV, OV ne satisfera pas la liste de contrôle de l’acheteur.
- Éditeurs de logiciels d’entreprise ayant besoin d’une assurance d’identité maximale. Utile lorsque les installateurs atteignent des clients dans des secteurs réglementés.
Pour tout le reste, OV est le bon choix. Le chiffrement est identique dans les deux niveaux ; la différence réside dans l’assurance d’identité et ce que l’infrastructure Authenticode de Microsoft accepte pour la signature en mode noyau. Les développeurs individuels, les applications en mode utilisateur, les scripts, les macros et les programmes de signature à budget réduit sont tous servis par OV à un prix inférieur avec une vérification allégée.
Si votre scénario ne nécessite pas EV, notre page certificat de signature de code OV présente l’alternative moins coûteuse.
Comparer les certificats EV de signature de code de Comodo, Sectigo, DigiCert et GoGetSSL
Tous les certificats EV de cette page sont émis selon les mêmes exigences EV du CA/Browser Forum, donc le choix se résume généralement à une obligation de marque, au budget et à la nécessité d’un chemin de signature cloud.
| Certificat | Prix de départ | Livraison matérielle | Délai d’émission | Idéal pour |
|---|---|---|---|---|
| Comodo EV Code Signing | 287 $/an | Token USB ou HSM | 1-7 jours | Option EV au prix le plus bas |
| Sectigo EV Code Signing | 287 $/an | Token USB ou HSM | 1-7 jours | Option EV au prix le plus bas (marque alternative) |
| GoGetSSL Code Signing EV SSL | 369 $/an | Token USB ou HSM | 1-7 jours | EV intermédiaire avec une forte couverture internationale |
| DigiCert EV Code Signing | 685 $/an | Token USB, HSM ou cloud KeyLocker | 1-7 jours | Cadres d’approvisionnement et de conformité mentionnant DigiCert |
Si vous n’avez aucune exigence de marque et souhaitez le prix le plus bas, Comodo EV Code Signing à 287 $/an est le point d’entrée. Choisissez DigiCert lorsque la signature cloud KeyLocker fait partie de votre pipeline de build ou qu’un cadre d’approvisionnement nomme DigiCert directement. GoGetSSL se situe entre les deux, avec une portée de vérification internationale plus large.
Comment votre certificat EV est livré
Chaque clé de signature de code EV réside désormais sur un matériel certifié conformément au mandat du CA/Browser Forum de juin 2023. Trois modes de livraison spécifiques à EV sont disponibles pour les certificats de cette page :
- Token USB expédié par la CA. Idéal pour la signature manuelle occasionnelle. La CA précharge la clé privée sur un dispositif FIPS 140-2 Level 2, généralement un YubiKey FIPS, et l’expédie à votre organisation enregistrée.
- Votre propre HSM ou dispositif conforme. Si vous exploitez déjà un module de sécurité matérielle certifié FIPS 140-2 Level 2 ou Common Criteria EAL 4+, la CA émet le certificat à partir d’un fichier d’attestation de votre dispositif.
- Service de signature HSM cloud. DigiCert KeyLocker est l’option HSM cloud disponible sur cette page. La signature s’effectue via une API, ce qui convient aux pipelines CI/CD et supprime le token physique du flux de travail.
Pour les builds automatisés, ou la signature sous Linux ou macOS où un token USB lié à Windows est peu pratique, la signature cloud est la solution à évaluer en premier.
Microsoft SmartScreen et la signature de code EV
Jusqu’au début de 2024, une signature EV sur un binaire Windows était traitée par Microsoft SmartScreen comme un accélérateur de réputation instantané, et les pages marketing de la plupart des CA laissent encore entendre cela. La mise à jour du programme Microsoft Trusted Root de mars 2024 a modifié le calcul de la réputation.
SmartScreen évalue désormais la confiance par hachage de fichier et volume de téléchargement, que le binaire ait été signé sous EV ou OV ; les deux niveaux accumulent la réputation de la même manière une fois qu’un build est diffusé. Achetez EV pour les raisons liées aux pilotes en mode noyau et aux exigences d’approvisionnement, et non pour un raccourci SmartScreen qui n’existe plus.
Validité des certificats de signature de code selon la nouvelle règle des 460 jours
A compter du 1er mars 2026, le Ballot CSC-31 du CA/Browser Forum (adopté en novembre 2025) plafonne la validité maximale de tout certificat de signature de code à 460 jours. Les commandes pluriannuelles sont toujours proposées ; les certificats sont réémis pendant la durée du contrat. Les commandes installées sur HSM peuvent couvrir la durée totale achetée, mais nécessitent une réémission annuelle.
Le code signé avec un horodatage valide d’un TSA, tel que le service d’horodatage de DigiCert ou de Sectigo, reste fiable au-delà de l’expiration du certificat, de sorte que les anciennes versions continuent de fonctionner.
Questions fréquemment posées
EV nécessite une vérification de l’organisation enregistrée et est le seul niveau accepté pour les pilotes en mode noyau Windows ; OV permet aux développeurs individuels d’obtenir un certificat à moindre coût. La vérification EV prend généralement 3 à 5 jours ouvrables de plus que OV.
Copier le lien
Pour les pilotes en mode noyau, oui ; le portail WHQL de Microsoft rejette tout ce qui est en dessous de EV. Les pilotes en mode utilisateur peuvent être signés avec OV selon le même flux Authenticode que les applications ordinaires.
Copier le lien
Comodo EV et Sectigo EV débutent tous deux à 287 $/an, ce qui en fait les options EV les moins chères de cette page. Les commandes pluriannuelles réduisent le coût annuel, avec une réémission annuelle selon la règle des 460 jours.
Copier le lien
Oui. La signature via DigiCert KeyLocker cloud HSM vous permet de signer via une API sans token, et couvre les agents de build macOS ou Linux où un token USB n’est pas pratique.
Copier le lien
Non. Le code signé avec un horodatage valide reste approuvé après l’expiration ; seule la nouvelle signature prend fin. Utilisez tsa.digicert.com ou timestamp.sectigo.com comme TSA gratuit.
Copier le lien
Vous ne savez pas ce dont vous avez besoin ?
Utilisez notre assistant SSL pour sélectionner vos options, et nous vous aiderons à trouver le bon certificat SSL.
Vous ne savez pas ce dont vous avez besoin ?

