Comodo, Sectigo, DigiCert, और GoGetSSL के OV और EV code signing certificates, $219/year से शुरू। अधिकांश ऑर्डर 1-7 business days में जारी होते हैं और hardware token के साथ ship किए जाते हैं, या आप cloud HSM के माध्यम से sign कर सकते हैं। 25-day money-back guarantee के साथ समर्थित।


OV बनाम EV Code Signing Certificates
दो validation tiers मौजूद हैं, और खरीदार का इनके बीच चुनाव इस बात पर निर्भर करता है कि कौन sign करता है और क्या sign करता है।
- OV (Organization Validation) standard tier है। CA किसी registered business के कानूनी अस्तित्व की जांच करता है और उस organization को certificate जारी करता है। Comodo और Sectigo verified individuals को भी OV-equivalent certificates जारी करते हैं, जिन्हें कभी-कभी Individual Validation (IV) कहा जाता है, उन solo developers के लिए जिनके पास registered company नहीं है। SSL Dragon के OV options $219/year से शुरू होते हैं।
- EV (Extended Validation) के लिए CA/Browser Forum के EV guidelines के तहत गहरी business vetting आवश्यक है। केवल registered organizations ही योग्य हैं; individuals नहीं। EV एकमात्र tier है जो Windows kernel-mode drivers signing के लिए स्वीकार्य है, और कई enterprise procurement और audit policies इसे अनिवार्य करती हैं। SSL Dragon के EV options $287/year से शुरू होते हैं।
| OV / Individual | EV | |
|---|---|---|
| Identity vetting | Business या individual | Registered organization (individuals नहीं) |
| SmartScreen व्यवहार | प्रति file hash reputation बनाता है | प्रति file hash reputation बनाता है |
| Windows kernel-mode driver signing | योग्य नहीं | योग्य |
| शुरुआती मूल्य (SSL Dragon) | $219/yr | $287/yr |
| सबसे उपयुक्त | User-mode apps, scripts, कम बजट | Driver signing, identity assurance, procurement |
SmartScreen के बारे में एक नोट: Microsoft Trusted Root Program के 2024 update ने reputation accumulate होने के तरीके को बदल दिया। SmartScreen reputation अब certificate type की परवाह किए बिना file hash और download volume के आधार पर बनती है। EV अब instant SmartScreen trust नहीं देता। OV और EV दोनों signed binaries एक बार wild में आने के बाद एक ही तरह से reputation बनाते हैं।
OV चुनें यदि आप user-mode applications sign करते हैं और कम price tier चाहते हैं। EV चुनें यदि आप Windows kernel-mode drivers sign करते हैं, अधिकतम identity assurance की आवश्यकता है, या आपके procurement में EV का स्पष्ट उल्लेख है।
Hardware Token, Cloud HSM, या Bring Your Own Device
1 जून 2023 से, CA/Browser Forum के लिए आवश्यक है कि प्रत्येक publicly-trusted certificate की private key FIPS 140-2 Level 2 या Common Criteria EAL 4+ को पूरा करने वाले hardware पर generate और store की जाए। Downloadable .pfx files अब जारी नहीं की जाती हैं। खरीदार तीन delivery routes में से एक चुनते हैं:
- CA-shipped USB token। CA order पर verified address पर एक pre-loaded FIPS 140-2 Level 2 USB token (आमतौर पर एक YubiKey) mail करता है।
- Bring-your-own compliant device। यदि आपकी team पहले से FIPS 140-2 Level 2 या Common Criteria EAL 4+ HSM या token operate करती है, तो CA उस device के attestation के आधार पर certificate जारी करता है।
- Cloud HSM signing service। Private key CA-managed cloud HSM जैसे DigiCert KeyLocker, Sectigo cloud signing, या SSL.com eSigner में generate और रखी जाती है। Ship करने के लिए कोई physical token नहीं, और signing CI/CD pipelines में आसानी से fit हो जाती है।
USB token occasional manual signing के लिए सबसे सरल है; cloud signing automated builds के लिए बेहतर है। तीनों routes एक ही Public Key Infrastructure (PKI) share करते हैं: certificate आपकी verified identity को एक public key से जोड़ता है, hardware private key की सुरक्षा करता है, और resulting digital signature वही है जिसे Windows verify करता है।
Setup steps हमारे code signing tutorials में हैं।
नई 460-Day Validity सीमा (मार्च 2026 से प्रभावी)
1 मार्च 2026 से, publicly-trusted certificates की अधिकतम validity 460 days (लगभग 15 महीने) है, जो पहले की 39-month maximum से कम है। यह बदलाव CA/Browser Forum Ballot CSC-31 से आया है। Multi-year orders अभी भी बेची जाती हैं, लेकिन certificate खुद purchased term के भीतर reissue की जाती है बजाय उसे span करने के।
Order level पर इसका क्या अर्थ है:
- एक नया certificate ~15 महीने की validity तक सीमित है
- 2-year और 3-year orders उपलब्ध रहती हैं, term के दौरान reissuance के साथ
- HSM-installed orders पूरे purchased term को cover कर सकती हैं लेकिन annual reissuance की आवश्यकता होती है
- 1 मार्च 2026 से पहले जारी certificates अपनी original expiration तक valid रहती हैं
ठीक से timestamped code certificate की expiration के बाद भी trusted रहता है, इसलिए आपने जो software पहले से sign और ship किया है वह प्रभावित नहीं होता। केवल renewal cadence बदलती है।
CA और Price के अनुसार Code Signing Certificates की तुलना करें
SSL Dragon चार Certificate Authorities के options रखता है। यहां बताया गया है कि OV और EV options शुरुआती price, hardware delivery, और issuance time पर कैसे align होते हैं।
| Certificate | Validation | शुरुआती मूल्य | Hardware Delivery | Issuance |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/yr | USB token या HSM | 1-7 दिन |
| Sectigo Code Signing SSL | OV / Individual | $219/yr | USB token या HSM | 1-7 दिन |
| GoGetSSL Code Signing SSL | OV / Individual | $289/yr | USB token या HSM | 1-7 दिन |
| DigiCert Code Signing | OV | $400/yr | USB token, HSM, या KeyLocker cloud | 1-7 दिन |
| Comodo EV Code Signing | EV | $287/yr | USB token या HSM | 1-7 दिन |
| Sectigo EV Code Signing | EV | $287/yr | USB token या HSM | 1-7 दिन |
| GoGetSSL Code Signing EV SSL | EV | $369/yr | USB token या HSM | 1-7 दिन |
| DigiCert EV Code Signing | EV | $685/yr | USB token, HSM, या KeyLocker cloud | 1-7 दिन |
Comodo और Sectigo OV दोनों $219/year से शुरू होते हैं और इस page पर सबसे सस्ते publicly-trusted options हैं। DigiCert premium end पर है, OV के लिए $400 और EV के लिए $685, और आमतौर पर उन खरीदारों द्वारा चुना जाता है जिनके contracts या compliance frameworks में DigiCert का विशेष उल्लेख है। GoGetSSL EV tier पर $369/year में value pick है। सभी चार CAs hardware tokens ship करते हैं, DigiCert HSM-free workflows के लिए KeyLocker cloud signing भी offer करता है।
Free Code Signing क्यों व्यावहारिक नहीं है
2026 तक कोई भी publicly-trusted Certificate Authority free code signing offer नहीं करता।
दो वास्तविक लागतें इसे अव्यावहारिक बनाती हैं:
- CA को publisher की identity (organization या individual) verify करनी होती है
- जून 2023 से private key को FIPS-compliant hardware पर रखना अनिवार्य है जिसके लिए किसी को भुगतान करना होता है
Self-signed certificates OpenSSL से generate किए जा सकते हैं और इनकी कोई लागत नहीं होती, लेकिन Windows, macOS, और browsers इन पर trust नहीं करते, इसलिए ये “Unknown Publisher” warning को बनाए रखते हैं। यदि price निर्णायक कारक है, तो Comodo Code Signing और Sectigo Code Signing OV (या solo developers के लिए Individual Validation) $219/year पर entry-level SKUs हैं।
Code Signing Certificate से आप क्या Sign कर सकते हैं
SSL Dragon के किसी भी CA का certificate sign कर सकता है:
- Windows binaries और installers: .exe, .dll, .cab, .ocx, .msi, और .xap files जो Microsoft Authenticode के माध्यम से sign की जाती हैं
- Windows drivers: user-mode drivers (OV या EV) और kernel-mode drivers (केवल EV)
- Java applications: jarsigner से sign की गई .jar files
- Scripts और macros: PowerShell scripts, VBScript, और Microsoft Office VBA macros
- अन्य formats: Adobe AIR packages, Mozilla object files, और Microsoft Silverlight (legacy लेकिन अभी भी valid)
- Firmware और IoT software
- Containers और software packages
एक ही certificate ऊपर दी गई अधिकांश list को cover करता है; kernel-mode driver का मामला वह है जो EV tier को अनिवार्य बनाता है।
Code Signing बनाम SSL/TLS Certificates
एक SSL/TLS certificate browser और website के बीच connection को encrypt करता है। एक code signing certificate software को digitally sign करता है ताकि operating system verify कर सके कि इसे किसने publish किया और file बदली नहीं है।
दोनों interchangeable नहीं हैं: एक domain को secure करता है, दूसरा executable की origin साबित करता है। दोनों Certificate Authority द्वारा जारी X.509 certificates हैं, यही कारण है कि इन्हें अक्सर confused किया जाता है।
अक्सर पूछे जाने वाले प्रश्नों
यह एक X.509 certificate है जो एक publisher को software में एक सत्यापन योग्य digital signature जोड़ने की अनुमति देता है। CSR (जो केवल CA को submit किया गया order request होता है) के विपरीत, जारी किया गया certificate एक verified identity को एक public key से जोड़ता है, जिसका उपयोग operating systems किसी file की उत्पत्ति की पुष्टि करने के लिए करते हैं।
लिंक की प्रतिलिपि करें
EV vetting में आमतौर पर OV की तुलना में 3-5 business days अधिक लगते हैं, और केवल EV ही kernel-mode driver signing के लिए योग्य होता है। Pricing, identity checks, और SmartScreen behavior की तुलना ऊपर दिए गए OV vs EV section में दी गई है।
लिंक की प्रतिलिपि करें
हार्डवेयर टोकन तीन विकल्पों में से एक है। DigiCert KeyLocker और SSL.com eSigner जैसी cloud signing services फिजिकल टोकन को पूरी तरह छोड़ देती हैं: key एक CA-managed HSM में रहती है और आप एक API के जरिए sign करते हैं, जो CI/CD के लिए अच्छा काम करता है। ऊपर दिया गया hardware delivery section देखें।
लिंक की प्रतिलिपि करें
वर्तमान नियमों के तहत प्रति जारी करने पर अधिकतम 460 दिन। हमेशा एक timestamping authority (DigiCert का tsa.digicert.com या Sectigo का timestamp.sectigo.com) के साथ sign करें ताकि binaries expiration के बाद भी trusted रहें। पूरा संदर्भ ऊपर 460-Day Validity section में देखें।
लिंक की प्रतिलिपि करें
कोई भी publicly-trusted CA इन्हें जारी नहीं करता। पूरा कारण और सबसे सस्ते paid विकल्प ऊपर “Why Free Code Signing Isn’t Realistic” अनुभाग में दिए गए हैं।
लिंक की प्रतिलिपि करें
कोई भी EV code signing certificate। Microsoft का WHQL portal और attestation signing flow दोनों ही non-EV certificates को पूरी तरह अस्वीकार कर देते हैं।
लिंक की प्रतिलिपि करें
CA और validation level के आधार पर 1–7 business days लगते हैं। EV आमतौर पर OV से अधिक समय लेता है क्योंकि organization की जांच अधिक विस्तृत होती है, इसलिए किसी tight release deadline पर अतिरिक्त समय की योजना बनाएं।
लिंक की प्रतिलिपि करें
हां, क्रॉस-प्लेटफॉर्म बाइनरी की सामान्य signing के लिए, जिसमें .jar फाइलें और कई container formats शामिल हैं। macOS App Store distribution के लिए एक अलग Apple Developer ID program की आवश्यकता होती है; Linux signing कम standardized है लेकिन अधिकांश package formats में supported है।
लिंक की प्रतिलिपि करें
नहीं जानते आपको क्या चाहिए?
हमारे SSL Wizard का उपयोग करें और अपने लिए लागू options चुनें, हम आपको सही SSL certificate खोजने में मदद करेंगे।
नहीं जानते आपको क्या चाहिए?

