Certificati di code signing OV ed EV di Comodo, Sectigo, DigiCert e GoGetSSL, a partire da $219/anno. La maggior parte degli ordini viene emessa in 1-7 giorni lavorativi e viene spedita con un token hardware, oppure puoi firmare tramite cloud HSM. Garantiti da una garanzia di rimborso di 25 giorni.


Certificati di Code Signing OV vs EV
Esistono due livelli di validazione, e la scelta tra l’uno e l’altro dipende da chi firma e cosa firma.
- OV (Organization Validation) è il livello standard. La CA verifica l’esistenza legale di un’azienda registrata ed emette il certificato a quell’organizzazione. Comodo e Sectigo emettono anche certificati equivalenti OV a privati verificati, talvolta chiamati Individual Validation (IV), per sviluppatori indipendenti privi di un’azienda registrata. Le opzioni OV di SSL Dragon partono da $219/anno.
- EV (Extended Validation) richiede una verifica aziendale più approfondita secondo le linee guida EV del CA/Browser Forum. Solo le organizzazioni registrate sono idonee; i privati non lo sono. EV è l’unico livello accettato per la firma dei driver in modalità kernel di Windows, e molte politiche aziendali di procurement e audit lo richiedono esplicitamente. Le opzioni EV di SSL Dragon partono da $287/anno.
| OV / Individual | EV | |
|---|---|---|
| Verifica dell’identità | Azienda o privato | Organizzazione registrata (nessun privato) |
| Comportamento SmartScreen | Accumula reputazione per hash del file | Accumula reputazione per hash del file |
| Firma driver in modalità kernel Windows | Non idoneo | Idoneo |
| Prezzo di partenza (SSL Dragon) | $219/anno | $287/anno |
| Ideale per | App in modalità utente, script, budget ridotto | Firma driver, garanzia di identità, procurement |
Una nota su SmartScreen: un aggiornamento del 2024 al Microsoft Trusted Root Program ha modificato il modo in cui si accumula la reputazione. La reputazione SmartScreen ora si costruisce per hash del file e volume di download, indipendentemente dal tipo di certificato. EV non garantisce più una fiducia SmartScreen immediata. I binari firmati sia con OV che con EV accumulano reputazione nello stesso modo una volta distribuiti.
Scegli OV se firmi applicazioni in modalità utente e vuoi il livello di prezzo inferiore. Scegli EV se firmi driver in modalità kernel Windows, hai bisogno della massima garanzia di identità, o hai requisiti di procurement che specificano esplicitamente EV.
Token Hardware, Cloud HSM o Dispositivo Personale
Dal 1° giugno 2023, il CA/Browser Forum richiede che la chiave privata di ogni certificato pubblicamente attendibile venga generata e conservata su hardware conforme a FIPS 140-2 Level 2 o Common Criteria EAL 4+. I file .pfx scaricabili non vengono più emessi. Gli acquirenti scelgono una delle tre modalità di consegna:
- Token USB spedito dalla CA. La CA invia per posta un token USB FIPS 140-2 Level 2 precaricato (tipicamente un YubiKey) all’indirizzo verificato dell’ordine.
- Dispositivo conforme personale. Se il tuo team dispone già di un HSM o token FIPS 140-2 Level 2 o Common Criteria EAL 4+, la CA emette il certificato sulla base di un’attestazione da quel dispositivo.
- Servizio di firma cloud HSM. La chiave privata viene generata e conservata in un cloud HSM gestito dalla CA, come DigiCert KeyLocker, la firma cloud Sectigo, o SSL.com eSigner. Nessun token fisico da spedire, e la firma si integra facilmente nelle pipeline CI/CD.
Un token USB è la soluzione più semplice per la firma manuale occasionale; la firma cloud si adatta meglio alle build automatizzate. Tutte e tre le modalità condividono la stessa Public Key Infrastructure (PKI): il certificato associa la tua identità verificata a una chiave pubblica, l’hardware protegge la chiave privata, e la firma digitale risultante è ciò che Windows verifica.
I passaggi di configurazione sono disponibili nei nostri tutorial sul code signing.
Nuovo Limite di Validità di 460 Giorni (In Vigore da Marzo 2026)
A partire dal 1° marzo 2026, i certificati pubblicamente attendibili hanno una validità massima di 460 giorni (circa 15 mesi), rispetto al precedente massimo di 39 mesi. La modifica deriva dal CA/Browser Forum Ballot CSC-31. Gli ordini pluriennali sono ancora disponibili, ma il certificato stesso viene riemesso all’interno del periodo acquistato anziché coprirlo interamente.
Cosa significa a livello di ordine:
- Un singolo nuovo certificato ha una validità massima di circa 15 mesi
- Gli ordini da 2 e 3 anni rimangono disponibili, con riemissione durante il periodo
- Gli ordini installati su HSM possono coprire l’intero periodo acquistato ma richiedono la riemissione annuale
- I certificati emessi prima del 1° marzo 2026 rimangono validi fino alla loro scadenza originale
Il codice correttamente marcato con timestamp rimane attendibile oltre la scadenza del certificato, quindi il software già firmato e distribuito non è interessato. Cambia solo la cadenza di rinnovo.
Confronta i Certificati di Code Signing per CA e Prezzo
SSL Dragon offre opzioni di quattro Certificate Authority. Ecco come si confrontano le opzioni OV ed EV in termini di prezzo di partenza, consegna hardware e tempi di emissione.
| Certificato | Validazione | Prezzo di Partenza | Consegna Hardware | Emissione |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/anno | Token USB o HSM | 1-7 giorni |
| Sectigo Code Signing SSL | OV / Individual | $219/anno | Token USB o HSM | 1-7 giorni |
| GoGetSSL Code Signing SSL | OV / Individual | $289/anno | Token USB o HSM | 1-7 giorni |
| DigiCert Code Signing | OV | $400/anno | Token USB, HSM o cloud KeyLocker | 1-7 giorni |
| Comodo EV Code Signing | EV | $287/anno | Token USB o HSM | 1-7 giorni |
| Sectigo EV Code Signing | EV | $287/anno | Token USB o HSM | 1-7 giorni |
| GoGetSSL Code Signing EV SSL | EV | $369/anno | Token USB o HSM | 1-7 giorni |
| DigiCert EV Code Signing | EV | $685/anno | Token USB, HSM o cloud KeyLocker | 1-7 giorni |
Comodo e Sectigo OV partono entrambi da $219/anno e sono le opzioni pubblicamente attendibili più economiche in questa pagina. DigiCert si posiziona nella fascia premium, a $400 per OV e $685 per EV, ed è solitamente scelto da acquirenti i cui contratti o framework di conformità nominano specificamente DigiCert. GoGetSSL è la scelta conveniente al livello EV a $369/anno. Tutte e quattro le CA spediscono token hardware, con DigiCert che offre anche la firma cloud KeyLocker per flussi di lavoro senza HSM fisico.
Perche il Code Signing Gratuito Non e Realistico
Nessuna Certificate Authority pubblicamente attendibile offre code signing gratuito nel 2026.
Due costi reali lo rendono impraticabile:
- La CA deve verificare l’identità del publisher (organizzazione o privato)
- Dal giugno 2023 la chiave privata deve risiedere su hardware conforme FIPS, che qualcuno deve pagare
I certificati auto-firmati possono essere generati con OpenSSL e non costano nulla, ma Windows, macOS e i browser non si fidano di essi, quindi lasciano invariato l’avviso “Autore sconosciuto”. Se il prezzo è il fattore determinante, Comodo Code Signing e Sectigo Code Signing OV (o Individual Validation per sviluppatori indipendenti) sono i prodotti entry-level a $219/anno.
Cosa Puoi Firmare con un Certificato di Code Signing
Un certificato di qualsiasi CA disponibile su SSL Dragon puo firmare:
- Binari e programmi di installazione Windows: file .exe, .dll, .cab, .ocx, .msi e .xap firmati tramite Microsoft Authenticode
- Driver Windows: driver in modalita utente (OV o EV) e driver in modalita kernel (solo EV)
- Applicazioni Java: file .jar firmati con jarsigner
- Script e macro: script PowerShell, VBScript e macro VBA di Microsoft Office
- Altri formati: pacchetti Adobe AIR, file oggetto Mozilla e Microsoft Silverlight (legacy ma ancora validi)
- Firmware e software IoT
- Container e pacchetti software
Lo stesso certificato copre la maggior parte degli elementi dell’elenco sopra; il caso dei driver in modalita kernel e l’unico che richiede il livello EV.
Certificati di Code Signing vs SSL/TLS
Un certificato SSL/TLS cifra la connessione tra un browser e un sito web. Un certificato di code signing firma digitalmente il software in modo che il sistema operativo possa verificare chi lo ha pubblicato e che il file non sia stato modificato.
I due non sono intercambiabili: uno protegge un dominio, l’altro certifica l’origine di un eseguibile. Entrambi sono certificati X.509 emessi da una Certificate Authority, ed e per questo che vengono spesso confusi.
Domande frequenti
È un certificato X.509 che consente a un publisher di allegare una firma digitale verificabile al software. A differenza di un CSR (che è solo la richiesta d’ordine inviata alla CA), il certificato emesso associa un’identità verificata a una chiave pubblica che i sistemi operativi utilizzano per confermare l’origine di un file.
Copia link
La verifica EV richiede in genere 3-5 giorni lavorativi in piu rispetto a OV, e solo EV e idoneo per la firma dei driver in modalita kernel. Prezzi, controlli di identita e il confronto sul comportamento di SmartScreen si trovano nella sezione OV vs EV qui sopra.
Copia link
Un hardware token è una delle tre opzioni. I servizi di firma cloud come DigiCert KeyLocker e SSL.com eSigner eliminano completamente il token fisico: la chiave risiede in un HSM gestito dalla CA e la firma avviene tramite API, il che funziona bene per i flussi CI/CD. Consulta la sezione sulla consegna hardware sopra.
Copia link
Massimo 460 giorni per emissione secondo le regole attuali. Firma sempre con un’autorita’ di timestamping (tsa.digicert.com di DigiCert o timestamp.sectigo.com di Sectigo) in modo che i binari rimangano attendibili oltre la scadenza. Contesto completo nella sezione Validita’ di 460 Giorni sopra.
Copia link
Nessuna CA pubblicamente attendibile le emette. Il ragionamento completo e le alternative a pagamento più economiche si trovano nella sezione Perché la firma del codice gratuita non è realistica qui sopra.
Copia link
Qualsiasi certificato di firma del codice EV. Il portale WHQL di Microsoft e il flusso di firma con attestazione rifiutano categoricamente i certificati non EV.
Copia link
Da 1 a 7 giorni lavorativi a seconda della CA e del livello di validazione. EV richiede generalmente più tempo di OV perché il processo di verifica dell’organizzazione è più approfondito, quindi pianifica del tempo extra se hai una scadenza di rilascio ravvicinata.
Copia link
Sì, per la firma generale di binari cross-platform, inclusi i file .jar e molti formati container. La distribuzione tramite macOS App Store richiede un programma Apple Developer ID separato; la firma su Linux è meno standardizzata ma supportata nella maggior parte dei formati di pacchetto.
Copia link
Non sai di cosa hai bisogno?
Usa il nostro SSL Wizard per selezionare le opzioni adatte a te, e ti aiuteremo a trovare il certificato SSL giusto.
Non sai di cosa hai bisogno?

