hero digicert Image

Certificati di firma del codice

Certificati di code signing OV ed EV di Comodo, Sectigo, DigiCert e GoGetSSL, a partire da $219/anno. La maggior parte degli ordini viene emessa in 1-7 giorni lavorativi e viene spedita con un token hardware, oppure puoi firmare tramite cloud HSM. Garantiti da una garanzia di rimborso di 25 giorni.

Icona che mostra un auricolare di supporto con il testo 'Support'
Supporto Dedicato
Logo GLEIF con testo incorporato 'GLEIF Accredited'
Rimborso in 25 Giorni

Certificati di Code Signing OV vs EV

Esistono due livelli di validazione, e la scelta tra l’uno e l’altro dipende da chi firma e cosa firma.

OV / IndividualEV
Verifica dell’identitàAzienda o privatoOrganizzazione registrata (nessun privato)
Comportamento SmartScreenAccumula reputazione per hash del fileAccumula reputazione per hash del file
Firma driver in modalità kernel WindowsNon idoneoIdoneo
Prezzo di partenza (SSL Dragon)$219/anno$287/anno
Ideale perApp in modalità utente, script, budget ridottoFirma driver, garanzia di identità, procurement

Una nota su SmartScreen: un aggiornamento del 2024 al Microsoft Trusted Root Program ha modificato il modo in cui si accumula la reputazione. La reputazione SmartScreen ora si costruisce per hash del file e volume di download, indipendentemente dal tipo di certificato. EV non garantisce più una fiducia SmartScreen immediata. I binari firmati sia con OV che con EV accumulano reputazione nello stesso modo una volta distribuiti.

Scegli OV se firmi applicazioni in modalità utente e vuoi il livello di prezzo inferiore. Scegli EV se firmi driver in modalità kernel Windows, hai bisogno della massima garanzia di identità, o hai requisiti di procurement che specificano esplicitamente EV.

Token Hardware, Cloud HSM o Dispositivo Personale

Dal 1° giugno 2023, il CA/Browser Forum richiede che la chiave privata di ogni certificato pubblicamente attendibile venga generata e conservata su hardware conforme a FIPS 140-2 Level 2 o Common Criteria EAL 4+. I file .pfx scaricabili non vengono più emessi. Gli acquirenti scelgono una delle tre modalità di consegna:

  1. Token USB spedito dalla CA. La CA invia per posta un token USB FIPS 140-2 Level 2 precaricato (tipicamente un YubiKey) all’indirizzo verificato dell’ordine.
  2. Dispositivo conforme personale. Se il tuo team dispone già di un HSM o token FIPS 140-2 Level 2 o Common Criteria EAL 4+, la CA emette il certificato sulla base di un’attestazione da quel dispositivo.
  3. Servizio di firma cloud HSM. La chiave privata viene generata e conservata in un cloud HSM gestito dalla CA, come DigiCert KeyLocker, la firma cloud Sectigo, o SSL.com eSigner. Nessun token fisico da spedire, e la firma si integra facilmente nelle pipeline CI/CD.

Un token USB è la soluzione più semplice per la firma manuale occasionale; la firma cloud si adatta meglio alle build automatizzate. Tutte e tre le modalità condividono la stessa Public Key Infrastructure (PKI): il certificato associa la tua identità verificata a una chiave pubblica, l’hardware protegge la chiave privata, e la firma digitale risultante è ciò che Windows verifica.

I passaggi di configurazione sono disponibili nei nostri tutorial sul code signing.

Nuovo Limite di Validità di 460 Giorni (In Vigore da Marzo 2026)

A partire dal 1° marzo 2026, i certificati pubblicamente attendibili hanno una validità massima di 460 giorni (circa 15 mesi), rispetto al precedente massimo di 39 mesi. La modifica deriva dal CA/Browser Forum Ballot CSC-31. Gli ordini pluriennali sono ancora disponibili, ma il certificato stesso viene riemesso all’interno del periodo acquistato anziché coprirlo interamente.

Cosa significa a livello di ordine:

  • Un singolo nuovo certificato ha una validità massima di circa 15 mesi
  • Gli ordini da 2 e 3 anni rimangono disponibili, con riemissione durante il periodo
  • Gli ordini installati su HSM possono coprire l’intero periodo acquistato ma richiedono la riemissione annuale
  • I certificati emessi prima del 1° marzo 2026 rimangono validi fino alla loro scadenza originale

Il codice correttamente marcato con timestamp rimane attendibile oltre la scadenza del certificato, quindi il software già firmato e distribuito non è interessato. Cambia solo la cadenza di rinnovo.

Confronta i Certificati di Code Signing per CA e Prezzo

SSL Dragon offre opzioni di quattro Certificate Authority. Ecco come si confrontano le opzioni OV ed EV in termini di prezzo di partenza, consegna hardware e tempi di emissione.

CertificatoValidazionePrezzo di PartenzaConsegna HardwareEmissione
Comodo Code SigningOV / Individual$219/annoToken USB o HSM1-7 giorni
Sectigo Code Signing SSLOV / Individual$219/annoToken USB o HSM1-7 giorni
GoGetSSL Code Signing SSLOV / Individual$289/annoToken USB o HSM1-7 giorni
DigiCert Code SigningOV$400/annoToken USB, HSM o cloud KeyLocker1-7 giorni
Comodo EV Code SigningEV$287/annoToken USB o HSM1-7 giorni
Sectigo EV Code SigningEV$287/annoToken USB o HSM1-7 giorni
GoGetSSL Code Signing EV SSLEV$369/annoToken USB o HSM1-7 giorni
DigiCert EV Code SigningEV$685/annoToken USB, HSM o cloud KeyLocker1-7 giorni

Comodo e Sectigo OV partono entrambi da $219/anno e sono le opzioni pubblicamente attendibili più economiche in questa pagina. DigiCert si posiziona nella fascia premium, a $400 per OV e $685 per EV, ed è solitamente scelto da acquirenti i cui contratti o framework di conformità nominano specificamente DigiCert. GoGetSSL è la scelta conveniente al livello EV a $369/anno. Tutte e quattro le CA spediscono token hardware, con DigiCert che offre anche la firma cloud KeyLocker per flussi di lavoro senza HSM fisico.

Perche il Code Signing Gratuito Non e Realistico

Nessuna Certificate Authority pubblicamente attendibile offre code signing gratuito nel 2026.

Due costi reali lo rendono impraticabile:

  1. La CA deve verificare l’identità del publisher (organizzazione o privato)
  2. Dal giugno 2023 la chiave privata deve risiedere su hardware conforme FIPS, che qualcuno deve pagare

I certificati auto-firmati possono essere generati con OpenSSL e non costano nulla, ma Windows, macOS e i browser non si fidano di essi, quindi lasciano invariato l’avviso “Autore sconosciuto”. Se il prezzo è il fattore determinante, Comodo Code Signing e Sectigo Code Signing OV (o Individual Validation per sviluppatori indipendenti) sono i prodotti entry-level a $219/anno.

Cosa Puoi Firmare con un Certificato di Code Signing

Un certificato di qualsiasi CA disponibile su SSL Dragon puo firmare:

  • Binari e programmi di installazione Windows: file .exe, .dll, .cab, .ocx, .msi e .xap firmati tramite Microsoft Authenticode
  • Driver Windows: driver in modalita utente (OV o EV) e driver in modalita kernel (solo EV)
  • Applicazioni Java: file .jar firmati con jarsigner
  • Script e macro: script PowerShell, VBScript e macro VBA di Microsoft Office
  • Altri formati: pacchetti Adobe AIR, file oggetto Mozilla e Microsoft Silverlight (legacy ma ancora validi)
  • Firmware e software IoT
  • Container e pacchetti software

Lo stesso certificato copre la maggior parte degli elementi dell’elenco sopra; il caso dei driver in modalita kernel e l’unico che richiede il livello EV.

Certificati di Code Signing vs SSL/TLS

Un certificato SSL/TLS cifra la connessione tra un browser e un sito web. Un certificato di code signing firma digitalmente il software in modo che il sistema operativo possa verificare chi lo ha pubblicato e che il file non sia stato modificato.

I due non sono intercambiabili: uno protegge un dominio, l’altro certifica l’origine di un eseguibile. Entrambi sono certificati X.509 emessi da una Certificate Authority, ed e per questo che vengono spesso confusi.

Domande frequenti

Cos’è un certificato di firma del codice?

È un certificato X.509 che consente a un publisher di allegare una firma digitale verificabile al software. A differenza di un CSR (che è solo la richiesta d’ordine inviata alla CA), il certificato emesso associa un’identità verificata a una chiave pubblica che i sistemi operativi utilizzano per confermare l’origine di un file.

Copia link

Qual è la differenza tra OV ed EV?

La verifica EV richiede in genere 3-5 giorni lavorativi in piu rispetto a OV, e solo EV e idoneo per la firma dei driver in modalita kernel. Prezzi, controlli di identita e il confronto sul comportamento di SmartScreen si trovano nella sezione OV vs EV qui sopra.

Copia link

Ho bisogno di un token hardware per la firma del codice?

Un hardware token è una delle tre opzioni. I servizi di firma cloud come DigiCert KeyLocker e SSL.com eSigner eliminano completamente il token fisico: la chiave risiede in un HSM gestito dalla CA e la firma avviene tramite API, il che funziona bene per i flussi CI/CD. Consulta la sezione sulla consegna hardware sopra.

Copia link

Per quanto tempo è valido un certificato di firma del codice?

Massimo 460 giorni per emissione secondo le regole attuali. Firma sempre con un’autorita’ di timestamping (tsa.digicert.com di DigiCert o timestamp.sectigo.com di Sectigo) in modo che i binari rimangano attendibili oltre la scadenza. Contesto completo nella sezione Validita’ di 460 Giorni sopra.

Copia link

Posso ottenere un certificato di firma del codice gratuito?

Nessuna CA pubblicamente attendibile le emette. Il ragionamento completo e le alternative a pagamento più economiche si trovano nella sezione Perché la firma del codice gratuita non è realistica qui sopra.

Copia link

Di quale certificato ho bisogno per i driver in modalità kernel di Windows?

Qualsiasi certificato di firma del codice EV. Il portale WHQL di Microsoft e il flusso di firma con attestazione rifiutano categoricamente i certificati non EV.

Copia link

Quanto tempo richiede il rilascio della firma del codice?

Da 1 a 7 giorni lavorativi a seconda della CA e del livello di validazione. EV richiede generalmente più tempo di OV perché il processo di verifica dell’organizzazione è più approfondito, quindi pianifica del tempo extra se hai una scadenza di rilascio ravvicinata.

Copia link

La firma del codice funziona su macOS e Linux?

Sì, per la firma generale di binari cross-platform, inclusi i file .jar e molti formati container. La distribuzione tramite macOS App Store richiede un programma Apple Developer ID separato; la firma su Linux è meno standardizzata ma supportata nella maggior parte dei formati di pacchetto.

Copia link

Non sai di cosa hai bisogno?

Usa il nostro SSL Wizard per selezionare le opzioni adatte a te, e ti aiuteremo a trovare il certificato SSL giusto.

Non sai di cosa hai bisogno?

Interfaccia del wizard di configurazione SSL Dragon con pulsanti e testo istruttivo

I nostri clienti e le figure chiave

Volvo logo
Netflix logo with a red background, displaying the text Netflix in white.
Koton logo featuring stylized text and a light background.
Dufry logo
Phillips logo
Northrop Grumman Logo
Yale logo
Harvard logo
Oxford Logo
Rockefeller Logo
Goodwill Logo
Sapient Logo
Hawaii Logo
Army Logo
Force Logo
Schneider Logo
Cisco Logo
Cornell Logo

Voto 4.8 su 5 da 1236 clienti

avatar-male-3
Christopher Broderick
June 15, 2022, , united kingdom

Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.

avatar-male-5
Munro James
October 31, 2020, Victoria, AU

Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.

avatar-female-4
Kelly Mark
October 29, 2020, Dublin, IE

Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.

Valutazioni e recensioni reali dei clienti su Shopper Approved. Leggile tutte.