Un certificato EV code signing autentica il tuo software secondo il processo di verifica dell’identità più rigoroso nel PKI pubblico, con prezzi a partire da $287/anno tramite SSL Dragon. Offriamo certificati Extended Validation (EV) code signing emessi da autorità di certificazione affidabili, tra cui Sectigo (ex Comodo), DigiCert e GoGetSSL. L’emissione richiede da 1 a 7 giorni lavorativi al termine della verifica, con una garanzia di rimborso di 25 giorni su ogni ordine.


Quando Hai Bisogno di EV Code Signing (e Quando OV e’ Sufficiente)
EV e’ l’unico livello praticabile in tre scenari d’acquisto:
- Firma di driver in modalita’ kernel di Windows. Il portale Windows Hardware Dev Center e il flusso di invio WHQL rifiutano qualsiasi livello inferiore a EV.
- Contratti di approvvigionamento o framework di audit che nominano esplicitamente Extended Validation. Una volta che le specifiche indicano EV, OV non soddisfera’ la checklist dell’acquirente.
- Editori di software enterprise che necessitano della massima garanzia di identita’. Utile quando i programmi di installazione raggiungono clienti in settori regolamentati.
Per tutto il resto, OV e’ la scelta giusta. La crittografia e’ identica in entrambi i livelli; la differenza risiede nella garanzia di identita’ e in cio’ che l’infrastruttura Authenticode di Microsoft accetta per la firma in modalita’ kernel. Sviluppatori individuali, applicazioni in modalita’ utente, script, macro e programmi di firma con budget ridotto sono tutti serviti da OV a un prezzo inferiore con una verifica piu’ leggera.
Se il tuo scenario non richiede EV, la nostra pagina del certificato OV code signing illustra l’alternativa piu’ economica.
Confronta i Certificati EV Code Signing di Comodo, Sectigo, DigiCert e GoGetSSL
Tutti i certificati EV presenti in questa pagina vengono emessi in conformita’ agli stessi requisiti EV del CA/Browser Forum, quindi la scelta dipende solitamente dal requisito di brand, dal budget e dalla necessita’ di un percorso di firma cloud.
| Certificato | Prezzo di Partenza | Consegna Hardware | Tempi di Emissione | Ideale Per |
|---|---|---|---|---|
| Comodo EV Code Signing | $287/anno | Token USB o HSM | 1-7 giorni | Opzione EV al prezzo piu’ basso |
| Sectigo EV Code Signing | $287/anno | Token USB o HSM | 1-7 giorni | Opzione EV al prezzo piu’ basso (brand alternativo) |
| GoGetSSL Code Signing EV SSL | $369/anno | Token USB o HSM | 1-7 giorni | EV di fascia media con ampia copertura internazionale |
| DigiCert EV Code Signing | $685/anno | Token USB, HSM o cloud KeyLocker | 1-7 giorni | Framework di approvvigionamento e conformita’ che nominano DigiCert |
Se non hai requisiti di brand e desideri il prezzo piu’ basso, Comodo EV Code Signing a $287/anno e’ il punto di ingresso. Scegli DigiCert quando la firma cloud KeyLocker fa parte della tua pipeline di build o quando un framework di approvvigionamento nomina DigiCert direttamente. GoGetSSL si colloca nel mezzo, con una portata di verifica internazionale piu’ ampia.
Come Viene Consegnato il Tuo Certificato EV
Ogni chiave EV code signing risiede ora su hardware certificato, in conformita’ al mandato del CA/Browser Forum del giugno 2023. Sono disponibili tre percorsi di consegna specifici per EV per i certificati presenti in questa pagina:
- Token USB spedito dalla CA. Ideale per la firma manuale occasionale. La CA precarica la chiave privata su un dispositivo FIPS 140-2 Level 2, tipicamente un YubiKey FIPS, e lo spedisce alla tua organizzazione registrata.
- Il tuo HSM o dispositivo conforme. Se gestisci gia’ un modulo di sicurezza hardware con certificazione FIPS 140-2 Level 2 o Common Criteria EAL 4+, la CA emette il certificato tramite un file di attestazione dal tuo dispositivo.
- Servizio di firma cloud HSM. DigiCert KeyLocker e’ l’opzione cloud HSM disponibile in questa pagina. La firma avviene tramite API, il che si adatta alle pipeline CI/CD ed elimina il token fisico dal flusso di lavoro.
Per le build automatizzate, o per la firma su Linux o macOS dove un token USB collegato a Windows risulta scomodo, la firma cloud e’ il percorso da valutare per primo.
Microsoft SmartScreen e EV Code Signing
Fino all’inizio del 2024, una firma EV su un binario Windows veniva trattata da Microsoft SmartScreen come un potenziamento immediato della reputazione, e le pagine di marketing della maggior parte delle CA lo implicano ancora. L’aggiornamento del programma Microsoft Trusted Root di marzo 2024 ha cambiato il modo in cui viene calcolata la reputazione.
SmartScreen ora valuta la fiducia in base all’hash del file e al volume di download, indipendentemente dal fatto che il binario sia stato firmato con EV o OV; entrambi i livelli accumulano reputazione allo stesso modo una volta che una build e’ in circolazione. Acquista EV per le ragioni legate ai driver in modalita’ kernel e all’approvvigionamento, non per una scorciatoia SmartScreen che non esiste piu’.
Validita’ del Certificato Code Signing con la Nuova Regola dei 460 Giorni
A partire dal 1° marzo 2026, il Ballot CSC-31 del CA/Browser Forum (approvato nel novembre 2025) limita la validita’ massima di ogni certificato code signing a 460 giorni. Gli ordini pluriennali sono ancora disponibili; i certificati vengono riemessi durante il periodo. Gli ordini installati su HSM possono coprire l’intero periodo acquistato, ma richiedono la riemissione annuale.
Il codice firmato con un timestamp valido di un TSA, come il servizio di timestamp di DigiCert o Sectigo, rimane affidabile oltre la scadenza del certificato, quindi le versioni precedenti continuano a funzionare.
Domande frequenti
EV richiede la verifica dell’organizzazione registrata ed è l’unico livello accettato per i driver in modalità kernel di Windows; OV consente agli sviluppatori individuali di operare a costi inferiori. La verifica EV richiede in genere 3-5 giorni lavorativi in più rispetto a OV.
Copia link
Per i driver in modalità kernel, sì; il portale WHQL di Microsoft rifiuta qualsiasi certificato al di sotto di EV. I driver in modalità utente possono essere firmati con OV seguendo lo stesso flusso Authenticode delle applicazioni ordinarie.
Copia link
Comodo EV e Sectigo EV partono entrambi da $287/anno, le opzioni EV con il prezzo piu basso in questa pagina. Gli ordini pluriennali riducono il costo annuale, con riemissione annuale secondo la regola dei 460 giorni.
Copia link
Sì. La firma tramite cloud HSM DigiCert KeyLocker ti consente di firmare tramite API senza token, ed è compatibile con agenti di build macOS o Linux dove un token USB non è pratico.
Copia link
No. Il codice firmato con un timestamp valido rimane attendibile dopo la scadenza; termina solo la nuova firma. Usa tsa.digicert.com o timestamp.sectigo.com come TSA gratuito.
Copia link
Non sai di cosa hai bisogno?
Usa il nostro SSL Wizard per selezionare le tue opzioni e ti aiuteremo a trovare il certificato SSL giusto.
Non sai di cosa hai bisogno?

