Certificados de assinatura de código OV e EV da Comodo, Sectigo, DigiCert e GoGetSSL, a partir de $219/ano. A maioria dos pedidos é emitida em 1 a 7 dias úteis e enviada com um token de hardware, ou pode assinar via cloud HSM. Garantia de reembolso de 25 dias.


Certificados de Assinatura de Código OV vs EV
Existem dois níveis de validação, e a escolha entre eles depende de quem assina e o que assina.
- OV (Organization Validation) é o nível padrão. A CA verifica a existência legal de uma empresa registada e emite o certificado para essa organização. A Comodo e a Sectigo também emitem certificados equivalentes a OV para indivíduos verificados, por vezes designados por Individual Validation (IV), para programadores independentes sem empresa registada. As opções OV da SSL Dragon começam em $219/ano.
- EV (Extended Validation) exige uma verificação empresarial mais aprofundada, de acordo com as diretrizes EV do CA/Browser Forum. Apenas organizações registadas são elegíveis; indivíduos não. EV é o único nível aceite para assinar drivers em modo kernel do Windows, e muitas políticas de aquisição e auditoria empresariais exigem-no. As opções EV da SSL Dragon começam em $287/ano.
| OV / Individual | EV | |
|---|---|---|
| Verificação de identidade | Empresa ou indivíduo | Organização registada (sem indivíduos) |
| Comportamento do SmartScreen | Constrói reputação por hash de ficheiro | Constrói reputação por hash de ficheiro |
| Assinatura de drivers em modo kernel do Windows | Não elegível | Elegível |
| Preço inicial (SSL Dragon) | $219/ano | $287/ano |
| Ideal para | Aplicações em modo utilizador, scripts, orçamento reduzido | Assinatura de drivers, garantia de identidade, aquisição |
Uma nota sobre o SmartScreen: uma atualização de 2024 ao Microsoft Trusted Root Program alterou a forma como a reputação é acumulada. A reputação do SmartScreen é agora construída por hash de ficheiro e volume de downloads, independentemente do tipo de certificado. O EV já não garante confiança imediata no SmartScreen. Tanto os binários assinados com OV como com EV constroem reputação da mesma forma assim que estão disponíveis.
Escolha OV se assinar aplicações em modo utilizador e pretender o nível de preço mais baixo. Escolha EV se assinar drivers em modo kernel do Windows, precisar da máxima garantia de identidade, ou tiver requisitos de aquisição que especifiquem explicitamente EV.
Token de Hardware, Cloud HSM ou Dispositivo Próprio
Desde 1 de junho de 2023, o CA/Browser Forum exige que a chave privada de cada certificado de confiança pública seja gerada e armazenada em hardware que cumpra os requisitos FIPS 140-2 Level 2 ou Common Criteria EAL 4+. Os ficheiros .pfx para download já não são emitidos. Os compradores escolhem uma de três formas de entrega:
- Token USB enviado pela CA. A CA envia por correio um token USB FIPS 140-2 Level 2 pré-carregado (normalmente um YubiKey) para a morada verificada no pedido.
- Dispositivo compatível próprio. Se a sua equipa já utiliza um HSM ou token FIPS 140-2 Level 2 ou Common Criteria EAL 4+, a CA emite o certificado com base numa atestação desse dispositivo.
- Serviço de assinatura via cloud HSM. A chave privada é gerada e mantida num cloud HSM gerido pela CA, como o DigiCert KeyLocker, a assinatura cloud da Sectigo ou o eSigner da SSL.com. Não é necessário enviar nenhum token físico, e a assinatura integra-se facilmente em pipelines CI/CD.
Um token USB é a opção mais simples para assinatura manual ocasional; a assinatura cloud é mais adequada para builds automatizadas. As três formas partilham a mesma Public Key Infrastructure (PKI): o certificado associa a sua identidade verificada a uma chave pública, o hardware protege a chave privada, e a assinatura digital resultante é o que o Windows verifica.
Os passos de configuração estão nos nossos tutoriais de assinatura de código.
Novo Limite de Validade de 460 Dias (Em Vigor a Partir de Março de 2026)
A partir de 1 de março de 2026, os certificados de confiança pública têm uma validade máxima de 460 dias (cerca de 15 meses), em comparação com o máximo anterior de 39 meses. A alteração resulta do CA/Browser Forum Ballot CSC-31. Os pedidos plurianuais continuam disponíveis, mas o próprio certificado é reemitido dentro do prazo adquirido em vez de o abranger na totalidade.
O que isto significa ao nível do pedido:
- Um único certificado novo está limitado a ~15 meses de validade
- Os pedidos de 2 e 3 anos continuam disponíveis, com reemissão durante o prazo
- Os pedidos instalados em HSM podem cobrir o prazo total adquirido, mas requerem reemissão anual
- Os certificados emitidos antes de 1 de março de 2026 permanecem válidos até à sua data de expiração original
O código devidamente marcado com timestamp permanece de confiança após a expiração do certificado, pelo que o software que já assinou e distribuiu não é afetado. Apenas o ciclo de renovação muda.
Compare Certificados de Assinatura de Código por CA e Preço
A SSL Dragon disponibiliza opções de quatro Certificate Authorities. Veja como as opções OV e EV se comparam em termos de preço inicial, entrega de hardware e tempo de emissão.
| Certificado | Validação | Preço Inicial | Entrega de Hardware | Emissão |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/ano | Token USB ou HSM | 1-7 dias |
| Sectigo Code Signing SSL | OV / Individual | $219/ano | Token USB ou HSM | 1-7 dias |
| GoGetSSL Code Signing SSL | OV / Individual | $289/ano | Token USB ou HSM | 1-7 dias |
| DigiCert Code Signing | OV | $400/ano | Token USB, HSM ou KeyLocker cloud | 1-7 dias |
| Comodo EV Code Signing | EV | $287/ano | Token USB ou HSM | 1-7 dias |
| Sectigo EV Code Signing | EV | $287/ano | Token USB ou HSM | 1-7 dias |
| GoGetSSL Code Signing EV SSL | EV | $369/ano | Token USB ou HSM | 1-7 dias |
| DigiCert EV Code Signing | EV | $685/ano | Token USB, HSM ou KeyLocker cloud | 1-7 dias |
O Comodo e o Sectigo OV começam ambos em $219/ano e são as opções de confiança pública mais acessíveis desta página. A DigiCert posiciona-se no segmento premium, com $400 para OV e $685 para EV, sendo geralmente escolhida por compradores cujos contratos ou frameworks de conformidade especificam expressamente a DigiCert. A GoGetSSL é a opção de melhor relação qualidade-preço no nível EV, a $369/ano. As quatro CAs enviam tokens de hardware, sendo que a DigiCert também oferece assinatura cloud KeyLocker para fluxos de trabalho sem HSM físico.
Por Que a Assinatura de Código Gratuita Não é Realista
Nenhuma Certificate Authority de confiança pública oferece assinatura de código gratuita em 2026.
Dois custos reais tornam isso inviável:
- A CA tem de verificar a identidade do editor (organização ou indivíduo)
- Desde junho de 2023, a chave privada tem de residir em hardware compatível com FIPS, cujo custo tem de ser suportado por alguém
Os certificados autoassinados podem ser gerados com OpenSSL sem qualquer custo, mas o Windows, o macOS e os browsers não confiam neles, pelo que o aviso “Editor Desconhecido” permanece. Se o preço for o fator decisivo, o Comodo Code Signing e o Sectigo Code Signing OV (ou Individual Validation para programadores independentes) são as opções de entrada a $219/ano.
O Que Pode Assinar com um Certificado de Assinatura de Código
Um certificado de qualquer CA disponível na SSL Dragon pode assinar:
- Binários e instaladores Windows: ficheiros .exe, .dll, .cab, .ocx, .msi e .xap assinados via Microsoft Authenticode
- Drivers Windows: drivers em modo utilizador (OV ou EV) e drivers em modo kernel (apenas EV)
- Aplicações Java: ficheiros .jar assinados com jarsigner
- Scripts e macros: scripts PowerShell, VBScript e macros VBA do Microsoft Office
- Outros formatos: pacotes Adobe AIR, ficheiros de objeto Mozilla e Microsoft Silverlight (legado, mas ainda válido)
- Firmware e software IoT
- Contentores e pacotes de software
O mesmo certificado cobre a maioria dos casos acima; a assinatura de drivers em modo kernel é o único caso que obriga ao nível EV.
Certificados de Assinatura de Código vs Certificados SSL/TLS
Um certificado SSL/TLS encripta a ligação entre um browser e um website. Um certificado de assinatura de código assina digitalmente software para que o sistema operativo possa verificar quem o publicou e que o ficheiro não foi alterado.
Os dois não são intercambiáveis: um protege um domínio, o outro comprova a origem de um executável. Ambos são certificados X.509 emitidos por uma Certificate Authority, o que explica a confusão entre eles.
Perguntas frequentes
É um certificado X.509 que permite a um editor anexar uma assinatura digital verificável ao software. Ao contrário de um CSR (apenas a solicitação de pedido enviada à CA), o certificado emitido vincula uma identidade verificada a uma chave pública que os sistemas operacionais usam para confirmar a origem de um arquivo.
Copiar link
A validação EV normalmente leva de 3 a 5 dias úteis a mais do que a OV, e apenas o EV é elegível para assinatura de drivers em modo kernel. Informações sobre preços, verificações de identidade e a comparação de comportamento do SmartScreen estão na seção OV vs EV acima.
Copiar link
Um token de hardware é uma das três opções. Serviços de assinatura em nuvem como DigiCert KeyLocker e SSL.com eSigner dispensam completamente o token físico: a chave fica num HSM gerido pela CA e a assinatura é feita via API, o que funciona bem para CI/CD. Consulte a secção de entrega de hardware acima.
Copiar link
Máximo de 460 dias por emissão de acordo com as regras atuais. Sempre assine com uma autoridade de carimbo de tempo (tsa.digicert.com da DigiCert ou timestamp.sectigo.com da Sectigo) para que os binários permaneçam confiáveis após o vencimento. Contexto completo na seção de Validade de 460 Dias acima.
Copiar link
Nenhuma CA de confiança pública as emite. O raciocínio completo e as alternativas pagas mais acessíveis estão na secção Por Que a Assinatura de Código Gratuita Não É Realista acima.
Copiar link
Qualquer certificado de code signing EV. O portal WHQL da Microsoft e o fluxo de assinatura por atestado rejeitam completamente certificados que não sejam EV.
Copiar link
1 a 7 dias úteis, dependendo da CA e do nível de validação. EV geralmente demora mais do que OV porque a verificação da organização é mais detalhada, portanto, planeje um tempo extra se tiver um prazo de lançamento apertado.
Copiar link
Sim, para assinatura geral de binários multiplataforma, incluindo arquivos .jar e muitos formatos de contêiner. A distribuição na Mac App Store requer um programa separado de Apple Developer ID; a assinatura no Linux é menos padronizada, mas suportada na maioria dos formatos de pacote.
Copiar link
Não sabe o que precisa?
Utilize o nosso SSL Wizard para selecionar as opções que se aplicam ao seu caso, e ajudamo-lo a encontrar o certificado SSL certo.
Não sabe o que precisa?

