Imagem do hero digicert

Certificados de Assinatura de Código

Certificados de assinatura de código OV e EV da Comodo, Sectigo, DigiCert e GoGetSSL, a partir de $219/ano. A maioria dos pedidos é emitida em 1 a 7 dias úteis e enviada com um token de hardware, ou pode assinar via cloud HSM. Garantia de reembolso de 25 dias.

Ícone mostrando um headset de suporte com o texto 'Support'
Suporte Dedicado
Logótipo GLEIF com texto incorporado 'GLEIF Accredited'
Reembolso em 25 Dias

Certificados de Assinatura de Código OV vs EV

Existem dois níveis de validação, e a escolha entre eles depende de quem assina e o que assina.

OV / IndividualEV
Verificação de identidadeEmpresa ou indivíduoOrganização registada (sem indivíduos)
Comportamento do SmartScreenConstrói reputação por hash de ficheiroConstrói reputação por hash de ficheiro
Assinatura de drivers em modo kernel do WindowsNão elegívelElegível
Preço inicial (SSL Dragon)$219/ano$287/ano
Ideal paraAplicações em modo utilizador, scripts, orçamento reduzidoAssinatura de drivers, garantia de identidade, aquisição

Uma nota sobre o SmartScreen: uma atualização de 2024 ao Microsoft Trusted Root Program alterou a forma como a reputação é acumulada. A reputação do SmartScreen é agora construída por hash de ficheiro e volume de downloads, independentemente do tipo de certificado. O EV já não garante confiança imediata no SmartScreen. Tanto os binários assinados com OV como com EV constroem reputação da mesma forma assim que estão disponíveis.

Escolha OV se assinar aplicações em modo utilizador e pretender o nível de preço mais baixo. Escolha EV se assinar drivers em modo kernel do Windows, precisar da máxima garantia de identidade, ou tiver requisitos de aquisição que especifiquem explicitamente EV.

Token de Hardware, Cloud HSM ou Dispositivo Próprio

Desde 1 de junho de 2023, o CA/Browser Forum exige que a chave privada de cada certificado de confiança pública seja gerada e armazenada em hardware que cumpra os requisitos FIPS 140-2 Level 2 ou Common Criteria EAL 4+. Os ficheiros .pfx para download já não são emitidos. Os compradores escolhem uma de três formas de entrega:

  1. Token USB enviado pela CA. A CA envia por correio um token USB FIPS 140-2 Level 2 pré-carregado (normalmente um YubiKey) para a morada verificada no pedido.
  2. Dispositivo compatível próprio. Se a sua equipa já utiliza um HSM ou token FIPS 140-2 Level 2 ou Common Criteria EAL 4+, a CA emite o certificado com base numa atestação desse dispositivo.
  3. Serviço de assinatura via cloud HSM. A chave privada é gerada e mantida num cloud HSM gerido pela CA, como o DigiCert KeyLocker, a assinatura cloud da Sectigo ou o eSigner da SSL.com. Não é necessário enviar nenhum token físico, e a assinatura integra-se facilmente em pipelines CI/CD.

Um token USB é a opção mais simples para assinatura manual ocasional; a assinatura cloud é mais adequada para builds automatizadas. As três formas partilham a mesma Public Key Infrastructure (PKI): o certificado associa a sua identidade verificada a uma chave pública, o hardware protege a chave privada, e a assinatura digital resultante é o que o Windows verifica.

Os passos de configuração estão nos nossos tutoriais de assinatura de código.

Novo Limite de Validade de 460 Dias (Em Vigor a Partir de Março de 2026)

A partir de 1 de março de 2026, os certificados de confiança pública têm uma validade máxima de 460 dias (cerca de 15 meses), em comparação com o máximo anterior de 39 meses. A alteração resulta do CA/Browser Forum Ballot CSC-31. Os pedidos plurianuais continuam disponíveis, mas o próprio certificado é reemitido dentro do prazo adquirido em vez de o abranger na totalidade.

O que isto significa ao nível do pedido:

  • Um único certificado novo está limitado a ~15 meses de validade
  • Os pedidos de 2 e 3 anos continuam disponíveis, com reemissão durante o prazo
  • Os pedidos instalados em HSM podem cobrir o prazo total adquirido, mas requerem reemissão anual
  • Os certificados emitidos antes de 1 de março de 2026 permanecem válidos até à sua data de expiração original

O código devidamente marcado com timestamp permanece de confiança após a expiração do certificado, pelo que o software que já assinou e distribuiu não é afetado. Apenas o ciclo de renovação muda.

Compare Certificados de Assinatura de Código por CA e Preço

A SSL Dragon disponibiliza opções de quatro Certificate Authorities. Veja como as opções OV e EV se comparam em termos de preço inicial, entrega de hardware e tempo de emissão.

CertificadoValidaçãoPreço InicialEntrega de HardwareEmissão
Comodo Code SigningOV / Individual$219/anoToken USB ou HSM1-7 dias
Sectigo Code Signing SSLOV / Individual$219/anoToken USB ou HSM1-7 dias
GoGetSSL Code Signing SSLOV / Individual$289/anoToken USB ou HSM1-7 dias
DigiCert Code SigningOV$400/anoToken USB, HSM ou KeyLocker cloud1-7 dias
Comodo EV Code SigningEV$287/anoToken USB ou HSM1-7 dias
Sectigo EV Code SigningEV$287/anoToken USB ou HSM1-7 dias
GoGetSSL Code Signing EV SSLEV$369/anoToken USB ou HSM1-7 dias
DigiCert EV Code SigningEV$685/anoToken USB, HSM ou KeyLocker cloud1-7 dias

O Comodo e o Sectigo OV começam ambos em $219/ano e são as opções de confiança pública mais acessíveis desta página. A DigiCert posiciona-se no segmento premium, com $400 para OV e $685 para EV, sendo geralmente escolhida por compradores cujos contratos ou frameworks de conformidade especificam expressamente a DigiCert. A GoGetSSL é a opção de melhor relação qualidade-preço no nível EV, a $369/ano. As quatro CAs enviam tokens de hardware, sendo que a DigiCert também oferece assinatura cloud KeyLocker para fluxos de trabalho sem HSM físico.

Por Que a Assinatura de Código Gratuita Não é Realista

Nenhuma Certificate Authority de confiança pública oferece assinatura de código gratuita em 2026.

Dois custos reais tornam isso inviável:

  1. A CA tem de verificar a identidade do editor (organização ou indivíduo)
  2. Desde junho de 2023, a chave privada tem de residir em hardware compatível com FIPS, cujo custo tem de ser suportado por alguém

Os certificados autoassinados podem ser gerados com OpenSSL sem qualquer custo, mas o Windows, o macOS e os browsers não confiam neles, pelo que o aviso “Editor Desconhecido” permanece. Se o preço for o fator decisivo, o Comodo Code Signing e o Sectigo Code Signing OV (ou Individual Validation para programadores independentes) são as opções de entrada a $219/ano.

O Que Pode Assinar com um Certificado de Assinatura de Código

Um certificado de qualquer CA disponível na SSL Dragon pode assinar:

  • Binários e instaladores Windows: ficheiros .exe, .dll, .cab, .ocx, .msi e .xap assinados via Microsoft Authenticode
  • Drivers Windows: drivers em modo utilizador (OV ou EV) e drivers em modo kernel (apenas EV)
  • Aplicações Java: ficheiros .jar assinados com jarsigner
  • Scripts e macros: scripts PowerShell, VBScript e macros VBA do Microsoft Office
  • Outros formatos: pacotes Adobe AIR, ficheiros de objeto Mozilla e Microsoft Silverlight (legado, mas ainda válido)
  • Firmware e software IoT
  • Contentores e pacotes de software

O mesmo certificado cobre a maioria dos casos acima; a assinatura de drivers em modo kernel é o único caso que obriga ao nível EV.

Certificados de Assinatura de Código vs Certificados SSL/TLS

Um certificado SSL/TLS encripta a ligação entre um browser e um website. Um certificado de assinatura de código assina digitalmente software para que o sistema operativo possa verificar quem o publicou e que o ficheiro não foi alterado.

Os dois não são intercambiáveis: um protege um domínio, o outro comprova a origem de um executável. Ambos são certificados X.509 emitidos por uma Certificate Authority, o que explica a confusão entre eles.

Perguntas frequentes

O que é um certificado de assinatura de código?

É um certificado X.509 que permite a um editor anexar uma assinatura digital verificável ao software. Ao contrário de um CSR (apenas a solicitação de pedido enviada à CA), o certificado emitido vincula uma identidade verificada a uma chave pública que os sistemas operacionais usam para confirmar a origem de um arquivo.

Copiar link

Qual é a diferença entre OV e EV?

A validação EV normalmente leva de 3 a 5 dias úteis a mais do que a OV, e apenas o EV é elegível para assinatura de drivers em modo kernel. Informações sobre preços, verificações de identidade e a comparação de comportamento do SmartScreen estão na seção OV vs EV acima.

Copiar link

Preciso de um token de hardware para assinatura de código?

Um token de hardware é uma das três opções. Serviços de assinatura em nuvem como DigiCert KeyLocker e SSL.com eSigner dispensam completamente o token físico: a chave fica num HSM gerido pela CA e a assinatura é feita via API, o que funciona bem para CI/CD. Consulte a secção de entrega de hardware acima.

Copiar link

Por quanto tempo um certificado de assinatura de código é válido?

Máximo de 460 dias por emissão de acordo com as regras atuais. Sempre assine com uma autoridade de carimbo de tempo (tsa.digicert.com da DigiCert ou timestamp.sectigo.com da Sectigo) para que os binários permaneçam confiáveis após o vencimento. Contexto completo na seção de Validade de 460 Dias acima.

Copiar link

Posso obter um certificado de assinatura de código gratuito?

Nenhuma CA de confiança pública as emite. O raciocínio completo e as alternativas pagas mais acessíveis estão na secção Por Que a Assinatura de Código Gratuita Não É Realista acima.

Copiar link

De qual certificado preciso para drivers de modo kernel do Windows?

Qualquer certificado de code signing EV. O portal WHQL da Microsoft e o fluxo de assinatura por atestado rejeitam completamente certificados que não sejam EV.

Copiar link

Quanto tempo demora a emissão de assinatura de código?

1 a 7 dias úteis, dependendo da CA e do nível de validação. EV geralmente demora mais do que OV porque a verificação da organização é mais detalhada, portanto, planeje um tempo extra se tiver um prazo de lançamento apertado.

Copiar link

A assinatura de código funciona no macOS e no Linux?

Sim, para assinatura geral de binários multiplataforma, incluindo arquivos .jar e muitos formatos de contêiner. A distribuição na Mac App Store requer um programa separado de Apple Developer ID; a assinatura no Linux é menos padronizada, mas suportada na maioria dos formatos de pacote.

Copiar link

Não sabe o que precisa?

Utilize o nosso SSL Wizard para selecionar as opções que se aplicam ao seu caso, e ajudamo-lo a encontrar o certificado SSL certo.

Não sabe o que precisa?

Interface do assistente de configuração SSL Dragon com botões e texto explicativo

Nossos clientes e figuras-chave

Volvo logo
Netflix logo with a red background, displaying the text 'Netflix' in white.
Koton logo featuring stylized text and a light background.
Dufry logo
Phillips logo
Northrop Grumman Logo
Yale logo
Harvard logo
Oxford Logo
Rockefeller Logo
Goodwill Logo
Sapient Logo
Hawaii Logo
Army Logo
force Logo
Schneider Logo
cisco Logo
Cornell Logo

Classificado 4.8 de 5 por 1235 clientes

avatar-male-5
Christopher Broderick
junio 15, 2022, , united kingdom
Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.
avatar-male-3
Munro James
octubre 31, 2020, Victoria, AU

Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.

avatar-female-3
Kelly Mark
octubre 29, 2020, Dublin, IE

Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.

Avaliações e resenhas de clientes reais no Shopper Approved. Leia todas elas.