Um certificado EV de assinatura de código autentica o seu software sob a verificação de identidade mais rigorosa do PKI público, com preços a partir de $287/ano através do SSL Dragon. Oferecemos certificados Extended Validation (EV) de assinatura de código emitidos por autoridades de certificação confiáveis, incluindo Sectigo (anteriormente Comodo), DigiCert e GoGetSSL. A emissão demora entre 1 e 7 dias úteis após a conclusão da verificação, com uma garantia de reembolso de 25 dias em todos os pedidos.


Quando Precisa de EV de Assinatura de Código (e Quando OV é Suficiente)
EV é o único nível viável em três cenários de comprador:
- Assinatura de drivers em modo kernel do Windows. O portal Windows Hardware Dev Center e o fluxo de submissão WHQL rejeitam qualquer coisa abaixo de EV.
- Contratos de aquisição ou frameworks de auditoria que mencionam explicitamente Extended Validation. Quando a especificação exige EV, OV não satisfaz a lista de verificação do comprador.
- Editores de software empresarial que precisam de máxima garantia de identidade. Útil quando os instaladores chegam a clientes em setores regulamentados.
Para tudo o resto, OV é a escolha certa. A encriptação é idêntica em ambos os níveis; a diferença reside na garantia de identidade e no que a infraestrutura Authenticode da Microsoft aceita para assinatura em modo kernel. Desenvolvedores individuais, aplicações em modo utilizador, scripts, macros e programas de assinatura com orçamento mais reduzido são todos servidos por OV a um preço mais baixo e com uma verificação mais simples.
Se o seu cenário não requer EV, a nossa página de certificado OV de assinatura de código apresenta a alternativa mais económica.
Compare Certificados EV de Assinatura de Código da Comodo, Sectigo, DigiCert e GoGetSSL
Todos os certificados EV nesta página são emitidos de acordo com os mesmos requisitos EV do CA/Browser Forum, pelo que a escolha geralmente recai sobre a exigência de marca, o orçamento e se necessita de um caminho de assinatura na cloud.
| Certificado | Preço Inicial | Entrega de Hardware | Tempo de Emissão | Ideal Para |
|---|---|---|---|---|
| Comodo EV Code Signing | $287/ano | Token USB ou HSM | 1-7 dias | Opção EV de menor preço |
| Sectigo EV Code Signing | $287/ano | Token USB ou HSM | 1-7 dias | Opção EV de menor preço (marca alternativa) |
| GoGetSSL Code Signing EV SSL | $369/ano | Token USB ou HSM | 1-7 dias | EV de nível intermédio com forte cobertura internacional |
| DigiCert EV Code Signing | $685/ano | Token USB, HSM ou KeyLocker cloud | 1-7 dias | Frameworks de aquisição e conformidade que nomeiam DigiCert |
Se não tem nenhuma exigência de marca e pretende o preço mais baixo, o Comodo EV Code Signing a $287/ano é o ponto de entrada. Escolha DigiCert quando a assinatura na cloud KeyLocker faz parte do seu pipeline de build ou quando um framework de aquisição nomeia DigiCert diretamente. GoGetSSL situa-se entre ambos, com maior alcance de verificação internacional.
Como o Seu Certificado EV é Entregue
Todas as chaves EV de assinatura de código residem agora em hardware certificado, ao abrigo do mandato do CA/Browser Forum de junho de 2023. Estão disponíveis três vias de entrega específicas para EV nos certificados desta página:
- Token USB enviado pela CA. Ideal para assinatura manual ocasional. A CA pré-carrega a chave privada num dispositivo FIPS 140-2 Level 2, tipicamente um YubiKey FIPS, e envia-o para a sua organização registada.
- O seu próprio HSM ou dispositivo compatível. Se já opera um módulo de segurança de hardware com classificação FIPS 140-2 Level 2 ou Common Criteria EAL 4+, a CA emite com base num ficheiro de atestação do seu dispositivo.
- Serviço de assinatura HSM na cloud. DigiCert KeyLocker é a opção de HSM na cloud disponível nesta página. A assinatura ocorre através de uma API, o que é adequado para pipelines CI/CD e elimina o token físico do fluxo de trabalho.
Para builds automatizadas, ou assinatura em Linux ou macOS onde um token USB ligado ao Windows é inconveniente, a assinatura na cloud é a via a avaliar em primeiro lugar.
Microsoft SmartScreen e EV de Assinatura de Código
Até ao início de 2024, uma assinatura EV num binário Windows era tratada pelo Microsoft SmartScreen como um impulsionador imediato de reputação, e as páginas de marketing da maioria das CAs ainda implicam isso. A atualização do Microsoft Trusted Root Program de março de 2024 alterou a forma como a reputação é calculada.
O SmartScreen avalia agora a confiança pelo hash do ficheiro e pelo volume de downloads, independentemente de o binário ter sido assinado com EV ou OV; ambos os níveis acumulam reputação da mesma forma assim que uma build está disponível. Adquira EV pelas razões relacionadas com drivers em modo kernel e aquisição, não por um atalho no SmartScreen que já não existe.
Validade do Certificado de Assinatura de Código ao Abrigo da Nova Regra dos 460 Dias
Com efeitos a partir de 1 de março de 2026, o CA/Browser Forum Ballot CSC-31 (aprovado em novembro de 2025) limita a validade máxima de todos os certificados de assinatura de código a 460 dias. Os pedidos plurianuais continuam a ser vendidos; os certificados são reemitidos durante o prazo. Os pedidos instalados em HSM podem cobrir o prazo total adquirido, mas requerem reemissão anual.
O código assinado com um timestamp válido de um TSA, como o serviço de timestamp da DigiCert ou da Sectigo, mantém-se confiável após a expiração do certificado, pelo que as versões antigas continuam a funcionar.
Perguntas frequentes
EV requer verificação de organização registada e é o único nível aceite para drivers de modo kernel do Windows; OV permite desenvolvedores individuais a um custo menor. A verificação EV normalmente demora 3 a 5 dias úteis a mais do que a OV.
Copiar link
Para drivers de modo kernel, sim; o portal WHQL da Microsoft rejeita qualquer coisa abaixo de EV. Drivers de modo utilizador podem ser assinados com OV no mesmo fluxo Authenticode que as aplicações comuns.
Copiar link
Comodo EV e Sectigo EV começam ambos a partir de $287/ano, as opções EV com o preço mais baixo nesta página. Pedidos plurianuais reduzem o custo por ano, com reemissão anual de acordo com a regra dos 460 dias.
Copiar link
Sim. O DigiCert KeyLocker cloud HSM signing permite assinar via API sem token, e é compatível com agentes de build em macOS ou Linux onde um token USB não é prático.
Copiar link
Não. O código assinado com um timestamp válido permanece confiável após o vencimento; apenas novas assinaturas são encerradas. Use tsa.digicert.com ou timestamp.sectigo.com como TSA gratuito.
Copiar link
Não sabe o que precisa?
Utilize o nosso SSL Wizard para selecionar as suas opções e ajudamo-lo a encontrar o certificado SSL certo.
Não sabe o que precisa?

