Certificate OV si EV de semnare a codului de la Comodo, Sectigo, DigiCert si GoGetSSL, incepand de la $219/an. Majoritatea comenzilor sunt emise in 1-7 zile lucratoare si sunt livrate cu un token hardware, sau puteti semna prin cloud HSM. Garantie de returnare a banilor in 25 de zile.


Certificate OV vs EV de Semnare a Codului
Exista doua niveluri de validare, iar alegerea cumparatorului intre ele depinde de cine semneaza si ce semneaza.
- OV (Organization Validation) este nivelul standard. CA verifica existenta legala a unei companii inregistrate si emite certificatul pe numele acelei organizatii. Comodo si Sectigo emit, de asemenea, certificate echivalente OV catre persoane fizice verificate, uneori numite Individual Validation (IV), pentru dezvoltatori independenti fara o companie inregistrata. Optiunile OV de la SSL Dragon incep de la $219/an.
- EV (Extended Validation) necesita o verificare mai aprofundata a companiei conform ghidurilor EV ale CA/Browser Forum. Doar organizatiile inregistrate sunt eligibile; persoanele fizice nu. EV este singurul nivel acceptat pentru semnarea driverelor Windows in modul kernel, iar multe politici de achizitii si audit ale companiilor il impun. Optiunile EV de la SSL Dragon incep de la $287/an.
| OV / Individual | EV | |
|---|---|---|
| Verificarea identitatii | Companie sau persoana fizica | Organizatie inregistrata (fara persoane fizice) |
| Comportament SmartScreen | Construieste reputatia per hash de fisier | Construieste reputatia per hash de fisier |
| Semnarea driverelor Windows in modul kernel | Nu este eligibil | Eligibil |
| Pret de pornire (SSL Dragon) | $219/an | $287/an |
| Recomandat pentru | Aplicatii user-mode, scripturi, buget redus | Semnarea driverelor, garantia identitatii, achizitii |
O nota despre SmartScreen: o actualizare din 2024 a Microsoft Trusted Root Program a schimbat modul in care se acumuleaza reputatia. Reputatia SmartScreen se construieste acum pe baza hash-ului fisierului si a volumului de descarcari, indiferent de tipul certificatului. EV nu mai acorda incredere instantanee in SmartScreen. Atat binarele semnate OV, cat si cele semnate EV isi construiesc reputatia in acelasi mod odata ce sunt distribuite.
Alegeti OV daca semnati aplicatii user-mode si doriti un pret mai mic. Alegeti EV daca semnati drivere Windows in modul kernel, aveti nevoie de garantia maxima a identitatii sau aveti cerinte de achizitii care specifica explicit EV.
Token Hardware, Cloud HSM sau Dispozitiv Propriu
Incepand cu 1 iunie 2023, CA/Browser Forum impune ca cheia privata a fiecarui certificat de incredere publica sa fie generata si stocata pe hardware care indeplineste standardele FIPS 140-2 Level 2 sau Common Criteria EAL 4+. Fisierele .pfx descarcabile nu mai sunt emise. Cumparatorii pot alege una dintre cele trei metode de livrare:
- Token USB livrat de CA. CA trimite prin posta un token USB FIPS 140-2 Level 2 preincărcat (de obicei un YubiKey) la adresa verificata din comanda.
- Dispozitiv propriu conform. Daca echipa dvs. opereaza deja un HSM sau token FIPS 140-2 Level 2 sau Common Criteria EAL 4+, CA emite certificatul pe baza unei atestari de la acel dispozitiv.
- Serviciu de semnare cloud HSM. Cheia privata este generata si pastrata intr-un cloud HSM administrat de CA, precum DigiCert KeyLocker, semnarea cloud Sectigo sau SSL.com eSigner. Nu este necesar niciun token fizic de livrat, iar semnarea se integreaza usor in pipeline-urile CI/CD.
Un token USB este cea mai simpla solutie pentru semnarea manuala ocazionala; semnarea cloud se potriveste mai bine pentru build-uri automate. Toate cele trei metode impartasesc aceeasi infrastructura de chei publice (PKI): certificatul leaga identitatea dvs. verificata de o cheie publica, hardware-ul protejeaza cheia privata, iar semnatura digitala rezultata este cea pe care Windows o verifica.
Pasii de configurare se gasesc in tutorialele noastre de semnare a codului.
Noua Limita de Valabilitate de 460 de Zile (In Vigoare din Martie 2026)
Incepand cu 1 martie 2026, certificatele de incredere publica au o valabilitate maxima de 460 de zile (aproximativ 15 luni), fata de maximul anterior de 39 de luni. Modificarea provine din CA/Browser Forum Ballot CSC-31. Comenzile multi-anuale sunt in continuare disponibile, insa certificatul in sine este reemis in cadrul perioadei achizitionate, nu o acopera integral.
Ce inseamna acest lucru la nivelul comenzii:
- Un singur certificat nou este limitat la aproximativ 15 luni de valabilitate
- Comenzile pe 2 si 3 ani raman disponibile, cu reemitere pe parcursul perioadei
- Comenzile instalate pe HSM pot acoperi intreaga perioada achizitionata, dar necesita reemitere anuala
- Certificatele emise inainte de 1 martie 2026 raman valabile pana la expirarea lor initiala
Codul semnat cu timestamp corect ramane de incredere dupa expirarea certificatului, astfel incat software-ul deja semnat si distribuit nu este afectat. Se schimba doar cadenta de reinnoire.
Comparatie Certificate de Semnare a Codului dupa CA si Pret
SSL Dragon ofera optiuni de la patru Certificate Authorities. Iata cum se compara optiunile OV si EV in functie de pretul de pornire, livrarea hardware si timpul de emitere.
| Certificat | Validare | Pret de Pornire | Livrare Hardware | Emitere |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/an | Token USB sau HSM | 1-7 zile |
| Sectigo Code Signing SSL | OV / Individual | $219/an | Token USB sau HSM | 1-7 zile |
| GoGetSSL Code Signing SSL | OV / Individual | $289/an | Token USB sau HSM | 1-7 zile |
| DigiCert Code Signing | OV | $400/an | Token USB, HSM sau KeyLocker cloud | 1-7 zile |
| Comodo EV Code Signing | EV | $287/an | Token USB sau HSM | 1-7 zile |
| Sectigo EV Code Signing | EV | $287/an | Token USB sau HSM | 1-7 zile |
| GoGetSSL Code Signing EV SSL | EV | $369/an | Token USB sau HSM | 1-7 zile |
| DigiCert EV Code Signing | EV | $685/an | Token USB, HSM sau KeyLocker cloud | 1-7 zile |
Comodo si Sectigo OV incep ambele de la $219/an si sunt cele mai ieftine optiuni de incredere publica de pe aceasta pagina. DigiCert se afla la capatul premium, $400 pentru OV si $685 pentru EV, si este ales de obicei de cumparatorii ale caror contracte sau cadre de conformitate specifica explicit DigiCert. GoGetSSL este optiunea cu cel mai bun raport calitate-pret la nivelul EV, la $369/an. Toate cele patru CA livreaza tokene hardware, DigiCert oferind in plus semnarea cloud KeyLocker pentru fluxuri de lucru fara HSM fizic.
De Ce Semnarea Gratuita a Codului Nu Este Realista
Nicio Certificate Authority de incredere publica nu ofera semnarea gratuita a codului incepand cu 2026.
Doua costuri reale fac acest lucru imposibil:
- CA trebuie sa verifice identitatea editorului (organizatie sau persoana fizica)
- Incepand din iunie 2023, cheia privata trebuie sa se afle pe hardware conform FIPS, pe care cineva trebuie sa il plateasca
Certificatele auto-semnate pot fi generate cu OpenSSL si nu costa nimic, insa Windows, macOS si browserele nu au incredere in ele, astfel incat avertismentul „Unknown Publisher” ramane afisat. Daca pretul este factorul decisiv, Comodo Code Signing si Sectigo Code Signing OV (sau Individual Validation pentru dezvoltatorii independenti) sunt produsele de intrare la $219/an.
Ce Puteti Semna cu un Certificat de Semnare a Codului
Un certificat de la oricare CA disponibil la SSL Dragon poate semna:
- Binare si instalatoare Windows: fisiere .exe, .dll, .cab, .ocx, .msi si .xap semnate prin Microsoft Authenticode
- Drivere Windows: drivere user-mode (OV sau EV) si drivere kernel-mode (doar EV)
- Aplicatii Java: fisiere .jar semnate cu jarsigner
- Scripturi si macro-uri: scripturi PowerShell, VBScript si macro-uri Microsoft Office VBA
- Alte formate: pachete Adobe AIR, fisiere obiect Mozilla si Microsoft Silverlight (legacy, dar inca valide)
- Firmware si software IoT
- Containere si pachete software
Acelasi certificat acopera majoritatea elementelor din lista de mai sus; cazul driverelor kernel-mode este cel care impune nivelul EV.
Certificate de Semnare a Codului vs Certificate SSL/TLS
Un certificat SSL/TLS cripteaza conexiunea dintre un browser si un site web. Un certificat de semnare a codului semneaza digital software-ul, astfel incat sistemul de operare poate verifica cine l-a publicat si ca fisierul nu a fost modificat.
Cele doua nu sunt interschimbabile: unul securizeaza un domeniu, celalalt dovedeste originea unui fisier executabil. Ambele sunt certificate X.509 emise de o Certificate Authority, motiv pentru care sunt adesea confundate.
Întrebări frecvente
Este un certificat X.509 care permite unui editor sa atașeze o semnatura digitala verificabila la software. Spre deosebire de un CSR (doar cererea de comanda trimisa catre CA), certificatul emis leaga o identitate verificata de o cheie publica pe care sistemele de operare o folosesc pentru a confirma originea unui fisier.
Copiați link-ul
Verificarea EV durează de obicei cu 3-5 zile lucrătoare mai mult decât OV, iar doar EV este eligibil pentru semnarea driverelor în modul kernel. Prețurile, verificările de identitate și comparația comportamentului SmartScreen se află în secțiunea OV vs EV de mai sus.
Copiați link-ul
Un token hardware este una dintre cele trei optiuni. Serviciile de semnare in cloud, precum DigiCert KeyLocker si SSL.com eSigner, elimina complet tokenul fizic: cheia se afla intr-un HSM gestionat de CA si semnezi prin intermediul unui API, ceea ce functioneaza bine pentru CI/CD. Consulta sectiunea de livrare hardware de mai sus.
Copiați link-ul
Maximum 460 de zile per emitere conform regulilor actuale. Semnati intotdeauna cu o autoritate de timestamping (tsa.digicert.com de la DigiCert sau timestamp.sectigo.com de la Sectigo) pentru ca binarele sa ramana de incredere dupa expirare. Context complet in sectiunea Valabilitate 460 de Zile de mai sus.
Copiați link-ul
Nicio CA de incredere publica nu le emite. Rationamentul complet si cele mai ieftine alternative platite se afla in sectiunea De ce semnarea gratuita a codului nu este realista de mai sus.
Copiați link-ul
Orice certificat EV de semnare a codului. Portalul WHQL al Microsoft și fluxul de semnare prin atestare resping complet certificatele non-EV.
Copiați link-ul
1-7 zile lucratoare in functie de CA si nivelul de validare. EV dureaza de obicei mai mult decat OV deoarece verificarea organizatiei este mai complexa, asa ca planifica timp suplimentar daca ai un termen limita strans.
Copiați link-ul
Da, pentru semnarea generală a binarelor cross-platform, inclusiv fișiere .jar și multe formate de containere. Distribuția prin macOS App Store necesită un program separat Apple Developer ID; semnarea pe Linux este mai puțin standardizată, dar este acceptată pentru majoritatea formatelor de pachete.
Copiați link-ul
Nu stiti de ce aveti nevoie?
Folositi SSL Wizard-ul nostru pentru a selecta optiunile care vi se aplica, si va vom ajuta sa gasiti certificatul SSL potrivit.
Nu stiti de ce aveti nevoie?

