hero digicert Image

Сертификаты подписи кода

OV и EV сертификаты подписи кода от Comodo, Sectigo, DigiCert и GoGetSSL, начиная от $219/год. Большинство заказов выпускается за 1-7 рабочих дней и поставляется с аппаратным токеном, либо вы можете подписывать через облачный HSM. Подкреплено 25-дневной гарантией возврата денег.

Иконка гарнитуры поддержки с текстом 'Support'
Выделенная поддержка
Логотип GLEIF с текстом 'GLEIF Accredited'
Возврат в течение 25 дней
Логотип Comodo
Comodo Code Signing
Code Signing
Подписание кодов
Business Validation
Бизнес / Индивидуальная проверка
clock icon
Выдается через 1-7 дней
$219/год
Посмотреть детали
Логотип Comodo
Comodo EV Code Signing
Code Signing
Подписание кодов
Extended Validation
Расширенная проверка
clock icon
Выдается через 1-7 дней
$287/год
Посмотреть детали
DigiCert
DigiCert Code Signing
Code Signing
Подписание кодов
Business Validation
Проверка бизнеса
clock icon
Выдается через 1-7 дней
$400/год
Посмотреть детали
DigiCert
DigiCert EV Code Signing
Code Signing
Подписание кодов
Extended Validation
Расширенная проверка
clock icon
Выдается через 1-7 дней
$685/год
Посмотреть детали
Логотип GoGetSSL
GoGetSSL Code Signing
Code Signing
Подписание кодов
Business Validation
Бизнес / Индивидуальная проверка
clock icon
Выдается через 1-7 дней
$289/год
Посмотреть детали
Логотип GoGetSSL
GoGetSSL EV Code Signing
Code Signing
Подписание кодов
Extended Validation
Расширенная проверка
clock icon
Выдается через 1-7 дней
$369/год
Посмотреть детали
Логотип Сектиго
Sectigo Code Signing SSL
Code Signing
Подписание кодов
Business Validation
Бизнес / Индивидуальная проверка
clock icon
Выдается через 1-7 дней
$219/год
Посмотреть детали
Логотип Сектиго
Sectigo EV Code Signing
Code Signing
Подписание кодов
Extended Validation
Расширенная проверка
clock icon
Выдается через 1-7 дней
$287/год
Посмотреть детали

OV и EV сертификаты подписи кода

Существует два уровня проверки, и выбор между ними зависит от того, кто подписывает и что именно подписывается.

OV / IndividualEV
Проверка личностиОрганизация или физическое лицоЗарегистрированная организация (физические лица не допускаются)
Поведение SmartScreenРепутация накапливается по хешу файлаРепутация накапливается по хешу файла
Подпись драйверов режима ядра WindowsНе допускаетсяДопускается
Начальная цена (SSL Dragon)$219/год$287/год
Лучше всего подходит дляПриложения пользовательского режима, скрипты, ограниченный бюджетПодпись драйверов, подтверждение личности, закупки

Примечание о SmartScreen: обновление 2024 года в программе Microsoft Trusted Root Program изменило способ накопления репутации. Репутация SmartScreen теперь накапливается по хешу файла и объёму загрузок независимо от типа сертификата. EV больше не предоставляет мгновенного доверия SmartScreen. Подписанные бинарные файлы как OV, так и EV накапливают репутацию одинаково после их распространения.

Выбирайте OV, если вы подписываете приложения пользовательского режима и хотите более низкую ценовую категорию. Выбирайте EV, если вы подписываете драйверы режима ядра Windows, нуждаетесь в максимальном подтверждении личности или ваши требования к закупкам явно указывают на EV.

Аппаратный токен, облачный HSM или собственное устройство

С 1 июня 2023 года CA/Browser Forum требует, чтобы закрытый ключ каждого публично доверенного сертификата генерировался и хранился на оборудовании, соответствующем FIPS 140-2 Level 2 или Common Criteria EAL 4+. Загружаемые .pfx-файлы больше не выпускаются. Покупатели выбирают один из трёх способов доставки:

  1. USB-токен, отправляемый CA. CA отправляет по почте предварительно загруженный USB-токен FIPS 140-2 Level 2 (как правило, YubiKey) на проверенный адрес в заказе.
  2. Собственное совместимое устройство. Если ваша команда уже использует HSM или токен, соответствующий FIPS 140-2 Level 2 или Common Criteria EAL 4+, CA выпускает сертификат на основании аттестации этого устройства.
  3. Облачный HSM-сервис подписи. Закрытый ключ генерируется и хранится в управляемом CA облачном HSM, например DigiCert KeyLocker, облачной подписи Sectigo или SSL.com eSigner. Физический токен не требуется, а подпись легко интегрируется в CI/CD-пайплайны.

USB-токен проще всего подходит для редкой ручной подписи; облачная подпись лучше подходит для автоматизированных сборок. Все три способа используют одну и ту же инфраструктуру открытых ключей (PKI): сертификат связывает вашу проверенную личность с открытым ключом, оборудование защищает закрытый ключ, а полученная цифровая подпись — это то, что проверяет Windows.

Инструкции по настройке приведены в наших руководствах по подписи кода.

Новое ограничение срока действия — 460 дней (вступает в силу в марте 2026 года)

С 1 марта 2026 года публично доверенные сертификаты имеют максимальный срок действия 460 дней (около 15 месяцев), по сравнению с прежним максимумом в 39 месяцев. Изменение вытекает из Ballot CSC-31 CA/Browser Forum. Многолетние заказы по-прежнему продаются, однако сам сертификат перевыпускается в течение приобретённого срока, а не охватывает его целиком.

Что это означает на уровне заказа:

  • Срок действия одного нового сертификата ограничен ~15 месяцами
  • Заказы на 2 и 3 года по-прежнему доступны с перевыпуском в течение срока
  • Заказы с установкой на HSM могут охватывать весь приобретённый срок, но требуют ежегодного перевыпуска
  • Сертификаты, выпущенные до 1 марта 2026 года, остаются действительными до первоначальной даты истечения срока

Код с правильной временной меткой остаётся доверенным после истечения срока действия сертификата, поэтому программное обеспечение, которое вы уже подписали и выпустили, не затрагивается. Меняется только периодичность продления.

Сравнение сертификатов подписи кода по CA и цене

SSL Dragon предлагает варианты от четырёх удостоверяющих центров. Вот как соотносятся OV и EV варианты по начальной цене, способу доставки оборудования и времени выпуска.

СертификатПроверкаНачальная ценаДоставка оборудованияВыпуск
Comodo Code SigningOV / Individual$219/годUSB-токен или HSM1-7 дней
Sectigo Code Signing SSLOV / Individual$219/годUSB-токен или HSM1-7 дней
GoGetSSL Code Signing SSLOV / Individual$289/годUSB-токен или HSM1-7 дней
DigiCert Code SigningOV$400/годUSB-токен, HSM или облако KeyLocker1-7 дней
Comodo EV Code SigningEV$287/годUSB-токен или HSM1-7 дней
Sectigo EV Code SigningEV$287/годUSB-токен или HSM1-7 дней
GoGetSSL Code Signing EV SSLEV$369/годUSB-токен или HSM1-7 дней
DigiCert EV Code SigningEV$685/годUSB-токен, HSM или облако KeyLocker1-7 дней

Comodo и Sectigo OV оба начинаются от $219/год и являются самыми доступными публично доверенными вариантами на этой странице. DigiCert находится в премиальном сегменте — $400 за OV и $685 за EV — и, как правило, выбирается покупателями, чьи контракты или требования соответствия явно указывают на DigiCert. GoGetSSL — выгодный вариант на уровне EV по цене $369/год. Все четыре CA поставляют аппаратные токены, при этом DigiCert также предлагает облачную подпись KeyLocker для рабочих процессов без HSM.

Почему бесплатная подпись кода нереалистична

По состоянию на 2026 год ни один публично доверенный удостоверяющий центр не предлагает бесплатную подпись кода.

Два реальных фактора делают это невозможным:

  1. CA должен проверить личность издателя (организации или физического лица)
  2. С июня 2023 года закрытый ключ должен храниться на FIPS-совместимом оборудовании, за которое кто-то должен платить

Самоподписанные сертификаты можно сгенерировать с помощью OpenSSL бесплатно, однако Windows, macOS и браузеры им не доверяют, поэтому предупреждение «Unknown Publisher» остаётся. Если цена является определяющим фактором, Comodo Code Signing и Sectigo Code Signing OV (или Individual Validation для разработчиков-одиночек) — это начальные SKU по цене $219/год.

Что можно подписать с помощью сертификата подписи кода

Сертификат от любого CA, представленного в SSL Dragon, позволяет подписывать:

  • Бинарные файлы и установщики Windows: файлы .exe, .dll, .cab, .ocx, .msi и .xap, подписанные через Microsoft Authenticode
  • Драйверы Windows: драйверы пользовательского режима (OV или EV) и драйверы режима ядра (только EV)
  • Java-приложения: файлы .jar, подписанные с помощью jarsigner
  • Скрипты и макросы: скрипты PowerShell, VBScript и макросы VBA для Microsoft Office
  • Другие форматы: пакеты Adobe AIR, объектные файлы Mozilla и Microsoft Silverlight (устаревшие, но по-прежнему действительные)
  • Прошивки и программное обеспечение для IoT
  • Контейнеры и программные пакеты

Один и тот же сертификат охватывает большинство пунктов из приведённого списка; случай с драйверами режима ядра — единственный, который требует уровня EV.

Сертификаты подписи кода и SSL/TLS сертификаты

SSL/TLS сертификат шифрует соединение между браузером и веб-сайтом. Сертификат подписи кода цифровым образом подписывает программное обеспечение, чтобы операционная система могла проверить, кто его опубликовал и не был ли файл изменён.

Эти два типа не являются взаимозаменяемыми: один защищает домен, другой подтверждает происхождение исполняемого файла. Оба являются X.509 сертификатами, выпущенными удостоверяющим центром, что и является причиной путаницы.

Часто задаваемые вопросы

Что такое сертификат подписи кода?

Это сертификат X.509, который позволяет издателю прикрепить проверяемую цифровую подпись к программному обеспечению. В отличие от CSR (просто запроса на выпуск, отправляемого в CA), выданный сертификат связывает проверенную личность с открытым ключом, который операционные системы используют для подтверждения происхождения файла.

Копировать ссылку

В чём разница между OV и EV?

Проверка EV обычно занимает на 3-5 рабочих дней больше, чем OV, и только EV подходит для подписи драйверов режима ядра. Сравнение цен, проверки личности и поведения SmartScreen приведено в разделе OV vs EV выше.

Копировать ссылку

Нужен ли мне аппаратный токен для подписи кода?

Аппаратный токен — это один из трех вариантов. Облачные сервисы подписи, такие как DigiCert KeyLocker и SSL.com eSigner, полностью исключают физический токен: ключ хранится в HSM под управлением CA, а подпись выполняется через API, что хорошо подходит для CI/CD. См. раздел о доставке аппаратного обеспечения выше.

Копировать ссылку

Каков срок действия сертификата подписи кода?

Максимум 460 дней на один выпуск согласно действующим правилам. Всегда подписывайте с использованием службы временных меток (tsa.digicert.com от DigiCert или timestamp.sectigo.com от Sectigo), чтобы бинарные файлы оставались доверенными после истечения срока действия. Подробный контекст приведён в разделе «Срок действия 460 дней» выше.

Копировать ссылку

Могу ли я получить бесплатный сертификат подписи кода?

Ни один публично доверенный CA их не выдаёт. Полное объяснение и самые доступные платные альтернативы приведены в разделе «Почему бесплатное подписание кода нереалистично» выше.

Копировать ссылку

Какой сертификат нужен для драйверов режима ядра Windows?

Любой EV сертификат подписи кода. Портал WHQL Microsoft и процесс подписи с аттестацией отклоняют не-EV сертификаты напрямую.

Копировать ссылку

Сколько времени занимает выпуск сертификата подписи кода?

От 1 до 7 рабочих дней в зависимости от CA и уровня проверки. EV обычно занимает больше времени, чем OV, поскольку проверка организации более тщательная, поэтому при сжатых сроках выпуска закладывайте дополнительное время.

Копировать ссылку

Работает ли подпись кода на macOS и Linux?

Да, для общей подписи кросс-платформенных бинарных файлов, включая .jar-файлы и многие форматы контейнеров. Распространение через macOS App Store требует отдельной программы Apple Developer ID; подпись для Linux менее стандартизирована, но поддерживается в большинстве форматов пакетов.

Копировать ссылку

Не знаете, что вам нужно?

Воспользуйтесь нашим SSL Wizard, чтобы выбрать подходящие параметры, и мы поможем вам найти правильный SSL сертификат.

Не знаете, что вам нужно?

Интерфейс мастера настройки SSL Dragon с кнопками и пояснительным текстом

Наши клиенты и ключевые фигуры

Volvo logo
Netflix logo with a red background, displaying the text 'Netflix' in white.
Koton logo featuring stylized text and a light background.
Dufry logo
Phillips logo
Northrop Grumman Logo
Yale logo
Harvard logo
Oxford Logo
Rockefeller Logo
Goodwill Logo
Sapient Logo
Hawaii Logo
Army Logo
force Logo
Schneider Logo
cisco Logo
Cornell Logo

Оценка 4.8 из 5 от 1239 клиенты

avatar-male-2
Christopher Broderick
June 15, 2022, , united kingdom

Great selection of certificates with a clear definition of properties for each certificate makes it easy to choose the right one.

avatar-male-4
Munro James
October 31, 2020, Victoria, AU

Easier and cheaper than going directly and ordering via the vendor, thank you for the information and the simple shopping experience.

avatar-female-3
Kelly Mark
October 29, 2020, Dublin, IE

Excellent customer service when I ordered the wrong cert! The support team then helped me get the correct cert and refunded me on the incorrect cert I bought! Very fast and a happy customer.

Реальные оценки и отзывы покупателей на Shopper Approved. Прочитать их все.