OV и EV сертификаты подписи кода от Comodo, Sectigo, DigiCert и GoGetSSL, начиная от $219/год. Большинство заказов выпускается за 1-7 рабочих дней и поставляется с аппаратным токеном, либо вы можете подписывать через облачный HSM. Подкреплено 25-дневной гарантией возврата денег.


OV и EV сертификаты подписи кода
Существует два уровня проверки, и выбор между ними зависит от того, кто подписывает и что именно подписывается.
- OV (Organization Validation) — стандартный уровень. CA проверяет юридическое существование зарегистрированной организации и выпускает сертификат на её имя. Comodo и Sectigo также выпускают OV-эквивалентные сертификаты для проверенных физических лиц, иногда называемые Individual Validation (IV), для разработчиков-одиночек без зарегистрированной компании. OV-варианты от SSL Dragon начинаются от $219/год.
- EV (Extended Validation) требует более глубокой проверки бизнеса в соответствии с руководящими принципами EV CA/Browser Forum. Только зарегистрированные организации имеют право на получение; физические лица — нет. EV — единственный уровень, принимаемый для подписи драйверов режима ядра Windows, и многие корпоративные политики закупок и аудита требуют именно его. EV-варианты от SSL Dragon начинаются от $287/год.
| OV / Individual | EV | |
|---|---|---|
| Проверка личности | Организация или физическое лицо | Зарегистрированная организация (физические лица не допускаются) |
| Поведение SmartScreen | Репутация накапливается по хешу файла | Репутация накапливается по хешу файла |
| Подпись драйверов режима ядра Windows | Не допускается | Допускается |
| Начальная цена (SSL Dragon) | $219/год | $287/год |
| Лучше всего подходит для | Приложения пользовательского режима, скрипты, ограниченный бюджет | Подпись драйверов, подтверждение личности, закупки |
Примечание о SmartScreen: обновление 2024 года в программе Microsoft Trusted Root Program изменило способ накопления репутации. Репутация SmartScreen теперь накапливается по хешу файла и объёму загрузок независимо от типа сертификата. EV больше не предоставляет мгновенного доверия SmartScreen. Подписанные бинарные файлы как OV, так и EV накапливают репутацию одинаково после их распространения.
Выбирайте OV, если вы подписываете приложения пользовательского режима и хотите более низкую ценовую категорию. Выбирайте EV, если вы подписываете драйверы режима ядра Windows, нуждаетесь в максимальном подтверждении личности или ваши требования к закупкам явно указывают на EV.
Аппаратный токен, облачный HSM или собственное устройство
С 1 июня 2023 года CA/Browser Forum требует, чтобы закрытый ключ каждого публично доверенного сертификата генерировался и хранился на оборудовании, соответствующем FIPS 140-2 Level 2 или Common Criteria EAL 4+. Загружаемые .pfx-файлы больше не выпускаются. Покупатели выбирают один из трёх способов доставки:
- USB-токен, отправляемый CA. CA отправляет по почте предварительно загруженный USB-токен FIPS 140-2 Level 2 (как правило, YubiKey) на проверенный адрес в заказе.
- Собственное совместимое устройство. Если ваша команда уже использует HSM или токен, соответствующий FIPS 140-2 Level 2 или Common Criteria EAL 4+, CA выпускает сертификат на основании аттестации этого устройства.
- Облачный HSM-сервис подписи. Закрытый ключ генерируется и хранится в управляемом CA облачном HSM, например DigiCert KeyLocker, облачной подписи Sectigo или SSL.com eSigner. Физический токен не требуется, а подпись легко интегрируется в CI/CD-пайплайны.
USB-токен проще всего подходит для редкой ручной подписи; облачная подпись лучше подходит для автоматизированных сборок. Все три способа используют одну и ту же инфраструктуру открытых ключей (PKI): сертификат связывает вашу проверенную личность с открытым ключом, оборудование защищает закрытый ключ, а полученная цифровая подпись — это то, что проверяет Windows.
Инструкции по настройке приведены в наших руководствах по подписи кода.
Новое ограничение срока действия — 460 дней (вступает в силу в марте 2026 года)
С 1 марта 2026 года публично доверенные сертификаты имеют максимальный срок действия 460 дней (около 15 месяцев), по сравнению с прежним максимумом в 39 месяцев. Изменение вытекает из Ballot CSC-31 CA/Browser Forum. Многолетние заказы по-прежнему продаются, однако сам сертификат перевыпускается в течение приобретённого срока, а не охватывает его целиком.
Что это означает на уровне заказа:
- Срок действия одного нового сертификата ограничен ~15 месяцами
- Заказы на 2 и 3 года по-прежнему доступны с перевыпуском в течение срока
- Заказы с установкой на HSM могут охватывать весь приобретённый срок, но требуют ежегодного перевыпуска
- Сертификаты, выпущенные до 1 марта 2026 года, остаются действительными до первоначальной даты истечения срока
Код с правильной временной меткой остаётся доверенным после истечения срока действия сертификата, поэтому программное обеспечение, которое вы уже подписали и выпустили, не затрагивается. Меняется только периодичность продления.
Сравнение сертификатов подписи кода по CA и цене
SSL Dragon предлагает варианты от четырёх удостоверяющих центров. Вот как соотносятся OV и EV варианты по начальной цене, способу доставки оборудования и времени выпуска.
| Сертификат | Проверка | Начальная цена | Доставка оборудования | Выпуск |
|---|---|---|---|---|
| Comodo Code Signing | OV / Individual | $219/год | USB-токен или HSM | 1-7 дней |
| Sectigo Code Signing SSL | OV / Individual | $219/год | USB-токен или HSM | 1-7 дней |
| GoGetSSL Code Signing SSL | OV / Individual | $289/год | USB-токен или HSM | 1-7 дней |
| DigiCert Code Signing | OV | $400/год | USB-токен, HSM или облако KeyLocker | 1-7 дней |
| Comodo EV Code Signing | EV | $287/год | USB-токен или HSM | 1-7 дней |
| Sectigo EV Code Signing | EV | $287/год | USB-токен или HSM | 1-7 дней |
| GoGetSSL Code Signing EV SSL | EV | $369/год | USB-токен или HSM | 1-7 дней |
| DigiCert EV Code Signing | EV | $685/год | USB-токен, HSM или облако KeyLocker | 1-7 дней |
Comodo и Sectigo OV оба начинаются от $219/год и являются самыми доступными публично доверенными вариантами на этой странице. DigiCert находится в премиальном сегменте — $400 за OV и $685 за EV — и, как правило, выбирается покупателями, чьи контракты или требования соответствия явно указывают на DigiCert. GoGetSSL — выгодный вариант на уровне EV по цене $369/год. Все четыре CA поставляют аппаратные токены, при этом DigiCert также предлагает облачную подпись KeyLocker для рабочих процессов без HSM.
Почему бесплатная подпись кода нереалистична
По состоянию на 2026 год ни один публично доверенный удостоверяющий центр не предлагает бесплатную подпись кода.
Два реальных фактора делают это невозможным:
- CA должен проверить личность издателя (организации или физического лица)
- С июня 2023 года закрытый ключ должен храниться на FIPS-совместимом оборудовании, за которое кто-то должен платить
Самоподписанные сертификаты можно сгенерировать с помощью OpenSSL бесплатно, однако Windows, macOS и браузеры им не доверяют, поэтому предупреждение «Unknown Publisher» остаётся. Если цена является определяющим фактором, Comodo Code Signing и Sectigo Code Signing OV (или Individual Validation для разработчиков-одиночек) — это начальные SKU по цене $219/год.
Что можно подписать с помощью сертификата подписи кода
Сертификат от любого CA, представленного в SSL Dragon, позволяет подписывать:
- Бинарные файлы и установщики Windows: файлы .exe, .dll, .cab, .ocx, .msi и .xap, подписанные через Microsoft Authenticode
- Драйверы Windows: драйверы пользовательского режима (OV или EV) и драйверы режима ядра (только EV)
- Java-приложения: файлы .jar, подписанные с помощью jarsigner
- Скрипты и макросы: скрипты PowerShell, VBScript и макросы VBA для Microsoft Office
- Другие форматы: пакеты Adobe AIR, объектные файлы Mozilla и Microsoft Silverlight (устаревшие, но по-прежнему действительные)
- Прошивки и программное обеспечение для IoT
- Контейнеры и программные пакеты
Один и тот же сертификат охватывает большинство пунктов из приведённого списка; случай с драйверами режима ядра — единственный, который требует уровня EV.
Сертификаты подписи кода и SSL/TLS сертификаты
SSL/TLS сертификат шифрует соединение между браузером и веб-сайтом. Сертификат подписи кода цифровым образом подписывает программное обеспечение, чтобы операционная система могла проверить, кто его опубликовал и не был ли файл изменён.
Эти два типа не являются взаимозаменяемыми: один защищает домен, другой подтверждает происхождение исполняемого файла. Оба являются X.509 сертификатами, выпущенными удостоверяющим центром, что и является причиной путаницы.
Часто задаваемые вопросы
Это сертификат X.509, который позволяет издателю прикрепить проверяемую цифровую подпись к программному обеспечению. В отличие от CSR (просто запроса на выпуск, отправляемого в CA), выданный сертификат связывает проверенную личность с открытым ключом, который операционные системы используют для подтверждения происхождения файла.
Копировать ссылку
Проверка EV обычно занимает на 3-5 рабочих дней больше, чем OV, и только EV подходит для подписи драйверов режима ядра. Сравнение цен, проверки личности и поведения SmartScreen приведено в разделе OV vs EV выше.
Копировать ссылку
Аппаратный токен — это один из трех вариантов. Облачные сервисы подписи, такие как DigiCert KeyLocker и SSL.com eSigner, полностью исключают физический токен: ключ хранится в HSM под управлением CA, а подпись выполняется через API, что хорошо подходит для CI/CD. См. раздел о доставке аппаратного обеспечения выше.
Копировать ссылку
Максимум 460 дней на один выпуск согласно действующим правилам. Всегда подписывайте с использованием службы временных меток (tsa.digicert.com от DigiCert или timestamp.sectigo.com от Sectigo), чтобы бинарные файлы оставались доверенными после истечения срока действия. Подробный контекст приведён в разделе «Срок действия 460 дней» выше.
Копировать ссылку
Ни один публично доверенный CA их не выдаёт. Полное объяснение и самые доступные платные альтернативы приведены в разделе «Почему бесплатное подписание кода нереалистично» выше.
Копировать ссылку
Любой EV сертификат подписи кода. Портал WHQL Microsoft и процесс подписи с аттестацией отклоняют не-EV сертификаты напрямую.
Копировать ссылку
От 1 до 7 рабочих дней в зависимости от CA и уровня проверки. EV обычно занимает больше времени, чем OV, поскольку проверка организации более тщательная, поэтому при сжатых сроках выпуска закладывайте дополнительное время.
Копировать ссылку
Да, для общей подписи кросс-платформенных бинарных файлов, включая .jar-файлы и многие форматы контейнеров. Распространение через macOS App Store требует отдельной программы Apple Developer ID; подпись для Linux менее стандартизирована, но поддерживается в большинстве форматов пакетов.
Копировать ссылку
Не знаете, что вам нужно?
Воспользуйтесь нашим SSL Wizard, чтобы выбрать подходящие параметры, и мы поможем вам найти правильный SSL сертификат.
Не знаете, что вам нужно?

