hero-faq-1

代码签名

代码签名与 SSL 证书有何区别?

SSL 证书通过对传输的数据进行加密,确保客户端(浏览器)和服务器(网站)之间的通信安全,而代码签名证书则对软件和脚本进行数字签名,以验证其真实性和完整性。

复制链接

如何通过 Sectigo/Comodo 代码签名证书的扩展验证?

以下是获取 Sectigo/Comodo 扩展验证(EV)代码签名证书的要求:

  1. 注册表:填写必要的证书申请表。
  2. 组织认证:证明组织作为真正商业实体的合法性。
  3. 业务存在:至少 3 年的积极运作和注册。
  4. 实际地址:提供有效的实际经营地址以备核查。
  5. 电话验证:通过政府或第三方数据库证明组织的联系电话。
  6. 最后验证呼叫:接到 CA 的电话,验证组织的详细信息和真实性。

如需深入了解每个步骤,请查阅我们的Sectigo/Comodo 证书扩展验证指南

复制链接

如何通过 Sectigo/Comodo 代码签名证书的组织验证?

通过 Sectigo 签发的代码签名证书的组织验证 (OV) 要求如下:

  • 身份验证
  • 组织认证
  • 当地存在
  • 电话验证
  • 最后核实电话

要完成每个步骤,请按照我们的指南了解如何验证 Sectigo OV 代码签名证书

复制链接

撤销代码签名证书

证书撤销是指在代码签名证书预定到期日之前使其失效的过程。 吊销任何与安全漏洞相关的代码签名证书是软件行业标准的最佳做法,因为该证书可能包含被泄露的代码。


Sectigo 的证书使用声明
和许可协议要求公司撤销任何据其所知可能被用于非法或不诚实活动的证书。

由于同一证书既可用于正确的目的,也可用于错误的目的,因此Sectigo依靠可信的第三方提供有关用于恶意软件的Sectigo证书的正确信息。

在以下情况下,Sectigo可能会撤销代码签名证书:

  • 网络犯罪分子窃取或篡改有效的代码签名证书
  • 承包商或员工在公司不知情的情况下使用有效证书进行欺骗。
  • 公司代码、网站或软件受到恶意软件或其他网络攻击的感染。

作为证书颁发机构,Sectigo 无法依赖代码签名证书所有者对误报的自我报告,因为他们可能不知道自己的证书或数字产品已经泄露。

来源:Sectigo 知识库Sectigo 知识库

复制链接

什么是代码签名证书?

代码签名证书是一种数字文件,通过对软件进行数字签名来验证其真实性和完整性,确保软件未被篡改且来源可信。 以下是代码签名证书的工作原理

复制链接

代码签名证书:密钥长度基准要求

自 2021 年 6 月 1 日起,根据
CA/Browser Forum 代码签名基准要求
Sectigo 将要求 RSA 密钥的大小至少为 3072 位。

代码签名证书生成密钥和 CSR 时,请确保选择密钥大小为 3072 位或 4096 位的 RSA 密钥。

只有按键的大小会发生变化,其他过程保持不变。 现有的 RSA 2048 位证书将继续有效,无需更改。

使用 ECC(椭圆曲线)密钥申请的证书不受影响,Sectigo 仍将使用 NIST P-256 和 P-384 曲线密钥签署证书。

来源:Sectigo 知识库Sectigo 知识库

复制链接

如何重新颁发 Sectigo/Comodo 代码签名证书?

以下是重新签发 Sectigo/Comodo 代码签名证书的步骤:

1) 使用最初配置 Sectigo/Comodo 代码签名证书时使用的用户名和密码登录https://secure.trust-provider.com/products/frontpage?area=ssl;
2) 登录后,找到 “替换 “按钮并点击;
3) 您将启动 Sectigo/Comodo 代码签名证书的补发程序。
4) 按照接下来的步骤和说明操作,直到完成 Sectigo 代码签名证书的补发。

复制链接

如何找到代码签名证书的私钥?

从 2023 年 6 月 1 日起,行业标准要求将代码签名证书私钥存储在 FIPS 140 2 级、通用标准 EAL 4+ 认证的硬件上。 这一改动增强了安全性,符合电动汽车代码签名标准。 证书颁发机构不再支持基于浏览器的密钥生成或笔记本电脑/服务器安装。 私钥必须使用 FIPS 140-2 2 级或通用标准 EAL 4+ 认证的令牌/HSM。 要签署代码,请访问令牌/HSM 并使用存储的证书凭据。

根据新的指导原则,您的私人密钥应在 CA 提供的令牌上或您的硬件安全模块上。

复制链接

我在 DUNS 列表中添加了我的电话,但仍然没有验证。 为什么?

一些证书颁发机构(特别是 Sectigo 和 DigiCert)可能会要求您 更新或添加您的电话号码到您 公司的 DUNS 列表中,作为您的业务或扩展验证过程的一部分。

在您与 Dun & Bradstreet 联系并将您的电话号码添加到   公司的 DUNS 列表后, Dun & Bradstreet 可能需要 5 到 40 天的时间才能 向公众提供您的 DUNS 列表更新。 当您与邓白氏公司通电话时,他们可能会告诉您,他们添加或更新了您的电话号码。 然而,他们只是启动了程序。 之后大约 5 到 40 天,您的电话号码将出现在 Dun & Bradstreet 网站(https://www.dandb.com/)

只有当您 收到 一封来自 Dun & Bradstreet 的电子邮件,说明您的 DUNS 资料已成功更新时,您才会知道您的 DUNS 列表已真正更新。 只有在收到他们的这封电子邮件后,您的电话号码才会开始出现在您的 DUNS 列表中。 此外,证书颁发机构(如 Sectigo 和 DigiCert)只有在您的电话号码公开时,才能根据您的 DUNS 列表验证您的电话号码。 这就是为什么您或我们只有在收到电子邮件确认后才应联系证书颁发机构,要求他们检查您的 DUNS 清单。

过去,我们请 Sectigo 和 DigiCert 的验证部代表直接联系 Dun & Bradstreet,并与 Dun & Bradstreet 核对我们客户的电话号码。 我们是在客户告诉我们 他们在 DUNS 列表中添加或更新了电话号码后才这样做的。 每次,Sectigo 和 DigiCert 都被 Dun & Bradstreet 的代表告知,我们的客户在他们的网站上注册了 “DigiCert”。 DUNS 列表更新 “正在进行中”,”尚未完成”,并建议其返回到 当客户收到邓白氏公司的电子邮件信息,确认他们的 DUNS 列表已更新。

如果 5-40 天的等待时间太长,我们建议您采用其他方法验证公司和电话号码,例如提供由公证人、律师或注册会计师撰写的法律信函。 通过 ,您可以在 1-2 天内通过商务或扩展验证。

复制链接