EV 代码签名证书通过公共 PKI 中最严格的身份审核来验证您的软件,通过 SSL Dragon 购买起价为每年 287 美元。我们提供由受信任证书颁发机构(包括 Sectigo(前身为 Comodo)、DigiCert 和 GoGetSSL)颁发的 Extended Validation (EV) 代码签名证书。审核完成后,签发时间为 1 至 7 个工作日,每笔订单均享有 25 天退款保证。


何时需要 EV 代码签名(以及何时 OV 已足够)
在以下三种购买场景中,EV 是唯一可行的选择:
- 签署 Windows 内核模式驱动程序。 Windows Hardware Dev Center 门户和 WHQL 提交流程会拒绝低于 EV 级别的证书。
- 明确要求 Extended Validation 的采购合同或审计框架。 一旦规范要求 EV,OV 将无法满足买方的核查清单。
- 需要最高身份保证的企业软件发布商。 当安装程序面向受监管行业的客户时尤为适用。
其他所有情况下,OV 是正确的选择。两个级别的加密方式完全相同;区别在于身份保证程度以及 Microsoft 的 Authenticode 基础设施对内核模式签名的接受标准。个人开发者、用户模式应用程序、脚本、宏以及预算较低的签名项目,均可以更低的价格和更轻松的审核流程使用 OV。
如果您的场景不需要 EV,我们的 OV 代码签名证书页面介绍了更经济实惠的替代方案。
比较 Comodo、Sectigo、DigiCert 和 GoGetSSL 的 EV 代码签名证书
本页面上的所有 EV 证书均依据相同的 CA/Browser Forum EV 要求颁发,因此选择通常取决于品牌要求、预算以及是否需要云签名路径。
| 证书 | 起始价格 | 硬件交付方式 | 签发时间 | 最适合 |
|---|---|---|---|---|
| Comodo EV Code Signing | $287/年 | USB 令牌或 HSM | 1-7 天 | 价格最低的 EV 选项 |
| Sectigo EV Code Signing | $287/年 | USB 令牌或 HSM | 1-7 天 | 价格最低的 EV 选项(备选品牌) |
| GoGetSSL Code Signing EV SSL | $369/年 | USB 令牌或 HSM | 1-7 天 | 具有强大国际覆盖的中端 EV |
| DigiCert EV Code Signing | $685/年 | USB 令牌、HSM 或 KeyLocker 云 | 1-7 天 | 指定 DigiCert 的采购和合规框架 |
如果您没有品牌要求且希望获得最低价格,Comodo EV Code Signing 每年 287 美元是入门之选。当 KeyLocker 云签名是您构建流水线的一部分,或采购框架直接指定 DigiCert 时,请选择 DigiCert。GoGetSSL 介于两者之间,具有更广泛的国际审核覆盖范围。
您的 EV 证书如何交付
根据 2023 年 6 月 CA/Browser Forum 的强制要求,每个 EV 代码签名密钥现在都必须存储在经认证的硬件上。本页面的证书提供三种 EV 专属交付方式:
- CA 邮寄 USB 令牌。 最适合偶尔手动签名。CA 将私钥预加载到符合 FIPS 140-2 Level 2 标准的设备(通常为 YubiKey FIPS)上,并将其邮寄至您的注册组织。
- 您自己的 HSM 或合规设备。 如果您已运营符合 FIPS 140-2 Level 2 或 Common Criteria EAL 4+ 标准的硬件安全模块,CA 将根据您设备的证明文件进行签发。
- 云 HSM 签名服务。 DigiCert KeyLocker 是本页面提供的云 HSM 选项。签名通过 API 完成,适合 CI/CD 流水线,并从工作流程中移除了物理令牌。
对于自动化构建,或在 Linux 或 macOS 上签名(此时绑定 Windows 的 USB 令牌使用不便),云签名是首先应评估的方案。
Microsoft SmartScreen 与 EV 代码签名
在 2024 年初之前,Windows 二进制文件上的 EV 签名被 Microsoft SmartScreen 视为即时信誉提升,大多数 CA 的营销页面至今仍暗示这一点。2024 年 3 月 Microsoft 可信根程序更新改变了信誉的计算方式。
SmartScreen 现在根据文件哈希和下载量来评分信任度,无论二进制文件是通过 EV 还是 OV 签名;一旦构建版本发布,两个级别以相同方式积累信誉。购买 EV 是为了内核模式驱动程序和采购方面的原因,而不是为了一个已不再存在的 SmartScreen 捷径。
新 460 天规则下的代码签名证书有效期
自 2026 年 3 月 1 日起,CA/Browser Forum Ballot CSC-31(于 2025 年 11 月通过)将每张代码签名证书的最长有效期限制为 460 天。多年期订单仍可购买;证书在有效期内重新签发。安装在 HSM 上的订单可覆盖完整购买期限,但需要每年重新签发。
使用来自 TSA(例如 DigiCert 或 Sectigo 的时间戳服务)的有效时间戳签名的代码,在证书过期后仍保持受信任状态,因此旧版本可继续正常使用。
常见问题
EV 需要对注册组织进行审核,是 Windows 内核模式驱动程序唯一接受的级别;OV 允许个人开发者以较低成本申请。EV 审核通常比 OV 多需要 3-5 个工作日。
复制链接
对于内核模式驱动程序,是的;Microsoft 的 WHQL 门户会拒绝 EV 以下的任何证书。用户模式驱动程序可以使用 OV 证书通过与普通应用程序相同的 Authenticode 流程进行签名。
复制链接
Comodo EV 和 Sectigo EV 的起价均为每年 $287,是本页面中价格最低的 EV 选项。多年期订单可降低每年的费用,并在 460 天规则下每年重新签发。
复制链接
是的。DigiCert KeyLocker 云端 HSM 签名允许您通过 API 进行签名,无需令牌,并且支持 macOS 或 Linux 构建代理,适用于 USB 令牌不实用的场景。
复制链接
不会。使用有效时间戳签名的代码在证书过期后仍受信任;只有新的签名操作会终止。可使用 tsa.digicert.com 或 timestamp.sectigo.com 作为免费的 TSA。
复制链接
不知道您需要什么?
使用我们的 SSL 向导选择您的选项,我们将帮助您找到合适的 SSL 证书。
不知道您需要什么?

