5 skäl för kodsignering - Code Signing från VeriSign, Inc.

Utvecklare och webbutgivare ger fler val och möjligheter än någonsin tidigare. Innovativa applikationer förbättrar webbplatser, mobila enheter och programvara för stationära datorer, för både lek och arbete. Alla vill ha den senaste applikationen men ingen vill tumma på säkerhet och funktionalitet.

Slutanvändare ignorerar ofta säkerhetsvarningar och fortsätter ladda ned innehåll och kod.
Programvaru- och maskinvaruförsäljare vill stödja innovationer utan att äventyra sina produkter.
Nätverksleverantörer måste skydda sina trådlösa tillgångar och samtidigt erbjuda prenumeranterna de senaste alternativen.

Hur vet slutanvändare, programvaruplattformar och nätverk vilken kod de ska lita på? Kodsignering från en betrodd certifikatsutfärdare (CU) som till exempel VeriSign, visar källkodens autentiserade identitet och bevis på innehållsintegriteten. Varför signera koden? Här kommer 5 goda skäl:

1. Visar kunderna att de kan lita på det innehåll som du erbjuder

Kodsignering skapar en digital "inplastning" som visar kunderna identiteten för det företag som ansvarar för koden och bekräftar att den inte har ändrats efter att den signerades. Vid traditionell försäljning av programvara kan köparen bekräfta applikationens källa och integritet genom att undersöka förpackningen. Med kodsignering, använder en utvecklare eller programvaruutgivare en privat nyckel för att lägga till en digital signatur till kod eller innehåll. Programvaruplattformar och applikationer använder en publik nyckel för att dekryptera signaturen under nedladdningen och jämför den hash som används för att signera applikationen med den nedladdade applikationens hash. Signerad kod från en pålitlig källa kan accepteras automatiskt eller kräva att slutanvändaren bestämmer om koden ska ses som pålitlig eller inte. Användaren kan välja att lita på koden en enstaka gång eller alltid.

2. Minska antalet felmeddelanden och säkerhetsvarningar

VeriSign® Code Signing ökar användandet och distributionen av nedladdningsbar programvara genom att minska antalet säkerhetsvarningar och uppfylla säljarnas önskemål. När slutanvändare stöter på osignerad eller självsignerad kod, avbryts de och applikationen laddas inte ned eller så visas en varningsskärm som kräver att de agerar:

Säkerhetsvarning för skärmen Öppen fil

Om dessa slutanvändare träffar på kod med en digital signatur från VeriSign, litar de flesta på VeriSign och på utgivaren. Det kan hända att användaren aldrig ser eller får en varning som rekommenderar att användaren litar på applikationen (beroende på plattform, applikation och kundens säkerhetsinställningar).

Säkerhetsvarning för skärmen Öppen fil

3. Koppla ditt företags rykte till det mest spridda rotcertifikatet

Företag gör stora investeringar i att skapa varumärken och ett rykte som konsumenter och partners litar på. Genom att helt enkelt signera din kod, säkerställer du att den inte har manipulerats och att den kommer från dig, men den verifierar inte vem du är. Om en part med onda avsikter distribuerar skadlig kod som ger sig ut för att komma från dig, kan inte självsignering skydda dig.

Fler litar på en tredje parts CA än ett självsignerat certifikat eftersom den som begärde certifikatet var tvungen att gå via en tredje parts valideringsprocess. När programvaruplattformar och applikationer verifierar en digital signatur, får de åtkomst till ett "rotcertifikat" för att avgöra om det går att lita på den CA som utfärdade certifikatet. Eftersom VeriSigns rotcertifikat är förinstallerade på de flesta enheter och är inbäddade i de flesta applikationer, ses digitala signaturer från VeriSign nästan alltid som pålitliga, vilket minskar antalet varningar och säkerhetsmeddelanden. Självsignerade certifikat åtnjuter inget förtroende förrän slutanvändaren laddar ned rotcertifikatet.

4. Skydda dina kunder med verifierbar innehållsintegritet

Digitala signaturer innehåller bevis på innehållets integritet så att kunder vet att koden inte har ändrats. Om den hash som användes för att signera applikationen inte överensstämmer med den hash som användes för att ladda ned applikationen, uppmärksammar en säkerhetsvarning slutanvändaren på detta, eller så förhindras åtkomst. Det räcker med andra ord med att en enda liten kodbit har modifierats för att kodsigneringen ska upptäcka ändringen och varna kunden. En tidsstämpel visar när koden signerades och låter kunden verifiera att kodsigneringscertifikatet var giltigt vid den digitala signeringen. VeriSign® Code Signing Accounts använder en signeringsprocess i två steg för att skapa en unik digital signatur varje gång kod signeras, vilket gör varje utgiven version av koden enklare att spåra och upphäva.

5. Bygg en relation till dina kunder som grundar sig på förtroende

VeriSign är det mest betrodda säkerhetsmärket på Internet (Tec-Ed-rapporten, PDF, på engelska, okt. 2007) och vi stöder fler plattformar än någon annan kodsigneringsleverantör. Oavsett om du är en stor programvaruutgivare eller en oberoende utvecklare, hjälper VeriSign dig att skapa en relation till dina kunder som präglas av förtroende genom att dina applikationer blir svårare att förfalska och mer betrodda. VeriSign driver en Internetinfrastruktur som har stött toppdomännamnen .com och .net med 100 % tillgänglighet sedan 1998, och våra SSL-certifikat säkrar fler än 1 miljon webbservrar runt om i världen, mer än någon annan certifikatutfärdare.

Mer information

Rapport: För att öka nedladdningen måste du först inge förtroende
Rapport: Att säkra kodöverföring genom signering: En teknisk överblick
Faktablad: VeriSign® Code Signing Certificate (PDF)
Faktablad: VeriSign® Flexible Signing Account: kodsignering för trådlösa plattformar (PDF)
Alla kodsigneringsresurser