Бухгалтерия: buh@emaro-ssl.ru
Поддержка: support@emaro-ssl.ru
Код лежит в основе каждого компьютера, контролирует, что он делает и как он это делает. А для современных устройств код уже не является статичным. Он постоянно обновляется.
Странно думать, что код, контролирующий Ваш телефон, Ваш автомобиль или Вашу микроволновую печь, может быть обновлен в любое время, если Вы вдруг не знали. Кто написал этот код? Знаете ли Вы ответ на этот вопрос?
Это важный вопрос. Когда все устройства полагаются на код запуска, знают ли они, откуда этот код и что он безопасный?
Сертификат является важной частью того, что у Вас есть оригинальный код. В этой статье мы познакомим Вас с сертификатами подписи кода, рассмотрим простое объяснение того, как они работают, и объясним, почему и как начать подписывать код.
Вы являетесь разработчиком программного обеспечения, распространяющим Ваше программное обеспечение через Интернет. Вы когда-нибудь задумывались, получают ли Ваши пользователи тот же самый оригинальный код, который Вы отправляете?
Возможно, кто-то загрузил Ваше программное обеспечение на сайт бесплатно, но установил в него вредоносное ПО. Если Ваше программное обеспечение достаточно популярно, злоумышленник может использовать Ваше приложение, как "приманку" и скрывать вредоносное ПО под Вашим именем файла.
Исторически, люди маскировали опасный код, что бы добиться своих целей. Миллионы людей ищут Photoshop, Microsoft Office и Adobe Acrobat, а вредоносные дистрибьюторы знают об этом. Каждый из Вас, знает хотя бы одного человека, который, попался на их удочку.
Даже самые популярные приложения и сайты могут стать разносчиками вирусов. Как этого избежать?
Сертификаты подписи кода решат эту проблему, связав код с идентификатором. Когда Вы запустите подписанное приложение, Вы сразу же увидите, кто его создал.
Сертификаты подписи кода не подписывают только какой-либо код - они не используются для подписи файла.PHP или оператора IF. Они подписывают исполняемые файлы и скрипты. Вы, наверняка их знаете: .exe, .app, .msi, .cab, .dll, .jar (и многие другие). Подписывая эти файлы, они предоставляют криптографическую защиту от модификации и идентифицируют автора программного обеспечения.
Что означает подписание? Если Вы знакомы с шифрованием с открытым ключом (также используемым SSL-сертификатами), Вы поймете, как подписи кода обеспечивают надежную идентификацию. Если нет, то давайте быстро пробежимся:
Помните, что подписание кода обеспечивает идентификацию. Оно не гарантирует, что программа работает должным образом или что она опасна. Подписание кода может гарантировать только то, что ПО было не тронуто посторонними лицами.
Code Signing несет ту же функцию, что и традиционная подпись, подтверждает личность.
Цифровые подписи криптографически подлежат исполнению. Это означает, что компьютеры, могут Вам доказать, действительная ли подпись. При этом сертификаты подписи кода также гарантируют подлинность и целостность. Давайте подробнее рассмотрим их, потому что они оба чрезвычайно важны:
CODE SIGNING может предотвратить большинство атак, которые зависят от взлома, модификации кода, мошеннического программного обеспечения и целевого вредоносного ПО.
Существует второй тип сертификата подписи кода, известного как «EV CODE SIGNING», который используется для приложений с высокой чувствительностью. Эти сертификаты имеют особые требования к хранению и подписанию ключей, и обычно, физически находятся на безопасных флеш-накопителях. Хотя, большинству людей не нужно будет использовать EV Code Signing, мы просто хотели кратко упомянуть об этом.
Code Signing доступна практически на каждой платформе. Если Вы разрабатываете для Windows, OS X, iOS, Android, Java, Linux, Adobe AIR или практически для любой другой основной платформы, Вам будет доступна кодовая подпись.
Все больше и больше платформ делают подписание обязательным. Чтобы распространять программное обеспечение в официальных магазинах приложений для iOS, Android или OS X, для этого Вам требуется подписать свой код. Чем ближе Ваше программное обеспечение к низкоуровневой функциональности, тем важнее подписывать и тем более вероятно, что подписание будет обязательным. Например, все драйверы Windows должны быть подписаны. Даже макросы Microsoft Office и расширения Firefox требуют подписи.
Даже когда подписка не является обязательной, мы всегда её поощряем. Это создает лучший пользовательский интерфейс. Никто не хочет видеть предупреждения о «неизвестном» или «ненадежном» издателе. И преимущества безопасности реальны.
Приобретение и использование сертификата подписи кода можно разбить на пять основных этапов:
Сертификаты подписи кода подписывают исполняемые файлы - все, что угодно .exe - .app, и для каждой промежуточной платформы. После покупки и подачи заявки на получение сертификата, Вы должны ждать около недели для проверки, прежде чем получить сертификат.
Если Вы разрабатываете или распространяете программное обеспечение, Вы должны подписывать свой код. Он уже является обязательным на полдюжины основных платформ и очень приветствуется во всем мире. Подписание кода обеспечит оптимальный пользовательский интерфейс и предотвратит эти досадные предупреждения «ненадежного издателя». Кроме того, криптографическая защита цифровых подписей предотвратит нежелательную модификацию Вашего кода.
Временная отметка Вашего кода имеет решающее значение. В большинстве сред разработки Вы должны установить его отдельно, и Вы должны потратить дополнительное время для этого. Это обеспечит долгосрочное использование Вашего сертификата.
Наконец, помните, что при разработке и распространении программного обеспечения Вы принимаете участие в большой экосистеме пользователей, устройств, программного обеспечения и плохих участников. Самые слабые районы экосистемы всегда будут подвергаться атаке, а ожидания и требования к безопасности будут постоянно увеличиваться. Устраните угрозу и начните подписывать свой код - Ваши пользователи будут Вам благодарны, и когда атака будет предотвращена, Вы почувствуете облегчение.
К сожалению, выбранный сертификат от данного центра сертификации не может быть выдан. Так как ЦС приостановил выпуск новых/продление заказов для доменов в зоне .ru, .рф, .by, .su, .moscow и для сертификатов с OV, EV проверкой, где фигурирует компания из России.
Пожалуйста рассмотрите возможность выпуска сертификатов от AlphaSSL или Globalsign.