二狗子最近遇到了一个很灵异的事件。

一个月黑风高的夜晚,雪色的 LED 灯和电脑屏幕上变动的图案共同在二狗子脸上映出一片色彩斑斓的影子。性能卓越的耳机屏蔽了一切外在杂音,只留给二狗子简单极致的:“Double Kill!Triple Kill!Quadr Kill!”二狗子感觉那个震耳欲聋的“Penta Kill”已经出现在耳边。

1.png

就在这时,只听“噔”的一声!一个亮黄色的弹窗猛地跳了出来

2.png

二狗子一时也顾不上有没有五杀了,这搞不好就是什么病毒攻击,马上开始了电脑查杀。然而诡异的事情来了,无论二狗子查杀多少次,用多少种方式查杀,都完全找不到病毒源。

迫于无奈的二狗子只能抱着随便试试的心态联系了老朋友,又拍云的客服薇薇小姐姐。

“这个弹窗是因为程序没有代码签名证书哦,你有在安装什么程序吗?”薇薇仔细判断了一番后作出解答。

“我只下载了我自己的图片存储程序呀?这么说来这个程序好像下载完会自动安装!”二狗子恍然大悟。

这亮黄色的安全提醒让人很不安心啊,有没有什么办法去除呢?二狗子继续咨询薇薇小姐姐。

“有代码签名证书就可以哦,我给你细说一下吧。”薇薇耐心回复。


代码签名证书

代码签名证书(Code Signing Certificates)针对程序代码和内容建立的一种数字化验证和保护的安全数字证书,是用来标识软件或代码的来源以及软件开发者真实身份的一种解决方案。

它能让软件开发商对软件代码进行数字签名来表示开发者的真实身份。有了代码签名证书的程序,在安装的时候,会显示对应的开发商名称,方便用户进行判断安装。而未使用代码签名证书,则会像上面二狗子那样出现黄色提示框。

3.jpg

△ 有代码签名证书的软件提示

除此之外,使用代码签名证书有以下几项优点:

  • 建立可信身份:数字证书将个人或实体的身份绑定在与私钥对应的公钥上。 私钥和公钥系统的使用被称为公钥基础设施(PKI)。 开发人员用其私钥对代码进行签名,最终用户使用开发人员的公钥来验证开发人员的身份。

  • 防止恶意篡改:代码签名证明签名的软件是合法的,来自一个已知的软件供应商,并且该代码自发布以来没有被篡改。 代码签名可防止用户由于安全警告消息,恶意更改合法代码以及供应商作者的身份被盗取而放弃应用程序的安装。

  • 消除安全警告:消除“未知发布商”安全警告

  • 使软件可信:证书中显示组织名称,标示软件可信身份。

  • 提高品牌形象

如果有了代码签名证书,二狗子就不会被黄色表示吓一跳,说不定五杀后还能打字吹一波!

薇薇还告诉二狗子,现在有越来越多的软件发布下载和搭载平台都开始要求软件的安全验证。例如二狗子目前使用的 Windows,就要求软件开发商使用可应用于微软系统的代码签名证书对软件进行数字签名。

那要如何才能拥有代码签名证书呢?


如何申请证书

代码签名证书一般是由第三方认证机构(CA)在认证开发者身份后颁发的,分为标准版和 EV 专业版两种类型,按照品牌和类型的不同有着不同的价格,软件开发商们可以按照自己的需求进行选择购买。

但是一般而言都推荐大家申请 DigiCert EV 代码签名证书,因为它不但有普通内核代码签名证书的所有功能,而且采用更加严格的扩展验证,严格的证书私钥保护机制能有效防止证书被非法盗用。同时 DigiCert EV 代码签名证书也是微软指定用于内核代码签名的证书。

目前又拍云与国际顶级 CA 机构 TrustAsia 合作,为广大软件开发者、发行商提供 DigiCert 旗下的微软 EV 代码签名证书和标准版代码签名证书申请。