Ein sicherer Code ist für die Schaffung von Vertrauen in Anwendungen unerlässlich. Denn vor allem im Internet beäugen Nutzer ausführbare Programme wie unter anderem ActiveX-Controls und Java-Applets zunehmend kritisch. Schließlich nutzen Hacker, Datenspione & Co. das weltweite Datennetz als Kanal zur Verbreitung ihrer Schadcodes. Das Code-Signing-Zertifikat wird damit für Anwendungsentwickler und –Herausgeber immer wichtiger, um Nutzern zu signalisieren, dass ihr Code und damit die Applikation auch vertrauenswürdig ist.
Hierfür bieten wir Ihnen gemeinsam mit namhaften Zertifizierungsstellen – darunter Sectigo, DigiCert und GlobalSign – sogenannte Software-Zertifikate an. Gestützt auf den Einsatz digitaler Signaturen und der unabhängigen Verifizierung des Zertifikatsinhabers durch eine dritte vertrauenswürdige Instanz bestätigen diese, dass der veröffentlichte und entsprechend signierte Code von einem geprüften Hersteller stammt und nicht manipuliert wurde. Unsere Software-Zertifikate – quasi eine Unterschrift für Ihren Code – weisen somit die Authentizität und Integrität Ihres Codes gegenüber Dritten aus. Auch der Ursprung Ihrer Applikation wird für den Nutzer nachvollziehbar, was das Vertrauen in diese zusätzlich stärkt.
Eine der schlimmsten Vorstellungen für Entwickler und Softwarehersteller ist, dass der von Ihnen entwickelte Code nachträglich geändert wurde. Mit dem GlobalSign Code-Signing sichern Ihren Code mithilfe einer digitalen Signatur ab. Sollte Ihr Code im Nachhinein verändert werden, wird eine ungültige Signaturwarnung angezeigt.
Dies bietet Ihnen nicht nur Sicherheit für Ihren Code sondern erhöht auch das Vertrauen von Nutzern. Als Multiplattform-Code-Signing-Zertifikat können mit dem GlobalSign Code-Signing zudem unterschiedliche Applikationen signiert werden. Die Ausstellung des Code-Signing-Zertifikats erfolgt auf einem Hardware Token, der postalisch versendet wird. Dadurch ist das GlobalSign Code-Signing zusätzlich mit einer Zwei-Faktor Authentifizierung geschützt. Mit dem GlobalSign Code Signing Standard-Zertifikat können folgende Anwendungen unter anderem signiert werden: Authenticode, Office VBA, Java, Adobe AIR, Mac OS, Mozilla. Überzeugen Sie sich jetzt von dem GlobalSign Code-Signing und stellen Sie die Integrität Ihres Codes sicher!VALIDIERUNGSGUIDELINE GLOBALSIGN CODE-SIGNING
1. Organisationsvalidierung
A) Für die Validierung der Organisation liegt eines der folgenden Dokumente vor:
2. Die Telefonnummer der Organisation kann wie folgt nachgewiesen werden:
A) Für Organisationen mit Sitz in Deutschland existiert ein Eintrag in einer der folgenden Telefondatenbanken:
B) Für Organisationen mit Sitz außerhalb von Deutschland muss entweder:
Mithilfe des GlobalSign EV Code-Signing können Sie Ihren Code mit einer digitale Signaturen signieren und so das Vertrauen in Ihre Applikation oder Software zusätzlich erhöhen. Dadurch signalisieren Sie dem Anwender, dass die heruntergeladene Software authentisch ist und nicht manipuliert wurde. Dadurch vermeiden Sie nicht nur Fehlermeldungen, sondern steigern zugleich die Akzeptanz Ihres Codes in Applikationen und Software.
Das Besondere an dem GlobalSign EV Code-Signing: Durch die Ausstellung auf einem Hardware Token ist das Code-Signing-Zertifikat zusätzlich mit der Zwei-Faktor Authentifizierung geschützt. Diesen erhalten Sie nach erfolgreicher Prüfung Ihres Auftrags per Post. Ein weiterer wesentlicher Vorteil ist das sofortige Vertrauen im Microsoft Smartscreen Filter, den das GlobalSign EV Code-Signing mit sich bringt. Das Code-Signing-Zertifikat eignet sich für das Signieren in folgenden Anwendungen: 32-Bit- und 64-Bit-Dateien im Benutzermodus wie .exe-, .cab-, .dll-, .ocx-, .msi-, .xpi- und .xap-Dateien sowie Kernel-Mode-Software. Zusätzlich können bei dem GlobalSign EV-CodeSigning Zertifikat optional weitere USB-Token für 70€ netto erworben werden.VALIDIERUNGSGUIDELINE GLOBALSIGN EV CODE-SIGNING
1. Organisationsvalidierung
A) Für die Validierung der Organisation liegt eines der folgenden Dokumente vor:
B) Die Firma muss mindestens 3 Jahre lang existieren. Andernfalls muss das Zusatzdokument "Declaration of Identity" ausgefüllt und an uns zurück geleitet werden.
2. Erhalt der EV-Dokumente
A) Sie erhalten von uns zwei EV-Dokumente und senden diese bitte ausgefüllt und unterschrieben wieder an uns zurück.
3. Die Telefonnummer der Organisation kann wie folgt nachgewiesen werden:
A) Für Organisationen mit Sitz in Deutschland existiert ein Eintrag in einer der folgenden Telefondatenbanken:
B) Für Organisationen mit Sitz außerhalb von Deutschland muss entweder:
WICHTIG: Der Verifizierungsanruf erfolgt, bevor das Zertifikat ausgestellt wird und muss mit dem Hauptansprechpartner des Zertifikats (der auch die EV-Dokumente unterzeichnen muss) durchgeführt werden.
Die Anstellung des Ansprechpartners muss, sofern dieser nicht im Handelsregister der Inhaberfirma hinterlegt ist, von der Personalabteilung gegenbestätigt werden.
Für diesen Anruf wird eine vorvalidierte zentrale Telefonnummer verwendet. Stellen Sie bitte sicher, dass der Hauptansprechpartner unter dieser Telefonnummer erreichbar ist.
VALIDIERUNGSGUIDELINE SECTIGO CODE-SIGNING
Ein Code Signing-Zertifikat kann für eine Organisation oder für eine Einzelperson ausgestellt werden. Bitte beachten Sie: Ein Einzelunternehmen (Gewerbetreibender, GbR) gilt als Einzelperson!
Validierung einer Organisation
1. Es liegt eines der folgenden Dokumente zur Validierung der Organisation vor:
A) Für Organisationen mit Sitz in Deutschland existiert ein Eintrag in einer der folgenden Telefondatenbanken:
B) Für Organisationen mit Sitz außerhalb von Deutschland muss entweder:
WICHTIG: Der Verifizierungsanruf erfolgt, bevor das Zertifikat ausgestellt wird und muss mit dem Ansprechpartner für die Validierung/ Admin Contact des Zertifikats durchgeführt werden.
Alternativ kann die Validierung auch mit einem anderen Ansprechpartner der Inhaberfirma durchgeführt werden. In diesem Fall muss jedoch die Personalabteilung zusätzlich dir Anstellung des Hauptansprechpartners und des alternativen Ansprechpartners gegenbestätigen.
Für diesen Anruf wird eine vorvalidierte zentrale Telefonnummer verwendet. Stellen Sie bitte sicher, dass der Admin Contact unter dieser Telefonnummer erreichbar ist. Durchwahlen oder Handynummern können, sofern diese nicht in einer erlaubten Quelle hinterlegt sind, nicht berücksichtigt werden. Von der zentralen Rufnummer darf an Durchwahlen oder Handynummern weitergeleitet werden.
3. Validierung der Identität des Antragstellers (Admin Contact)Für die Identitätsvalidierung stehen Ihnen 2 Möglichkeiten zur Verfügung.
A) Option 1: Sie legen zwei Dokumente zur Überprüfung vor:
B) Option 2: Face-to-Face-Dokument:
Dieses Formular wird verwendet, wenn der Lichtbildausweis nicht mit der Adresse auf der Bestellung übereinstimmt. Das Face-to-Face-Dokument wird Ihnen nach Bestelleingang von Sectigo zugesandt und erfordert die Beglaubigung und notarielle Beurkundung durch einen Notar. Bei öffentlichen Einrichtungen wird immer ein Face-to-Face-Dokument benötigt.
Bitte beachten Sie: Das Formular für die persönliche Beglaubigung muss von einem Notar ausgefüllt und unterschrieben werden, der in Ihrer Region/Ihrem Land zur Ausübung von Geschäften befugt ist.
Ein Rückruf zu einer verifizierten Telefonnummer kann erforderlich sein, um den Antragsteller vor der Ausstellung der Bescheinigung weiter zu verifizieren.
Ob in Applets, Plug-ins, Macros und sonstige Dateien: Mit dem DigiCert Code-Signing schützen Sie Ihren entwickelten Code und stellen damit die Authentifizierung und Verifizierung der Identität als Herausgeber des Codes sicher und gewährleisten außerdem, dass der Code nicht beschädigt und verändert wurde. Dies geschieht mit der digitalen Signatur des DigiCert Code-Signing, die mit einer Unterschrift auf Ihren Code vergleichbar ist.
Ein großer Vorteil, den Ihnen das DigiCert Code-Signing ermöglicht, ist der flexible Einsatz. Mit dem DigiCert Code Signing OV-Zertifikat können unter anderem folgende Anwendungen signiert werden: 32- und 64-Bit-(.exe, .cab, .dll, .ocx, .msi, .xpi, .xap, ActiveX Controls. Optionaler Zeitstempel zeigt an, wann der Code signiert wurde. Nach erfolgreicher Prüfung Ihrer Daten erhalten Sie eine Bestätigungsemail an die E-Mail-Adresse des Zertifikatsinhabers.Folgender Link führt sie zu dem Download der Firefox-Version für den Mac auf mozilla.org:
Downloadlink zur Firefox-Version für den Mac
VALIDIERUNGSGUIDELINE DIGICERT CODE-SIGNING
1. Identitätsvalidierung
A) Für die Validierung wird eine Kopie der Vorderseite des aktuell gültigen Personalausweises bzw. Reisepasses benötigt.
WICHTIG: Bitte schwärzen Sie die Ausweisnummer auf der Vorderseite Ihres Personalausweises bzw. Reisepasses oder decken sie diese beim Kopiervorgang ab, da diese zur Überprüfung der Identität nicht benötigt wird.
2. Organisationsvalidierung
A) Für die Validierung der Organisation liegt eines der folgenden Dokumente vor:
3. Die Telefonnummer der Organisation kann wie folgt nachgewiesen werden:
A) Für Organisationen mit Sitz in Deutschland existiert ein Eintrag in einer der folgenden Telefondatenbanken:
B) Für Organisationen mit Sitz außerhalb von Deutschland muss entweder:
WICHTIG: Der Verifizierungsanruf erfolgt, bevor das Zertifikat ausgestellt wird und muss mit dem Hauptansprechpartner des Zertifikats durchgeführt werden.
Die Anstellung des Hauptansprechpartners muss, sofern dieser nicht im Handelsregister eingetragen ist, mit der Personalabteilung abgeglichen werden.
Alternativ kann die Validierung auch mit einem anderen Ansprechpartner der Inhaberfirma durchgeführt werden. In diesem Fall würde der Gegenabgleich mit der Personalabteilung entfallen.
Für diesen Anruf wird eine vorvalidierte zentrale Telefonnummer verwendet. Stellen Sie bitte sicher, dass der Hauptansprechpartner unter dieser Telefonnummer erreichbar ist.
VALIDIERUNGSGUIDELINE SECTIGO EV CODE-SIGNING
Dieses Code Signing-Zertifikat kann nicht für Einzelpersonen ausgestellt werden.
Validierung einer Organisation
1. Validierung der Existenz der Organisation. Bitte legen Sie diese folgenden Dokumente vor:A) Für Organisationen mit Sitz in Deutschland existiert ein Eintrag in einer der folgenden Telefondatenbanken:
B) Für Organisationen mit Sitz außerhalb von Deutschland muss entweder:
WICHTIG: Der Verifizierungsanruf erfolgt, bevor das Zertifikat ausgestellt wird und muss mit dem Unterzeichner der EV-Dokumente des Zertifikats durchgeführt werden.
Für diesen Anruf wird eine vorvalidierte zentrale Telefonnummer verwendet. Stellen Sie bitte sicher, dass der Unterzeichner der EV-Dokumente unter dieser Telefonnummer erreichbar ist. Durchwahlen oder Handynummern können, sofern diese nicht in einer erlaubten Quelle hinterlegt sind, nicht berücksichtigt werden. Von der zentralen Rufnummer darf an Durchwahlen oder Handynummern weitergeleitet werden.
3. Validierung der Identität des AntragstellersA) Das Unternehmen existiert länger als 3 Jahre und ist entweder
A) Die Adresse des Zertifikatsinhabers ist als gültige Geschäftsadresse im Handelsregister des Unternehmens oder Tochterunternehmens hinterlegt
B) Die Adresse ist eine physikalische Adresse und keine Postfachanschrift
C) Die Adresse kann durch folgende Instanzen bestätigt werden:
6. Überprüfung der Anstellung und Berechtigung des Ansprechpartners
A) Der Ansprechpartner für die Validierung, der das EV-Zertifikat beantragt, ist im Unternehmen angestellt
B) Der Ansprechpartner für die Validierung ist autorisiert, ein EV-Zertifikat im Namen des Unternehmens zu administrieren
C) Der Ansprechpartner für die Validierung wurde von seinem Vorgesetzten befugt, ein EV-Zertifikat im Namen des Unternehmens zu erwerben und den EV-Vertrag zu unterzeichnen. Wird geprüft wie folgt:
VALIDIERUNGSGUIDELINE DIGICERT EV CODE-SIGNING
1. Identitätsvalidierung
A) Für die Validierung wird eine Kopie der Vorderseite des aktuell gültigen Personalausweises bzw. Reisepasses benötigt.
WICHTIG: Bitte schwärzen Sie die Ausweisnummer auf der Vorderseite Ihres Personalausweises bzw. Reisepasses oder decken Sie diese beim Kopiervorgang ab, da diese zur Überprüfung Ihrer Identität nicht benötigt wird.
2. Organisationsvalidierung
A) Für die Validierung der Organisation liegt eines der folgenden Dokumente vor:
3. Die Telefonnummer der Organisation kann wie folgt nachgewiesen werden:
A) Für Organisationen mit Sitz in Deutschland existiert ein Eintrag in einer der folgenden Telefondatenbanken:
B) Für Organisationen mit Sitz außerhalb von Deutschland muss entweder:
WICHTIG: Der Verifizierungsanruf erfolgt, bevor das Zertifikat ausgestellt wird und muss mit dem Hauptansprechpartner des Zertifikats durchgeführt werden.
Die Anstellung des Hauptansprechpartners muss, sofern dieser nicht im Handelsregister eingetragen ist, mit der Personalabteilung abgeglichen werden.
Alternativ kann die Validierung auch mit einem anderen Ansprechpartner der Inhaberfirma durchgeführt werden. In diesem Fall würde der Gegenabgleich mit der Personalabteilung entfallen.
Für diesen Anruf wird eine vorvalidierte zentrale Telefonnummer verwendet. Stellen Sie bitte sicher, dass der Hauptansprechpartner unter dieser Telefonnummer erreichbar ist.
* nach erfolgreicher Prüfung Ihres Auftrags
Unsere Software-Zertifikate ermöglichen Ihnen die Integrität und Authentizität Ihres Software-Codes sicherzustellen. Damit weisen Sie nicht nur die Seriosität Ihrer Software nach, sondern bieten Nutzern auch den visuellen Hinweis, dass die Software wirklich von Ihnen stammt. Häufige Kundenfragen haben wir im folgenden FAQ zusammengefasst: