Support LeaderSSL : hors ligne :
Du lundi au vendredi 9:00 - 18:00 Heure CET
Service client Facturation :

Du lundi au vendredi :
9:00 - 18:00 Heure CET

Assistance technique :

Du lundi au vendredi :
9:00 - 18:00 Heure CET

Système de commande/émission de certificats :

24/7

  1. Aide
  2. Code Signing
  3. Questions les plus fréquentes sur les certificats de signature de code

Interrogez-nous, nous vous répondrons !

Questions les plus fréquentes sur les certificats de signature de code

Q : À quoi servent les certificats de signature de code ?

R : L'utilisation de certificats de signature de code est recommandée à tous les éditeurs qui distribuent du code ou du contenu sur l'internet ou dans les réseaux d'entreprise. Les clients comprennent les risques associés au téléchargement de fichiers en ligne et font donc davantage confiance aux fichiers signés qu'aux fichiers non signés. En voyant la signature de l'éditeur, le client comprend que le fichier est authentique et ne contient pas de logiciels malveillants. La signature de l'éditeur est un moyen fiable de protéger l'application contre toute interférence d'un tiers.

Q : Quels sont les documents requis pour commander un certificat de signature de code ?

R : Les certificats de signature de code standard sont disponibles pour les entrepreneurs individuels et les personnes morales.

Dans le cas de Sectigo (Comodo), vous aurez besoin des documents suivants

  • un lien vers une base de données gouvernementale avec l'enregistrement de votre société ;
  • vos coordonnées : nom, courriel, téléphone, titre ;
  • un scan d'une pièce d'identité avec photo émise par le gouvernement (comme un passeport, un permis de conduire, etc.) est nécessaire pour vérifier le demandeur (contact administratif) sur la commande;
  • un selfie avec une photo d'identité émise par le gouvernement [passeport, permis de conduire] (il doit contenir la photo et le nom).
    Il s'agit d'une exigence obligatoire de Sectigo, plus de détails :
    https://sectigo.com/knowledge-base/detail/OV-Code-Signing-Validation-for-Organizations-and-Individuals/kA01N000000brb0
  • pour la vérification du numéro de téléphone : un lien vers un annuaire en ligne avec l'enregistrement de votre entreprise (à partir de kompass.com ou du numéro DUNS).
    Ce profil doit contenir le nom de l'entreprise, son adresse et son numéro de téléphone.

Dans le cas de Digicert, vous aurez besoin de :

  • un lien vers une base de données gouvernementale avec l'enregistrement de votre entreprise;
  • les coordonnées du contact : nom, courriel, téléphone, titre ;
  • Pour la vérification du numéro de téléphone : enregistrement de l'entreprise sur dnb.com/DUNS ou enregistrement de l'État avec un numéro de téléphone.

Dans le cas de Certum, vous aurez besoin de :

  • le document d'enregistrement de l'organisation
  • l'autorisation/la procuration : Signée conformément au mode de représentation spécifié dans le document d'enregistrement. *Nécessaire uniquement si la personne qui demande le certificat n'est pas autorisée à représenter l'organisation de manière indépendante.
  • Facture de services publics (requise pour EV uniquement) : une facture de services publics émise au nom de l'organisation et confirmant l'adresse actuelle du siège de l'entreprise (par exemple, facture de gaz, d'électricité, d'eau, de téléphone fixe, d'Internet fixe, de location d'espace de bureau ou de contrat de bail).

LeaderTelecom ne délivre pas de certificats Code Signing aux particuliers.

Le certificat Code Signing EV n'est disponible que pour les personnes morales. Les conditions de délivrance sont les mêmes, mais la vérification est plus approfondie (les sources publiques sont vérifiées).

Q : Comment signer un code à l'aide d'un certificat Code Signing ?

R : Pour signer un code, vous devez le faire passer par un algorithme de hachage spécial, puis utiliser votre clé privée pour signer le hachage, ce qui vous donne une signature numérique. Vous créez ensuite un bloc de signature qui contient la signature numérique et le certificat de signature de code. Des outils tels qu'Authenticode vous permettent de définir un horodatage pour un bloc de signature en fonction de la date et de l'heure actuelles. Enfin, vous liez le bloc de signature avec un horodatage au logiciel. Vous pouvez maintenant publier un programme signé sur votre site web pour le télécharger.

Un horodatage est nécessaire pour garantir que la validité du code n'expire pas avec la période de validité du certificat de signature de code. Si votre code comporte un horodatage, la signature numérique sera valable même après l'expiration du certificat. Un nouveau certificat ne sera nécessaire que si vous souhaitez signer un code supplémentaire. Si vous n'avez pas utilisé la possibilité d'ajouter des horodatages pendant le processus de signature de l'application, vous devrez signer à nouveau le code et l'envoyer à vos clients.

Q : Comment utiliser votre certificat après l'avoir acheté ?

R : Cela dépend du type de certificat. Vous pouvez trouver les instructions ici

Q : Que se passe-t-il si le certificat Code Signing expire ?

R : Les certificats de signature de code sont émis pour une période d'un à trois ans. L'expiration d'un certificat de signature de code signifie que vous ne pouvez pas créer de nouvelles signatures. Toutes les signatures antérieures fonctionneront pour une date donnée.

Dans le cas de Microsoft Authenticode, l'utilisation d'horodatages signifie que le code n'expirera pas lorsque le certificat expirera.

Si les horodatages ne sont pas utilisés, vous devrez re-signer le code à l'expiration du certificat et l'envoyer à vos clients.

Il convient de rappeler que certains certificats ne prennent pas en charge la création d'horodatages (par exemple, les certificats pour Netscape Object Signing et Sun Java).

Q : Quelle est la différence entre la signature de code et la signature de document ? Puis-je signer des fichiers PDF avec des certificats Code Signing ordinaires ?

R : Le plus souvent, les certificats Code Signing ont une extension extKeyUsage avec une valeur Code Signing et parfois aussi Code Signing commercial. Cependant, ils n'ont pas de valeurs permettant d'autres utilisations.

La RFC 5280 pour l'extension Extended Key Usage implique que "si l'extension est spécifiée, le certificat ne doit être utilisé que pour atteindre l'un des objectifs pertinents".

Cependant, dans la situation en question, le certificat de signature de code est utilisé pour signer un document qui n'est pas un code, ce qui constitue une violation directe de la spécification X.509 Public Key Infrastructure Certificates.

Pour cette raison, il est fort probable qu'Adobe Reader rejette les signatures PDF générées à l'aide d'un certificat de signature de code. Et, même s'il n'y a pas de problèmes avec les certificats aujourd'hui, il n'est pas garanti que cela ne se produira pas à l'avenir avec la publication de nouvelles versions d'Adobe Reader. C'est pourquoi de nombreux revendeurs de certificats font une distinction entre les certificats de signature de code et les certificats de signature de documents (en particulier, les certificats de signature de PDF). Les prix des certificats PDF sont souvent plusieurs fois plus élevés.

Q : Existe-t-il des différences entre les certificats de signature de code pour Java, Adobe AIR, Authenticode, VBS ?

R : Comme il ressort de la spécification RFC 5280, tout certificat de signature de code peut être utilisé pour signer du code Java, AIR, Authenticode, VBS, etc. Par conséquent, d'un point de vue technique, il n'y a pas de différences entre les certificats de signature de code.

Cependant, certaines autorités de certification peuvent imposer certaines restrictions sur la portée de leurs certificats de signature de code.

Q : Comment signer les fichiers d'installation .msi de Visual Studio ? Après avoir signé le fichier .msi, tous les fichiers .exe inclus dans le paquet d'installation perdent leur signature. Que faut-il faire pour s'assurer que les signatures de ces fichiers sont conservées pendant l'installation du paquet sur l'ordinateur du client ?

R : Visual Studio crée deux dossiers au moment de la compilation : obj et bin. Les fichiers de sortie sont le plus souvent copiés du dossier obj vers le dossier bin. Si vous signez des fichiers dans le dossier bin, ils seront ultérieurement remplacés par des fichiers du dossier obj. La solution : signer les fichiers exe situés dans le dossier obj. Dans ce cas, les signatures de tous les fichiers exe seront conservées.

Q : Existe-t-il des restrictions quant au nombre d'applications pouvant être signées à l'aide d'un certificat de signature de code ?

R : Non. Vous pouvez signer autant d'applications que vous le souhaitez avec le certificat Code Signing, à condition que l'application soit distribuée par l'organisation pour laquelle le certificat a été émis.

Q : Puis-je signer des pilotes (en mode noyau) à l'aide d'un certificat de signature de code ?

R : Non, à partir de mai 2021, la signature de pilotes pour Windows 8 et 10 n'est plus prise en charge. Source : Dépréciation des certificats d'éditeurs de logiciels.

Q : Comment contourner l'écran intelligent lors de l'installation d'une application signée sous Windows® 8/10/11 ?

R : Vous devez utiliser le certificat EV Code Signing. Les programmes signés avec Code Signing EV sont automatiquement approuvés, même s'il n'y a pas de réputation pour cet éditeur ou ce fichier. Vous ne pouvez définir la réputation que pour les certificats Authenticode qui ont été émis par une autorité de certification membre du Windows® Root Certificate Program.

Vous pouvez commander les certificats EV suivants chez nous :
Certum EV Code Signing in the Cloud

Sectigo(Comodo) EV Code Signing

Digicert EV Code Signing

Q : La réputation dans SmartScreen est-elle possible en utilisant un certificat Code Signing standard ?

R : Oui, c'est possible, mais cela nécessite environ 3 000 téléchargements d'applications (données approximatives).

Q : Puis-je signer des logiciels Mac à l'aide de vos produits Code Signing ?

R : Non, veuillez consulter le site https://developer.apple.com/support/code-signing/


Q : Les fichiers PFX ne sont plus disponibles pour les certificats Code Signing. Quelles sont les autres options ?

R : À partir du 06/01/2023, les fichiers PFX ne seront plus disponibles pour les certificats Code Signing.

Les normes modernes exigent que les clés privées des certificats de signature de code soient générées et stockées dans des environnements sécurisés.

Cela signifie généralement l'utilisation de dispositifs matériels tels que des HSM, des cartes à puce ou des jetons USB sécurisés.

La génération des clés privées sur ces dispositifs garantit que la clé ne peut pas être extraite ou exportée, empêchant ainsi l'émission de certificats au format PFX.

Sectigo propose désormais ses certificats sur des clés USB:

https://www.leaderssl.com/suppliers/comodo/products/code_signing

https://www.leaderssl.com/suppliers/comodo/products/code_signing_ev

Comme alternative, nous offrons maintenant des certificats de Certum :

https://www.leaderssl.com/suppliers/certum/products/code_signing_ev

https://www.leaderssl.com/suppliers/certum/products/code_signing

Ces certificats sont dits"dans le nuage".

Vous devrez utiliser une application de bureau spéciale et signer via signtool.


Des questions ? Écrivez-nous!

J'accepte

En saisissant votre adresse électronique, vous confirmez que vous avez lu et accepté le site web Terms and Conditions, Privacy Policy et Money-back Policy.

>