1. /
  2. Centre d'information Code Signing
  • Ajouter

Centre d'information Code Signing
Mettez votre code à disposition de plus de clients, sur davantage de plates-formes avec Symantec Code Signing

Regarder la vidéo

5 raisons de passer à la signature de code avec Symantec Code Signing

1. Optimisation de la distribution et des ventes sur davantage de plates-formes
Deux tendances actuelles rendent la signature de code plus importante que jamais : l'explosion des applications grand public pour les appareils mobiles et les ordinateurs de bureau, et la multiplication des logiciels malveillants. Les éditeurs de logiciels et les fournisseurs de réseaux mobiles sont de plus en plus nombreux à exiger une signature de code émise par une autorité de certification fiable avant d'accepter un code pour le distribuer. Symantec Code Signing prend en charge davantage de plates-formes que n'importe quel autre fournisseur de signature de code. Symantec est le fournisseur de signature de code reconnu pour les applications Windows Phone, AT&T Developer Program, Java Verified et Symbian Signed.
2. Diminution des alertes de sécurité grâce au recours à une autorité de certification fiable

L'omniprésence du certificat racine Symantec reste inégalée. Nos certificats racine sont préinstallés sur la plupart des appareils et intégrés à la plupart des applications. Avec Symantec Code Signing, votre code est automatiquement accepté et le téléchargement s'en trouve simplifié. Si une alerte de sécurité s'affiche, ce sera certainement pour indiquer que votre code est fiable car certifié par Symantec. (Les alertes de sécurité dépendent de la plate-forme, de l'application et des paramètres de sécurité du client.)

3. Protection de l'intégrité de votre code et de votre réputation

Les signatures numériques contiennent la preuve de l'intégrité du contenu : votre code ne peut pas être altéré ni distribué avec des modifications non approuvées. Si le hachage qui a servi à signer l'application correspond au hachage d'une application téléchargée, alors l'intégrité du code est intacte. En revanche, si le hachage utilisé ne concorde pas, une alerte de sécurité s'affiche ou le téléchargement du code échoue. Les certificats Symantec Code Signing comprennent un horodatage facultatif qui permet d'augmenter la durée de vie des signatures numériques. Votre code reste valide même si le certificat de signature correspondant arrive à expiration car la validité du certificat au moment de la signature numérique peut être vérifiée.

4. Réduction du délai de mise sur le marché et simplification de la sécurité

Le portail Web et les intégrations API de Symantec facilitent la gestion de la signature de code et son intégration à votre processus de développement. La simplification de la sécurité contribue à réduire le délai de mise sur le marché, tout en protégeant l'intégrité de votre code et en limitant les alertes de sécurité. La plupart des développeurs et éditeurs font confiance à Symantec. 7 utilisateurs de services de signature de code sur 10 choisissent Symantec.*

5. Garantie d'une utilisation sûre pour vos clients

Symantec contribue à créer un environnement transparent, avec une diminution des alertes de sécurité et échecs d'installation et une augmentation de la distribution de code et du potentiel de vente. La signature de votre code garantit que celui-ci n'est pas falsifié et que vous en êtes bien l'émetteur. L'utilisation d'un certificat Symantec Code Signing montre que le leader de la sécurité par signature de code vous considère comme fiable, et contribue à garantir une utilisation sûre pour vous-même et vos clients.

*Enquête interactive en ligne menée par Symantec auprès de développeurs de logiciels et de décideurs en septembre 2011.
Symantec permet de proposer vos applications et votre code en toute sécurité à un plus grand nombre de clients et sur davantage de plates-formes que n'importe quel autre fournisseur. Nombre de développeurs et d'éditeurs font confiance à Symantec, l'autorité de certification la plus fiable et reconnue dans le monde. La fiabilité de nos méthodes d'authentification, notre infrastructure PKI et nos équipes de support technique vous garantissent une utilisation sûre, de même qu'à vos clients.

Protection de votre propriété intellectuelle et de votre réputation par la technologie Code Signing

Les signatures numériques utilisent la cryptographie à clé publique pour sécuriser et authentifier le code.
  1. Un développeur ajoute une signature numérique au code ou au contenu à l'aide d'une clé privée unique issue d'un certificat de signature de code.

  2. Lorsqu'un utilisateur télécharge ou rencontre du code signé, le logiciel ou l'application qu'il utilise déchiffre la signature à l'aide d'une clé publique.

  3. Pour authentifier la signature, le système recherche un certificat "racine" avec une identité qu'il reconnaît ou considère comme fiable.

  4. Il compare ensuite le hachage qui a servi à signer l'application avec le hachage de l'application téléchargée.

  5. Si la racine est considérée comme fiable et que les hachages concordent, le téléchargement ou l'exécution se poursuit.

  6. En revanche, si la racine n'est pas considérée comme fiable ou que les hachages ne concordent pas, le téléchargement échoue ou est interrompu avec un avertissement.

Certificats numériques auto-signés

Un certificat numérique auto-signé est rattaché à un certificat racine détenu par le signataire. Dans la plupart des cas, le certificat racine n'est pas disponible pour les périphériques et logiciels tiers. Le téléchargement du code échoue ou un écran d'avertissement est affiché.

Une autorité de certification fiable

Lorsque vous faites une demande de certificat numérique, l'autorité de certification authentifie votre identité et émet un certificat rattaché à son certificat racine. Des certificats racine provenant d'autorités de certification réputées sont intégrés aux applications et périphériques. Si l'application ou le périphérique reconnaît le certificat racine, sa confiance vous est acquise. L'omniprésence du certificat racine Symantec reste inégalée. Nos certificats racine sont préinstallés sur la plupart des appareils et intégrés à la plupart des applications pour offrir aux utilisateurs finaux un processus d'installation simple et sûr.

Questions fréquemment posées

Réponses

Qu'est-ce que la signature de code et quelle est sa finalité ?

Lorsque les clients téléchargent des applications, installent des plug-ins et des compléments ou utilisent des applications Web sophistiquées, ils doivent être assurés que le code est authentique et qu'il n'a pas été infecté ni altéré. Dans le commerce du logiciel traditionnel, un acheteur peut s'assurer de la provenance de l'application et de son intégrité en examinant l'emballage. La signature de code crée un "emballage" numérique qui indique aux clients l'identité de l'organisation ou de la personne responsable du code, et confirme qu'il n'a pas été modifié depuis l'application de la signature. Symantec Code Signing protège votre marque et votre propriété intellectuelle en rendant vos applications identifiables et plus difficiles à falsifier ou endommager grâce à une signature numérique.

Haut de page

Quel certificat Code Signing choisir ?

Symantec Code Signing prend en charge davantage de plates-formes que n'importe quel autre fournisseur de signature de code. Symantec est le fournisseur de signature de code reconnu pour les applications Windows Phone, AT&T Developer Program, Java Verified et Symbian Signed. Sélectionnez le certificat Symantec Code Signing approprié à votre plate-forme de développement : Certificats Symantec Code Signing.

Haut de page

Existe-t-il des certificats Code Signing pour les développeurs individuels ?

Oui. Les développeurs qui ne sont pas affiliés à une société ont un processus d'approbation légèrement différent mais tout aussi strict. Pour demander un certificat Symantec Code Signing à titre individuel, sélectionnez le certificat Code Signing approprié à votre plate-forme de développement, puis sélectionnez l'option “Individuals” (Utilisateurs individuels) pour vous inscrire.

Haut de page

Comment fonctionne un certificat Code Signing ?

La signature du code et du contenu repose sur la cryptographie à clé publique. Un développeur ou un éditeur de logiciels utilise une clé privée pour ajouter une signature numérique à du code ou du contenu. Les plates-formes et applications utilisent une clé publique pour déchiffrer la signature lors du téléchargement, puis elles comparent le hachage qui a servi à signer l'application avec le hachage de l'application téléchargée. Le code signé par une source de confiance peut être accepté automatiquement. Il arrive également qu'une alerte de sécurité demande à l'utilisateur final de lire les informations sur la signature pour déterminer s'il considère le code comme fiable.

Haut de page

Combien de temps faut-il pour se procurer un certificat Code Signing ?

Lors du processus de demande de certificat Code Signing, Symantec recueille des informations sur vous-même ou votre société à des fins d'authentification. Le processus de validation peut demander plusieurs heures ou plusieurs jours selon les informations que vous fournissez et le déroulement de la vérification. Dans la mesure où Symantec doit recevoir le paiement avant de vous livrer le certificat, un règlement par carte de crédit permet d'être livré plus rapidement.

Haut de page

Quelle est la durée d'une signature numérique ?

Lors de son achat, chaque certificat Code Signing présente une période de validité spécifique. Au cours de cette période de validité, le certificat numérique peut être utilisé aussi souvent que nécessaire. Une fois le certificat numérique arrivé à expiration, toutes les signatures numériques qui en dépendent expirent également, sauf si la signature comporte un horodatage. Une option d'horodatage indique la date à laquelle le code a été signé, ce qui permet au client de vérifier que le certificat Code Signing était valide au moment de la signature numérique.

Haut de page

Puis-je installer le certificat Code Signing sur plusieurs PC ?

Une fois récupéré, un certificat Code Signing peut être utilisé sur n'importe quel ordinateur. En revanche, vous devez acheter et récupérer votre certificat Code Signing depuis le même ordinateur. Si vous rencontrez des problèmes lors de la récupération, vérifiez que vous utilisez bien le même ordinateur, navigateur et profil de connexion que lors de l'inscription. Pour optimiser la sécurité et la gestion, Symantec recommande aux développeurs d'acheter des certificats Code Signing supplémentaires plutôt que de partager des certificats. Si un certificat est compromis et doit être révoqué, toutes les applications signées à l'aide de ce certificat sont alors désactivées.

Haut de page

Comment un tiers peut-il savoir que ma signature est fiable ?

La signature de votre code garantit que celui-ci n'est pas falsifié et que vous en êtes bien l'émetteur, mais ne permet pas de vérifier votre identité. Les logiciels, applications et réseaux mobiles s'appuient sur le certificat racine de l'autorité de certification émettrice pour déterminer la validité de la signature numérique. Une autorité de certification indépendante est plus fiable qu'un certificat auto-signé car le demandeur du certificat est soumis à un processus d'examen minutieux ou d'authentification. L'omniprésence du certificat racine Symantec reste inégalée. Nos certificats racine sont préinstallés sur la plupart des appareils et intégrés à la plupart des applications pour offrir aux utilisateurs finaux un processus d'installation simple et sûr.

Haut de page

Combien faut-il avoir de certificats Code Signing ?

Pour optimiser la sécurité et la gestion, Symantec recommande aux développeurs d'acheter des certificats Code Signing supplémentaires plutôt que de partager des certificats. Si un certificat est compromis et doit être révoqué, toutes les applications signées à l'aide de ce certificat sont alors désactivées. Symantec recommande l'achat d'un certificat Code Signing pour chaque plate-forme de développement. L'utilisation d'un même certificat sur plusieurs plates-formes exige un processus de conversion à l'aide d'outils supplémentaires.

Haut de page

Que se passe-t-il si je perds ma clé privée ou si elle est compromise ?

Si vous perdez votre clé privée, si elle est compromise ou que vos informations changent, vous devez immédiatement révoquer votre certificat Code Signing et le remplacer.

Haut de page
Symantec fournit des certificats Code Signing pour un grand nombre de plates-formes de développement. Pour en savoir plus, consultez la liste complète de certificats Symantec Code Signing..
Utilisateurs actuels : gérez vos certificats, vérifiez le statut de vos commandes et accédez au support technique.

L'algorithme Secure Hash Algorithm (SHA) 256 est pris en charge par les certificats Symantec Code Signing

La prise en charge de SHA-256, également nommé SHA-2 est disponible sans surcoût pour Symantec Code Signing depuis le 1er avril 2013. SHA-2 a été développé par le NIST (National Institute of Standards and Technology). C'est la fonction de hachage cryptographique recommandée pour remplacer SHA-1 d'ici à la fin 2014.
L'option SHA-2 est disponible via les pages de commande (processus de réémission) et par l'API pour QuickOrder, QuickInvite et Reissue.
Certaines applications et certains systèmes d'exploitation d'ancienne génération ne prennent pas en charge SHA-2 comme, par exemple, Windows XP Service Pack 2 ou les versions précédentes. Java SDK 1.4.2 ou supérieur doit être installé et utilisé sur le serveur pour la prise en charge de SHA-2 par un serveur Java.
Pour les environnements Windows, consultez le blog suivant relatif au déploiement de SHA-2 :
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
Reportez-vous à http://docs.oracle.com/javase/1.4.2/docs/guide/security/CryptoSpec.html pour le déploiement de SHA-2 sur les serveurs Java.
Par ailleurs, Apache version 2.x ou ultérieure est requis pour la prise en charge de SHA-2 sur les serveurs Apache et Open SSL 1.1.x est requis pour les demandes de signature de certificat et la génération de clés privées.
La prise en charge de SHA-2 vous est proposée en tant qu'option pour sécuriser vos certificats Code Signing. Consultez votre responsable de la sécurité pour connaître la politique de l'entreprise.

Contacter le service commercial

Certificats Code Signing pour les développeurs Microsoft
Lire le livre blanc sur la technologie Code Signing
Sécurité des applications pour les fournisseurs de réseaux mobiles