1. /
  2. Code Signing Information Center
  • Aggiungi

Code Signing Information Center
Fornisci il tuo codice a più clienti, su più piattaforme con Symantec Code Signing

Guarda il video

5 motivi per firmare il codice con Symantec Code Signing

1. Massimizzare la distribuzione e il fatturato su più piattaforme
Due tendenze rendono la firma del codice quanto mai importante: l'enorme diffusione di applicazioni per dispositivi mobili in ambito consumer e desktop e la proliferazione del malware. Prima di accettare codice da distribuire, sempre più gli editori di software e i provider di reti di telefonia cellulare chiedono che questo venga firmato da un'autorità di certificazione (AC) attendibile. Symantec Code Signing supporta più piattaforme di qualsiasi altro fornitore di firma del codice. Symantec è un fornitore attendibile di firma del codice per applicazioni Windows Phone, AT&T Developer Program, Java Verified e Symbian Signed.
2. Ridurre gli avvisi sulla sicurezza facendo affidamento su un'autorità di certificazione attendibile

L'ubiquità del certificato principale di Symantec non ha rivali. I nostri certificati principali sono preinstallati sulla maggior parte dei dispositivi e sono incorporati nella maggior parte delle applicazioni. Quando viene utilizzato Symantec Code Signing, il codice viene accettato automaticamente per il download. Se viene visualizzato un avviso di sicurezza, è più credibile consigliare di accettare il codice perché è considerato attendibile da Symantec. Gli avvisi di sicurezza dipendono dalle impostazioni di sicurezza della piattaforma, dell'applicazione e del client.

3. Proteggere l'integrità del codice e la tua reputazione

Le firme digitali contengono la prova dell'integrità del contenuto in modo che il codice non possa essere alterato e distribuito con modifiche non approvate. Se l'hash utilizzato per firmare l'applicazione corrisponde all'hash in un'applicazione scaricata, l'integrità del codice è intatta. Se l'hash utilizzato non corrisponde, gli utenti ricevono un avviso di sicurezza o il codice non viene scaricato. I certificati Symantec Code Signing includono un'indicazione di data e ora per prolungare la durata delle firme digitali. Il codice rimarrà valido anche se il certificato di firma del codice scade, perché è possibile verificarne la validità al momento della firma digitale.

4. Accelerare il ciclo di commercializzazione con una sicurezza semplificata

Il portale Symantec basato sul Web e le integrazioni API facilitano la gestione e l'integrazione della firma del codice nel processo di sviluppo. Una sicurezza semplificata aiuta ad arrivare sul mercato più rapidamente proteggendo l'integrità del codice e riducendo gli avvisi di sicurezza. Symantec è utilizzata da più sviluppatori ed editori di qualsiasi altra autorità di certificazione. Di fatto, 7 utenti di firma del codice su 10 scelgono Symantec.*

5. Garantire un'esperienza sicura ai clienti

Symantec aiuta a creare un'esperienza trasparente per gli utenti che riduce al minimo gli avvisi di sicurezza e gli errori di installazione massimizzando la distribuzione del codice e il potenziale di fatturato. La firma del codice garantisce che questo non sia stato manomesso e che provenga da te. La firma con un certificato Symantec Code Signing dimostra che sei considerato attendibile dal leader nella sicurezza della firma del codice e aiuta a garantire un'esperienza sicura per te e i tuoi clienti.

*Sondaggio interattivo online di sviluppatori di software e responsabili decisionali, condotto da Symantec, settembre 2011.
Symantec aiuta a distribuire le tue applicazioni e il codice a un maggior numero di clienti e piattaforme di qualsiasi altro fornitore. Il numero di sviluppatori ed editori che si affidano a Symantec, l'autorità di certificazione più riconosciuta e accreditata nel mondo, è superiore a quello di qualsiasi altra autorità di certificazione. Le nostre solide procedure di autenticazione, l'infrastruttura a chiave pubblica e i team di supporto tecnico aiutano a garantire un'esperienza sicura per te e i tuoi clienti.

In che modo Code Signing protegge la proprietà intellettuale e la reputazione

Le firme digitali utilizzano la tecnologia di crittografia a chiave pubblica per proteggere e autenticare il codice.
  1. Uno sviluppatore aggiunge una firma digitale al codice o al contenuto utilizzando una chiave privata univoca di un certificato Code Signing.

  2. Quando un utente scarica o riceve codice firmato, il suo software di sistema o l'applicazione utilizza una chiave pubblica per decrittografare la firma.

  3. Per autenticare la firma il sistema cerca un certificato “principale” con un'identità affidabile o riconosciuta.

  4. Il sistema confronta quindi l'hash utilizzato per firmare l'applicazione con quello nell'applicazione scaricata.

  5. Se il sistema ritiene affidabile l'origine e gli hash corrispondono, allora il download o l'esecuzione continua.

  6. Se il sistema non ritiene affidabile l'origine e gli hash non corrispondono, interrompe il download con un avviso o si verifica un errore.

Certificati digitali autofirmati

Un certificato digitale autofirmato è collegato a un certificato principale in possesso del firmatario. Nella maggior parte dei casi, il certificato principale non sarà disponibile per software e dispositivi di terze parti. Il codice non verrà scaricato o verrà visualizzata una schermata di avviso.

Autorità di certificazione attendibile

Quando ti registri per un certificato digitale, l'autorità di certificazione autentica la tua identità ed emette un certificato che è collegato al certificato principale dell'autorità di certificazione. Applicazione e dispositivo contengono certificati principali di autorità di certificazione conosciute e attendibili. Quando l'applicazione o il dispositivo ritiene affidabile il certificato principale, automaticamente è ritenuto affidabile il relativo proprietario. L'ubiquità del certificato principale di Symantec non ha rivali. I nostri certificati principali sono preinstallati sulla maggior parte dei dispositivi e sono incorporati nella maggior parte delle applicazioni, creando un processo di installazione trasparente e sicuro per gli utenti finali.

Domande frequenti

Risposte

Cos'è la firma del codice e perché è necessaria?

Quando i clienti scaricano applicazioni online, installano plug-in e componenti aggiuntivi o interagiscono con sofisticate applicazioni Web, devono avere la certezza che il codice sia autentico e che nono sia stato infettato o alterato. Nelle tradizionali vendite di software, un acquirente è in grado di verificare l'origine dell'applicazione e la sua integrità esaminando la confezione. La firma del codice crea un "contenitore" digitale che indica ai clienti l'identità dell'organizzazione o della persona responsabile del codice e conferma che non è stato modificato dal momento in cui è stata applicata la firma. Symantec Code Signing protegge il marchio e la proprietà intellettuale applicando una firma digitale per rendere le applicazioni identificabili e più difficili da falsificare o danneggiare.

Torna all'inizio

Quale certificato di firma del codice è necessario?

Symantec Code Signing supporta più piattaforme di qualsiasi altro provider di firma del codice. Symantec è un fornitore attendibile di firma del codice per applicazioni Windows Phone, AT&T Developer Program, Java Verified e Symbian Signed. Seleziona il certificato Symantec Code Signing appropriato per la tua piattaforma di sviluppo: Certificati Symantec Code Signing.

Torna all'inizio

I certificati di firma del codice sono disponibili per singoli sviluppatori?

Sì. Per gli sviluppatori individuali che non sono affiliati a un'azienda costituita è previsto un processo di approvazione leggermente differente ma non meno rigoroso. Per richiedere un certificato Symantec Code Signing a titolo individuale, seleziona il certificato Code Signing appropriato per la tua piattaforma di sviluppo, quindi scegli l'opzione “Individui” per la registrazione.

Torna all'inizio

Come funziona un certificato di firma del codice?

La firma del codice e del contenuto è basata sulla crittografia a chiave pubblica. Uno sviluppatore o un editore di software utilizza una chiave privata per aggiungere una firma digitale al codice o al contenuto. Piattaforme software e applicazioni utilizzano una chiave pubblica per decrittografare la firma durante il download e confrontano l'hash utilizzato per firmare l'applicazione con quello dell'applicazione scaricata. Il codice firmato da un'origine attendibile può essere accettato automaticamente oppure un avviso di sicurezza può richiedere all'utente di visualizzare le informazioni sulla firma e decidere se ritenerlo attendibile.

Torna all'inizio

Quanto tempo è necessario per acquistare un certificato di firma del codice?

Durante il processo di registrazione della firma del codice, Symantec raccoglierà informazioni su di te o sulla tua azienda per l'autenticazione. Il processo di convalida può richiedere da alcune ore ad alcuni giorni, a seconda delle informazioni fornite e dalla facilità con cui possono essere verificate. Poiché Symantec deve ricevere il pagamento prima di fornire il certificato, scegliendo come metodo la carta di credito la pratica viene accelerata.

Torna all'inizio

Quanto dura una firma digitale?

Ogni certificato di firma del codice viene acquistato con un periodo di validità associato. Durante il periodo di validità il certificato digitale può essere utilizzato senza limitazioni. Quando il certificato digitale scade, tutte le firme digitali che dipendono dal certificato digitale scadono a meno che la firma non includa un'indicazione di data e ora. Un'opzione di data e ora indica quando il codice è stato firmato, consentendo ai clienti di verificare che il certificato di firma del codice era valido al momento della firma digitale.

Torna all'inizio

Posso installare il certificato di firma del codice su più di un PC?

È possibile utilizzare un certificato di firma del codice su qualsiasi computer una volta recuperato. Tuttavia, il certificato di firma del codice deve essere acquistato e recuperato dallo stesso computer. In caso di problemi con il recupero, verifica di utilizzare lo stesso computer, browser e profilo di accesso utilizzati per la registrazione. Symantec consiglia agli sviluppatori di acquistare certificati di firma del codice aggiuntivi invece di condividerli per motivi di maggiore sicurezza e di una migliore gestione. Se un certificato viene compromesso e deve essere revocato, allora tutte le applicazioni firmate da quel singolo certificato verranno disattivate.

Torna all'inizio

In che modo altri sanno di poter considerare affidabile la mia firma?

La firma del codice assicura che questo non è stato manomesso e che proviene da te, ma non verifica la tua identità. Per determinare la validità della firma digitale, sistemi software, applicazioni e reti di telefonia cellulare fanno affidamento sul certificato principale dall'autorità di certificazione emittente. Un'autorità di certificazione di terze parti è più attendibile di un certificato autofirmato perché chi ha richiesto il certificato ha dovuto seguire un processo di verifica o autenticazione. L'ubiquità del certificato principale di Symantec non ha rivali. I nostri certificati principali sono preinstallati sulla maggior parte dei dispositivi e sono incorporati nella maggior parte delle applicazioni, creando un processo di installazione trasparente e sicuro per gli utenti finali.

Torna all'inizio

Quanti certificati di firma del codice sono necessari?

Symantec consiglia agli sviluppatori di acquistare certificati di firma del codice aggiuntivi invece di condividerli per motivi di maggiore sicurezza e di una migliore gestione. Se un certificato viene compromesso e deve essere revocato, allora tutte le applicazioni firmate da quel singolo certificato verranno disattivate. Symantec consiglia di acquistare un certificato di firma del codice per ogni piattaforma di sviluppo. Per utilizzare un unico certificato per più piattaforme è necessario un processo di conversione con l'ausilio di utilità aggiuntive.

Torna all'inizio

Che accade in caso di smarrimento o compromissione della mia chiave privata?

Se la chiave privata viene perduta o compromessa o se le informazioni vengono modificate, è necessario revocare immediatamente il certificato di firma del codice e sostituirlo con uno nuovo.

Torna all'inizio
Symantec offre certificati di firma del codice per diverse piattaforme di sviluppo tra le più diffuse. Per ulteriori informazioni, consulta l'elenco completo dei Certificati Symantec Code Signing.
Utenti attuali: Gestisci i tuoi certificati, controlla lo stato dell'ordine e richiedi supporto tecnico.

Il supporto per Secure Hash Algorithm (SHA) 256 è disponibile per i certificati Symantec Code Signing

Il supporto per SHA-256, noto anche come SHA-2, è disponibile per Symantec Code Signing a partire dal 1° aprile 2013 senza alcun costo aggiuntivo. SHA-2 è stato sviluppato dal National Institute of Standards and Technology (NIST) ed è la funzione di crittografia hash che sostituirà SHA-1 entro la fine del 2014.
L'opzione per SHA-2 è disponibile tramite le pagine d'ordine, la procedura di riemissione e tramite l'interfaccia API per QuickOrder, QuickInvite e Reissue.
Alcune versioni precedenti di applicazioni e sistemi operativi potrebbero non supportare SHA-2, ad esempio, Windows XP Service Pack 2 o versioni precedenti non supporta l'utilizzo di SHA-2. Per il supporto SHA-2 per i server Java, è necessario che sul server sia installato Java SDK 1.4.2 o versione successiva.
Per l'ambiente Windows, consulta il seguente blog per l'implementazione di SHA-2:
http://blogs.technet.com/b/pki/archive/2010/09/30/sha2-and-windows.aspx
Per l'implementazione di SHA-2 sui server Java, consulta http://docs.oracle.com/javase/1.4.2/docs/guide/security/CryptoSpec.html for SHA-2 deployment on Java servers.
Inoltre, per supportare SHA-2 sui server basati su Apache è necessario Apache 2.x o versione successiva e per la richiesta di firma dei certificati e la generazione di chiavi private sarà necessario Open SSL 1.1.x.
Il supporto per SHA-2 è disponibile come opzione nella protezione dei certificati Code Signing. Per informazioni sulla policy aziendale, consulta il responsabile della sicurezza.

Contatta i responsabili commerciali

Code Signing per sviluppatori Microsoft
Leggi un white paper su Code Signing
Sicurezza delle applicazioni per provider di reti di telefonia cellulare