软件公司、工作室、软件发布平台等主体往往需要经常发布新开发、收录以及更新的软件代码,尤其是一些比较知名的软件,在公开发布后,有可能被一些别有用心的人进行二次修改后冒充官方发布的版本来欺骗用户,严重的时候可能会导致用户的隐私甚至财产安全等受到威胁,同时导致真正的软件发布者的声誉受损。
因此,如何保证用户获取到的各类软件插件等文件是真正的官方“一手”文件是每个开发软件、发布软件的主体需要考虑的问题。目前比较流行也是非常必要的保护代码完整性的措施是给软件代码文件加上数字签名,这种数字签名的实现只需要申请一张代码签名证书即可。
所谓的代码签名证书,是通过对代码的数字签名来标识软件来源或者软件开发者的真实身份,确保代码在签名之后未被恶意篡改,让用户在下载、安装、运行已经签名的代码、软件的时候,能够有效的识别该代码的来源和验证代码的可信度。
打一个比较通俗的比方,代码的数字签名就好比您在商场购买的商品的原装外包装,一旦商品被拆封,外包装则会被破坏,消费者即可察觉当前的商品已经不是出厂时的状态了。当然,被破坏的商品外包装还有可能作假,但数字签名的作假几乎是不可能的,这得益于数字签名需要的代码签名证书的鉴证、签发模式以及严格的数字签名验证模式。数字签名通常都会加上时间戳,用户可以非常清楚的看到该软件代码被加上数字签名的时间。这个类似于“封条”,上面往往会写上封禁的日期。同时,加上了时间戳的数字签名也不会随着代码签名证书到期而失效,这种数字签名在任何时候都会帮助保护软件代码的完整性,以及显示软件代码的发布者身份。
这种保护代码完整性的代码签名证书如何申请?
关于申请条件:申请这种代码签名证书首先需要具备营业执照(一般审核的时候不需要提交执照,因为是通过工商公示系统或者事业单位查询系统来验证主体的真实性),无论是个体工商户还是一般的企业等组织均可申请。
关于证书类型:代码签名证书分为普通OV代码签名证书和扩展验证的EV代码签名证书,两者在 Windows 中的信任程度有区别,环度网信会根据您的需求给您具体的建议。环度网信可以提供的代码签名证书较多,例如 DigiCert、GlobalSign、Entrust、Sectigo(原Comodo)等,每种证书各有特点,验证方式也略有差异,如果您需要近期申请保护代码完整性的代码签名证书,可以随时和环度网信沟通,证书价格在几百元到几千元不等。
关于签发时间:在您向环度网信提出代码签名证书的申请之后,并配合完成单位组织的真实性验证,通常情况下全过程大概 1-3 工作日不等即可签发证书。代码签名证书的有效期可以选择 1-3 年,但签过名的软件中的数字签名的有效期性不受这个证书的影响,只要您签名的时候加上了时间戳,那么该签名是长期有效的。
