SSLmentor

Kvalitné TLS/SSL certifikáty pre webové stránky a internetové projekty.

CODE certifikát

CODE certifikát

CODE Signing certifikát

CODE certifikát, oficiálne certifikát Code Signing, je digitálny certifikát určený na podpisovanie aplikácií, skriptov, ovládačov a ďalšieho softvéru šíreného cez internet. Digitálny podpis preukazuje, kto softvér vydal, a zaručuje, že kód nebol od podpísania zmenený. Poďme sa na CODE certifikáty pozrieť bližšie.

Čo je CODE certifikát?

Certifikát Code Signing je digitálny certifikát vydávaný vydavateľovi softvéru – firme alebo samostatnému vývojárovi – dôveryhodnou certifikačnou autoritou (CA). Zatiaľ čo SSL/TLS certifikát zabezpečuje komunikáciu medzi prehliadačom a webovým serverom, CODE certifikát zabezpečuje samotný softvér. Vývojár ním pripája digitálny podpis k spustiteľným súborom, inštalátorom, skriptom, makrám, ovládačom alebo firmvéru pred ich distribúciou.

Certifikačná autorita vydá CODE certifikát až po overení existencie firmy alebo totožnosti vývojára. Vďaka tomuto overeniu podpis jednoznačne identifikuje vydavateľa a používateľ aj operačný systém majú istotu, že softvér je pravý a počas distribúcie nebol nijako upravený (Code signing – wiki).

CODE signing

Ako funguje podpisovanie kódu?

Podpisovanie kódu je založené na asymetrickej kryptografii, teda na rovnakom princípe ako SSL certifikáty. Vývojár vlastní pár kľúčov – privátny a verejný kľúč. Pri podpisovaní sa vytvorí jedinečný odtlačok (hash) súboru aplikácie a zašifruje sa privátnym kľúčom vývojára. Výsledok sa spolu s certifikátom pripojí k súboru ako digitálny podpis.

Keď si používateľ aplikáciu stiahne, operačný systém podpis overí: dešifruje odtlačok pomocou verejného kľúča z certifikátu a porovná ho so skutočným odtlačkom súboru. Ak sa zhodujú, kód je neporušený a pochádza od vydavateľa uvedeného v certifikáte. Ak bol zmenený čo i len jediný bajt aplikácie, overenie zlyhá a systém používateľa varuje.

Nepodpísaný softvér je dnes prakticky nešíriteľný. Bezpečnostné mechanizmy Microsoftu, ako sú Defender SmartScreen a Smart App Control, nekompromisne blokujú nepodpísané stiahnuté aplikácie a varujú používateľov pred ich spustením. CODE certifikát je preto nevyhnutným nástrojom každej softvérovej firmy aj vývojára.

Podpísanie kódu samotný softvér nemení. K spustiteľnému súboru iba pripojí digitálny podpis. Dôležitou súčasťou podpisu je časová pečiatka (timestamp), ktorá preukazuje, že kód bol podpísaný v čase platnosti certifikátu. Podpis s časovou pečiatkou zostáva dôveryhodný aj po vypršaní platnosti samotného certifikátu.

Prečo podpisovať svoj softvér?

CODE certifikát potrebuje každý vydavateľ softvéru, ktorý šíri kód alebo obsah cez internet. Kvôli zásadám operačných systémov, ako sú Windows a macOS, by mali byť podpisované aj kódy šírené v rámci firmy cez intranet. Všetky moderné systémy uprednostňujú podpísaný kód, aby chránili používateľov a bránili šíreniu škodlivého softvéru.

Výhody CODE certifikátu
  • Preukazuje identitu vydavateľa softvéru
  • Zaručuje integritu kódu – softvér nebol zmenený
  • Odstraňuje varovanie "Neznámy vydavateľ" pri inštalácii
  • Chráni vaše meno a značku pred zneužitím na falošný softvér
  • Zvyšuje dôveru používateľov, počty stiahnutí aj predaje
  • Funguje pre aplikácie Windows aj macOS
Čo CODE certifikát nerobí
  • Nešifruje aplikáciu ani jej dáta
  • Nezaručuje, že kód je bez chýb
  • Nenahrádza SSL certifikát pre váš web
  • Nezaistí okamžitú reputáciu vo SmartScreen

Typy CODE certifikátov

CODE certifikáty sa líšia úrovňou overenia vydavateľa. Na rozdiel od SSL certifikátov neexistuje variant s overením domény – certifikačná autorita vždy overuje žiadateľa.

Standard Code Signing (OV)

Štandardný certifikát Code Signing s overením organizácie (OV) sa vydáva firmám a organizáciám. Certifikačná autorita overuje existenciu firmy vo verejných registroch, jej adresu a oprávnenie žiadateľa. Podpis potom ako vydavateľa (CN) zobrazuje overený názov firmy.
Najpredávanejším CODE certifikátom je dnes Cloud CODE certifikát od certifikačnej autority Certum.

Code Signing pre jednotlivcov

Nezávislí vývojári bez registrovanej firmy môžu získať certifikát Code Signing pre samostatných vývojárov (Individual). Certifikačná autorita overuje totožnosť vývojára podľa dokladu totožnosti. Podpis potom ako vydavateľa zobrazuje overené meno vývojára. Tento CODE certifikát má rovnaké vlastnosti ako Standard Code Signing

EV Code Signing

Certifikáty EV Code Signing ponúkajú najvyššiu, rozšírenú úroveň overenia firmy (Extended Validation). Sú vyžadované na podpisovanie ovládačov v režime jadra (kernel-mode) a systémových komponentov pre Microsoft Windows. Sú určené predovšetkým vývojárom hardvéru, tvorcom systémového softvéru a organizáciám, ktoré vyžadujú najvyššiu úroveň overenia firmy.

CODE certifikáty a Windows SmartScreen

Microsoft Defender SmartScreen je technológia založená na reputácii, ktorá chráni používateľov Windows pri sťahovaní súborov z internetu. Ak aplikácia nemá dostatočnú reputáciu, SmartScreen pred jej spustením zobrazí varovanie – aj keď je aplikácia podpísaná. Reputácia sa buduje počtom inštalácií a je viazaná nielen na samotný softvér, ale aj na certifikát Code Signing použitý na podpis.

Len čo je reputácia vybudovaná a inštalácie prechádzajú cez SmartScreen automaticky, možno nové verzie aplikácie podpisovať rovnakým CODE certifikátom a všetko funguje hladko. Pri použití nového alebo obnoveného certifikátu je však potrebné reputáciu budovať znova.

V minulosti poskytovali EV Code certifikáty okamžitú reputáciu SmartScreen. Po bezpečnostných aktualizáciách Windows vydaných na jar 2026 Microsoft zmenil svoje zásady a k EV Code certifikátom teraz pristupuje podobne ako k štandardným OV certifikátom – reputáciu je potrebné budovať aj pri certifikátoch EV Code Signing. Viac podrobností nájdete na stránke Filter Windows SmartScreen.

Cloud Code Signing

Keďže privátny kľúč CODE certifikátu musí byť uložený na certifikovanom hardvéri, dodávali certifikačné autority certifikáty tradične na fyzických USB tokenoch. Cloud Code Signing túto komplikáciu odstraňuje: privátny kľúč je vygenerovaný a uložený v zabezpečenej HSM infraštruktúre certifikačnej autority a vývojár podpisuje kód vzdialene – odkiaľkoľvek, ihneď po vystavení certifikátu a bez čakania na doručenie tokenu.

Podľa požiadaviek CA/Browser Forum musí byť privátny kľúč CODE certifikátu uložený na certifikovanom hardvéri (fyzickom tokene alebo HSM module). Preto sa moderné CODE certifikáty vydávajú predovšetkým ako cloudové certifikáty, kde je kľúč bezpečne uložený v HSM certifikačnej autority a vývojár podpisuje vzdialene – bez zasielania tokenu a bez starostí o hardvér.

Typickým príkladom je služba Certum SimplySign, kde sa podpisovanie autorizuje cez mobilnú aplikáciu a funguje so štandardnými nástrojmi, ako je Microsoft SignTool. Niektoré Cloud CODE certifikáty možno integrovať do CI/CD build pipeline, takže sú praktickou a cenovo výhodnou voľbou pre dnešných vývojárov.

CODE certifikáty na projekte SSLmentor

Na našom webe nájdete dôveryhodné CODE signing certifikáty od celosvetovo dôveryhodných certifikačných autorít DigiCert, Sectigo a Certum. Väčšine vývojárov odporúčame Cloud Code certifikáty od európskej certifikačnej autority Certum, ktoré ponúkame za najlepšiu cenu na trhu.

Späť na Nápovedu
Našli ste chybu alebo niečomu nerozumiete? Napíšte nám!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum