为何需要代码签名证书? 有了代码签名有什么不同?
现在各种间谍软件、黑客程序、流氓软件泛滥,使得用户根本不敢随便在网上下载软件代码,所以,作为真正为用户提供正版自主开发软件的您,一定要让最终用户放心下载您的软件代码,这样才能有利于您的业务发展,而代码签名证书就是让您的用户放心确信此代码确实是您开发的和是没有被非法修改和破坏的。用户在下载之前可以查看到软件开发商的详细信息 ,同时可以看到此代码签名证书是通过权威的第三方(如:WoSign)认证的,是Windows可信任的根证书颁发的,是可信的,这样,您的用户就可以放心下载了。请注意:代码签名并不是加密软件本身,而且在软件上附加一个通过可信任的权威机构认证的数字签名。
下面让您体验一下有代码签名和没有代码签名的不同:
如下图 1 所示,您在页面上放一个增强页面功能的 ActiveX 文件 (.ocx/.cab) ,如果没有代码签名, Windows 2000 IE 缺省是不允许运行的:
如下图 2 所示,如果没有代码签名, Windows XP IE 缺省也是不允许运行的:
而任何 .exe 直接链接下载的话,不管是否已经签名都会提示用户“这类文件如果包含恶意代码,有可能会损害您的计算机”,建议用户不要下载,如下图 3 所示(Windows 2000),测试的 .exe 文件是微软已经签名的 Windows 的根证书升级包:
如果把以上测试 .exe 文件改用 object 方式下载,则会提示此 exe 文件已经签名,是微软的 Windows 根证书升级包,这样,用户才会放心下载,如下图 4 所示:
而把 .ocx 打包成 .cab 后使用 WoSign 全球通用的代码签名证书签名,再以 object 方式放在网站上,就会提示用户该代码已经签名,可以放心下载;如果您已经设置该软件发行商为可信任的发行商则会自动下载安装,如下图 5 (Windows 2000)和图 6 (Windows XP)所示:
代码签名不仅让用户放心下载(软件开发商的身份通过第三方认证),更重要的是,代码签名可以防止您的软件被人非法篡改或被人非法捆绑一些间谍软件后让用户下载(已经发生多起这样的案例),更有效地保护了软件开发商的切身利益和产品品牌。如下图 7 (Windows 2000) 和图 8 (Windows XP)所示, 我们仅仅修改了以上图 5 的代码的其中1个字节的内容,就通不过验证,会提示用户“无法验证内容的可靠性”:
其原因是“内容与签名不符”(Windows 2000),或“因为它没有有效的数字签名”(Windows XP)。因为您在使用证书签名时使用 MD5 或 SHA1 摘要算法计算出签名摘要附在已经签名的代码上, IE 浏览器会重新计算签名摘要并与您的原始签名摘要相比较,如果不符,就说明签名代码已经被篡改,浏览器会提示“内容与签名不符而无法验证内容的可靠性”。只要这样,您的受大家欢迎的好软件才不会被非法利用来捆绑流氓软件,这样,才能保护您的合法权益。
从上面的演示可以看出:没有签名的 ActiveX 根本就不能使用,那您就无法创建多媒体互动页面了。同时,如果您的软件(.exe)放在网上,由于人们担心不安全而不下载,这将大大不利于您的软件的快速发行和市场推广。所以,所有希望在网站上提供下载的软件开发商和硬件开发商都应该为其软件代码签名,这样才能让用户放心下载,才不会被非法篡改,才真正有利于您的业务发展和市场推广。
请注意: 如果您购买的代码签名证书的颁发根证书不是Windows所信任的根证书所颁发,则Windows XP作为没有签名一样对待而被阻止下载运行,如下图8所示,显示“发行者:未知发行商”。所以,一定要购买全球通用的Windows中已经预置了其代码签名目的的根证书的代码签名证书!非常重要!请注意:颁发 WoSign代码签名证书的根证书已经预置在所有浏览器的受信任根证书中!
。
为何需要代码签名证书? 有了代码签名有什么不同?相关推荐
- EV代码签名证书对可执行文件进行签名
根据最新的行业法规和政策,开发人员和组织必须对可执行文件进行数字签名.它帮助企业和用户分别提供和使用正版软件. 此外,大多数组织更喜欢将EV代码签名证书用于此类目的,以防止在安装过程中出现警告消息. ...
- 单位OV代码签名证书与EV代码签名证书有什么区别
以下内容由SSL盾www. ssldun .com整理发布 代码签名证书由权威CA机构验证软件开发者身份后签发,让软件开发者可以使用代码签名证书,对其开发的软件代码进行数字签名,用于验证开发者身份真实 ...
- 代码签名证书的时间戳验证码签名方法
以下实现的时间戳的反签名方法允许在代码签名证书过期或吊销后进行签名验证. 时间戳[1]使验证程序能够可靠地知道签名所贴的时间,从而信任签名(如果签名在当时有效). 时间戳器应具有可靠且受保护的时间源. ...
- 标准代码签名证书和EV代码签名证书的区别,和双签名软件或驱动代码签名证书
代码签名目前分为标准代码签名和EV扩展型代码签名,两者的相同点都是对企业组织进行更有效验证,针对32位或64位可移植可执行文件进行数字签名,通过对代码的数字签名可以减少软件下载时弹出的安全警告,保证代 ...
- thawte代码签名证书,comodo软件签名证书,symantec,digicert签名证书的区别
代码签名证书区别 1. comodo thawte symantec代码签名证书仅支持SHA2(SHA256)加密算法 2. digicert代码签名证书支持SHA1和SHA2(SHA256)加密算法 ...
- 自签名证书和私有CA签名的证书的区别 创建自签名证书 创建私有CA 证书类型 证书扩展名
自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信 如果你的规划需要创建多个证书,那么使用私有CA ...
- EV代码签名证书,支持Windows 10预览版和正式版驱动签名
DigiCert EV代码签名证书具有普通内核代码签名证书的所有功能,但不同的是采用更加严格国际标准扩展验证(EV验证),并且有严格的证书私钥保护机制--必须采用 USB Key来保护签名证书的私钥, ...
- 全面剖析VeriSign代码签名证书
本文档由维瑞技术中心提供:VeriSign代码签名 www.willrey.com 什么是代码签名?我为什么需要代码签名证书? 用户在线下载应用程序.安装插件附件.与复杂的 网络应用程序交互时,出于安 ...
- 恶意软件利用合法的代码签名证书横行Windows 系统
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员发现一起恶意活动依靠合法的代码签名证书将恶意代码伪装成合法的可执行文件. 研究人员将其中一种 payload 称为 Blister,它 ...
- 余承东:华为技术走在产业前列,别人想超越很难;理想销量夺冠后,员工不满年终奖打折;黑客窃取GitHub代码签名证书|极客头条
「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 梦依丹 出品 | CSDN(ID:CSDNnews ...
最新文章
- 美专家:中国的机器人优势所引发的忧虑
- Ruby Cucumber环境
- Mybatis报错 TooManyResultsException
- 四大价值观和12准则
- jzoj4616-[NOI2016模拟7.12]二进制的世界【平衡规划,dp】
- linux桌面发展方向,观点|Linux 桌面的发展之路!
- java 线程安全问题_java线程安全问题原因及解决办法
- ServiceMash服务网格--理解lstio/envoy
- .Net控件Telerik全套下载:Telerik Controls 2010 Q2 (附加DLL文件+源码)
- ubuntu 安装Pangolin 过程
- 计算机科学研究课题申报书,教育科学研究课题立项申请书范文
- opencv部署onnx,并对jpg图片进行批量检测生成xml重要信息
- thingJS模模搭(campusbuilder/momoda)及3dsmax插件遇到的坑
- 《我的世界》游戏攻略:如何一建生成房屋指令?
- CAD碎片化学习教程 @3. 设置当前字体
- Scrapy 爬取七麦 app数据排行榜
- 手把手教你如何快速制作电子书
- 李永乐讲解计算机科学与技术,【视频】李永乐老师讲解“哥德巴赫猜想”【民科吧】_百度贴吧...
- rowid去重(转)
- C++学习总结——思维导图