SSLmentor

Kvalitetni TLS/SSL sertifikati za veb stranice i internet projekte.

CODE sertifikat

CODE sertifikat

CODE Signing sertifikat

CODE sertifikat, zvanično Code Signing sertifikat, je digitalni sertifikat koji se koristi za potpisivanje aplikacija, skripti, drajvera i drugog softvera koji se distribuira putem interneta. Digitalni potpis dokazuje ko je objavio softver i garantuje da kod nije menjan od trenutka potpisivanja. Pogledajmo bliže CODE sertifikate.

Šta je CODE sertifikat?

Code Signing sertifikat je digitalni sertifikat koji izdavaču softvera – kompaniji ili samostalnom programeru – izdaje pouzdano sertifikaciono telo (CA). Dok SSL/TLS sertifikat štiti komunikaciju između pregledača i veb servera, CODE sertifikat štiti sam softver. Programer njime dodaje digitalni potpis izvršnim datotekama, instalerima, skriptama, makroima, drajverima ili firmveru pre distribucije.

Sertifikaciono telo izdaje CODE sertifikat tek nakon provere postojanja kompanije ili identiteta programera. Zahvaljujući toj proveri potpis jasno identifikuje izdavača, a korisnik i operativni sistem mogu biti sigurni da je softver autentičan i da tokom distribucije nije ni na koji način menjan (Code signing – wiki).

CODE signing

Kako funkcioniše potpisivanje koda?

Potpisivanje koda zasniva se na asimetričnoj kriptografiji, istom principu koji koriste SSL sertifikati. Programer poseduje par ključeva – privatni i javni ključ. Pri potpisivanju se kreira jedinstveni otisak (hash) datoteke aplikacije i šifruje privatnim ključem programera. Rezultat se zajedno sa sertifikatom dodaje datoteci kao digitalni potpis.

Kada korisnik preuzme aplikaciju, operativni sistem proverava potpis: dešifruje otisak javnim ključem iz sertifikata i upoređuje ga sa stvarnim otiskom datoteke. Ako se podudaraju, kod je netaknut i potiče od izdavača navedenog u sertifikatu. Ako je promenjen makar jedan bajt aplikacije, provera ne uspeva i sistem upozorava korisnika.

Nepotpisan softver danas je praktično nemoguće distribuirati. Microsoftovi bezbednosni mehanizmi kao što su Defender SmartScreen i Smart App Control beskompromisno blokiraju nepotpisane preuzete aplikacije i upozoravaju korisnike da ih ne pokreću. CODE sertifikat je zato neophodan alat svake softverske kompanije i programera.

Potpisivanje koda ne menja sam softver. Izvršnoj datoteci samo dodaje digitalni potpis. Važan deo potpisa je vremenski žig (timestamp), koji dokazuje da je kod potpisan dok je sertifikat bio važeći. Potpis sa vremenskim žigom ostaje pouzdan i nakon isteka samog sertifikata.

Zašto potpisati svoj softver?

CODE sertifikat je potreban svakom izdavaču softvera koji distribuira kod ili sadržaj putem interneta. Zbog pravila operativnih sistema kao što su Windows i macOS trebalo bi potpisivati i kod koji se distribuira unutar kompanije putem intraneta. Svi moderni sistemi preferiraju potpisan kod kako bi zaštitili korisnike i sprečili širenje zlonamernog softvera.

Prednosti CODE sertifikata
  • Dokazuje identitet izdavača softvera
  • Garantuje integritet koda – softver nije menjan
  • Uklanja upozorenja "Nepoznati izdavač" tokom instalacije
  • Štiti vaše ime i brend od zloupotrebe za falsifikovani softver
  • Povećava poverenje korisnika, broj preuzimanja i prodaju
  • Radi za Windows i macOS aplikacije
Šta CODE sertifikat ne radi
  • Ne šifruje aplikaciju ni njene podatke
  • Ne garantuje da je kod bez grešaka
  • Ne zamenjuje SSL sertifikat za vaš veb-sajt
  • Ne gradi odmah SmartScreen reputaciju

Vrste CODE sertifikata

CODE sertifikati se razlikuju po nivou provere izdavača. Za razliku od SSL sertifikata, ne postoji varijanta sa proverom domena – sertifikaciono telo uvek proverava podnosioca zahteva.

Standard Code Signing (OV)

Standardni Code Signing sertifikat sa proverom organizacije (OV) izdaje se kompanijama i organizacijama. Sertifikaciono telo proverava postojanje kompanije u javnim registrima, njenu adresu i ovlašćenje podnosioca zahteva. Potpis zatim kao izdavača (CN) prikazuje proveren naziv kompanije.
Najprodavaniji CODE sertifikat danas je Cloud CODE sertifikat sertifikacionog tela Certum.

Code Signing za pojedince

Nezavisni programeri bez registrovane kompanije mogu dobiti Code Signing sertifikat za samostalne programere. Sertifikaciono telo proverava identitet programera pomoću ličnog dokumenta. Potpis zatim kao izdavača prikazuje provereno ime programera. Ovaj CODE sertifikat ima identična svojstva kao Standard Code Signing

EV Code Signing

EV Code Signing sertifikati nude najviši, prošireni nivo provere kompanije (Extended Validation). Obavezni su za potpisivanje drajvera u kernel režimu i sistemskih komponenti za Microsoft Windows. Namenjeni su prvenstveno proizvođačima hardvera, programerima sistemskog softvera i organizacijama koje zahtevaju najviši nivo provere kompanije.

CODE sertifikati i Windows SmartScreen

Microsoft Defender SmartScreen je tehnologija zasnovana na reputaciji koja štiti korisnike Windowsa pri preuzimanju datoteka sa interneta. Ako aplikacija nema dovoljnu reputaciju, SmartScreen pre njenog pokretanja prikazuje upozorenje – čak i ako je aplikacija potpisana. Reputacija se gradi brojem instalacija i vezana je ne samo za sam softver već i za Code Signing sertifikat korišćen za potpisivanje.

Kada je reputacija izgrađena i instalacije automatski prolaze SmartScreen, nove verzije aplikacije mogu se potpisivati istim CODE sertifikatom i sve radi glatko. Međutim, pri korišćenju novog ili obnovljenog sertifikata reputacija se mora graditi iznova.

U prošlosti su EV Code sertifikati pružali trenutnu SmartScreen reputaciju. Nakon bezbednosnih ažuriranja Windowsa objavljenih u proleće 2026. Microsoft je promenio svoja pravila i EV Code sertifikate sada tretira slično standardnim OV sertifikatima – reputacija se mora graditi i za EV Code Signing sertifikate. Više detalja naći ćete na stranici Windows SmartScreen filter.

Cloud Code Signing

Pošto privatni ključ CODE sertifikata mora biti sačuvan na sertifikovanom hardveru, sertifikaciona tela su tradicionalno isporučivala sertifikate na fizičkim USB tokenima. Cloud Code Signing uklanja tu komplikaciju: privatni ključ se generiše i čuva u bezbednoj HSM infrastrukturi sertifikacionog tela, a programer potpisuje kod na daljinu – sa bilo kog mesta, odmah nakon izdavanja sertifikata i bez čekanja na isporuku tokena.

Prema zahtevima CA/Browser Foruma privatni ključ CODE sertifikata mora biti sačuvan na sertifikovanom hardveru (fizičkom tokenu ili HSM modulu). Zato se moderni CODE sertifikati izdaju uglavnom kao cloud sertifikati, kod kojih je ključ bezbedno sačuvan u HSM-u sertifikacionog tela, a programer potpisuje na daljinu – bez slanja tokena i bez hardvera za održavanje.

Tipičan primer je usluga Certum SimplySign, kod koje se potpisivanje autorizuje mobilnom aplikacijom i radi sa standardnim alatima kao što je Microsoft SignTool. Neki Cloud CODE sertifikati mogu se integrisati u CI/CD build pipeline-ove, što ih čini praktičnim i isplativim izborom za današnje programere.

CODE sertifikati na projektu SSLmentor

Na našem sajtu naći ćete pouzdane CODE signing sertifikate globalno pouzdanih sertifikacionih tela DigiCert, Sectigo i Certum. Većini programera preporučujemo Cloud Code sertifikate evropskog sertifikacionog tela Certum, koje nudimo po najboljoj ceni na tržištu.

Nazad na Pomoć
Pronašli ste grešku ili vam nešto nije jasno? Pišite nam!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum