CODE Signing-certifikat
Ett CODE-certifikat, officiellt ett Code Signing-certifikat, är ett digitalt certifikat som används för att signera applikationer, skript, drivrutiner och annan programvara som distribueras via internet. Den digitala signaturen bevisar vem som har publicerat programvaran och garanterar att koden inte har ändrats sedan den signerades. Låt oss titta närmare på CODE-certifikat.
Artikelns innehåll
- Vad är ett CODE-certifikat?
- Hur fungerar kodsignering?
- Varför signera din programvara?
- Typer av CODE-certifikat
- CODE-certifikat och Windows SmartScreen
- Cloud Code Signing
Vad är ett CODE-certifikat?
Ett Code Signing-certifikat är ett digitalt certifikat som utfärdas till en programvaruutgivare – ett företag eller en enskild utvecklare – av en betrodd certifikatutfärdare (CA). Medan ett SSL/TLS-certifikat säkrar kommunikationen mellan webbläsaren och webbservern, säkrar ett CODE-certifikat själva programvaran. Utvecklaren använder det för att förse körbara filer, installationsprogram, skript, makron, drivrutiner eller firmware med en digital signatur före distributionen.
Certifikatutfärdaren utfärdar ett CODE-certifikat först efter att ha verifierat företagets existens eller utvecklarens identitet. Tack vare denna validering identifierar signaturen tydligt utgivaren, och både användaren och operativsystemet kan vara säkra på att programvaran är äkta och inte har ändrats på något sätt under distributionen (Code signing – wiki).
Hur fungerar kodsignering?
Kodsignering bygger på asymmetrisk kryptografi, samma princip som används av SSL-certifikat. Utvecklaren äger ett nyckelpar – en privat nyckel och en publik nyckel. Vid signeringen skapas ett unikt fingeravtryck (hash) av applikationsfilen som krypteras med utvecklarens privata nyckel. Resultatet bifogas tillsammans med certifikatet till filen som en digital signatur.
När en användare laddar ner applikationen verifierar operativsystemet signaturen: det dekrypterar fingeravtrycket med den publika nyckeln från certifikatet och jämför det med filens faktiska fingeravtryck. Om de stämmer överens är koden intakt och kommer från den utgivare som anges i certifikatet. Om så mycket som en enda byte av applikationen har ändrats misslyckas verifieringen och systemet varnar användaren.
Osignerad programvara är i dag praktiskt taget omöjlig att distribuera. Microsofts säkerhetsmekanismer som Defender SmartScreen och Smart App Control blockerar kompromisslöst osignerade nedladdade applikationer och varnar användarna för att köra dem. Ett CODE-certifikat är därför ett oumbärligt verktyg för varje programvaruföretag och utvecklare.
Signeringen av koden ändrar inte själva programvaran. Den lägger bara till den digitala signaturen i den körbara filen. En viktig del av signaturen är tidsstämpeln (timestamp), som bevisar att koden signerades medan certifikatet var giltigt. En tidsstämplad signatur förblir betrodd även efter att själva certifikatet har gått ut.
Varför signera din programvara?
Varje programvaruutgivare som distribuerar kod eller innehåll via internet behöver ett CODE-certifikat. Kod som distribueras inom ett företag via intranätet bör också signeras på grund av policyerna i operativsystem som Windows och macOS. Alla moderna system föredrar signerad kod för att skydda användarna och förhindra spridning av skadlig programvara.
Fördelar med ett CODE-certifikat
- Bevisar programvaruutgivarens identitet
- Garanterar kodens integritet – programvaran har inte ändrats
- Tar bort varningen "Okänd utgivare" vid installation
- Skyddar ditt namn och varumärke mot missbruk för förfalskad programvara
- Ökar användarnas förtroende, nedladdningar och försäljning
- Fungerar för Windows- och macOS-applikationer
Vad ett CODE-certifikat inte gör
- Det krypterar inte applikationen eller dess data
- Det garanterar inte att koden är felfri
- Det ersätter inte ett SSL-certifikat för din webbplats
- Det bygger inte omedelbart upp SmartScreen-rykte
Typer av CODE-certifikat
CODE-certifikat skiljer sig åt i nivån på utgivarvalideringen. Till skillnad från SSL-certifikat finns det ingen domänvaliderad variant – certifikatutfärdaren verifierar alltid den sökande.
Standard Code Signing (OV)
Standardcertifikatet Code Signing med organisationsvalidering (OV) utfärdas till företag och organisationer. Certifikatutfärdaren verifierar företagets existens i offentliga register, dess adress och den sökandes behörighet. Signaturen visar sedan det verifierade företagsnamnet som utgivare (CN).
Det mest sålda CODE-certifikatet i dag är Cloud CODE-certifikatet från certifikatutfärdaren Certum.
Code Signing för privatpersoner
Oberoende utvecklare utan registrerat företag kan skaffa ett Code Signing-certifikat för enskilda utvecklare. Certifikatutfärdaren verifierar utvecklarens identitet med hjälp av en identitetshandling. Signaturen visar sedan utvecklarens verifierade namn som utgivare. Detta CODE-certifikat har identiska egenskaper som Standard Code Signing
EV Code Signing
EV Code Signing-certifikat erbjuder den högsta, utökade nivån av företagsvalidering (Extended Validation). De krävs för signering av drivrutiner i kernel-läge och systemkomponenter för Microsoft Windows. De är främst avsedda för hårdvaruutvecklare, utvecklare av systemprogramvara och organisationer som kräver den högsta nivån av företagsvalidering.
CODE-certifikat och Windows SmartScreen
Microsoft Defender SmartScreen är en ryktesbaserad teknik som skyddar Windows-användare vid nedladdning av filer från internet. Om en applikation inte har tillräckligt rykte visar SmartScreen en varning innan den körs – även om applikationen är signerad. Ryktet byggs upp med antalet installationer och är knutet inte bara till själva programvaran utan också till det Code Signing-certifikat som används för signeringen.
När ett rykte väl är etablerat och installationerna passerar SmartScreen automatiskt kan nya versioner av applikationen signeras med samma CODE-certifikat och allt fungerar smidigt. Vid användning av ett nytt eller förnyat certifikat måste ryktet dock byggas upp på nytt.
Tidigare gav EV Code-certifikat ett omedelbart SmartScreen-rykte. Efter de Windows-säkerhetsuppdateringar som släpptes våren 2026 har Microsoft ändrat sina policyer och behandlar nu EV Code-certifikat på liknande sätt som standard-OV-certifikat – rykte måste byggas upp även för EV Code Signing-certifikat. Mer information finns på sidan Windows SmartScreen-filtret.
Cloud Code Signing
Eftersom den privata nyckeln till ett CODE-certifikat måste lagras på certifierad hårdvara levererade certifikatutfärdarna traditionellt certifikaten på fysiska USB-tokens. Cloud Code Signing tar bort denna komplikation: den privata nyckeln genereras och lagras i certifikatutfärdarens säkra HSM-infrastruktur, och utvecklaren signerar koden på distans – var som helst ifrån, direkt efter att certifikatet har utfärdats och utan att vänta på leverans av en token.
Enligt kraven från CA/Browser Forum måste den privata nyckeln till ett CODE-certifikat lagras på certifierad hårdvara (en fysisk token eller en HSM-modul). Därför utfärdas moderna CODE-certifikat huvudsakligen som molncertifikat, där nyckeln förvaras säkert i certifikatutfärdarens HSM och utvecklaren signerar på distans – utan tokenleveranser och utan hårdvara att hantera.
Ett typiskt exempel är tjänsten Certum SimplySign, där signeringen auktoriseras via en mobilapp och fungerar med standardverktyg som Microsoft SignTool. Vissa Cloud CODE-certifikat kan integreras i CI/CD-byggpipelines, vilket gör dem till ett praktiskt och kostnadseffektivt val för dagens utvecklare.
CODE-certifikat på SSLmentor-projektet
På vår webbplats hittar du betrodda CODE signing-certifikat från de globalt betrodda certifikatutfärdarna DigiCert, Sectigo och Certum. För de flesta utvecklare rekommenderar vi Cloud Code-certifikaten från den europeiska certifikatutfärdaren Certum, som vi erbjuder till marknadens bästa pris.
Vart härnäst?
Tillbaka till Hjälp
Hittat ett fel eller förstår du inte något? Skriv till oss!
