I certificati di firma del codice assicurano che il codice non possa venire alterato. Prevengono la manomissione del codice al fine di proteggere gli utenti finali.

In modo simile, i certificati TLS/SSL stabiliscono una connessione criptata tra un browser o il computer di un utente e un server o un sito web per proteggere gli utenti finali.

Non sono però la stessa cosa e non possono essere usati indifferentemente.

Che cos'è un certificato di firma del codice?

I certificati di firma del codice sono usati per autenticare lo sviluppatore o l'autore del software e assicurare che non sia stato alterato o compromesso. Con i certificati di firma del codice, gli sviluppatori di software possono firmare digitalmente applicazioni, driver, eseguibili e programmi software in modo che gli utenti finali possano verificare che il codice ricevuto non è stato compromesso da terzi. I certificati includono la tua firma, il tuo nome azienda e, se lo desideri, un timestamp.

Cos'è un certificato TLS/SSL?

Il SSL (secure socket layer) è la tecnologia standard che garantisce la sicurezza di una connessione a Internet mediante crittografia dei dati inviati tra un sito web e un browser (o tra due server). I certificati SSL impediscono ai criminali informatici di visualizzare o rubare le informazioni trasferite, inclusi dati personali o finanziari.

Il TLS (Transport Layer Security) è una versione aggiornata, più sicura, di SSL. A volte ci si riferisce ancora ai certificati di sicurezza come SSL perché è un termine d'uso più comune, ma quando acquisti da DigiCert ricevi dei certificati TLS, più affidabili e aggiornati.

Posso usare un certificato TLS per la firma del codice?

No, i certificati TLS non possono essere usati per la firma del codice. È necessario usare certificati distinti per la firma del codice e per il TLS.

Differenza fra certificati di firma del codice e certificati TLS

I certificati di firma del codice sono usati per la crittografia del software, mentre i certificati TLS per crittografare le connessioni a un sito web. Entrambi, in ogni caso, sono usati per proteggere gli utenti finali e le aziende.

Se non usi questi certificati, gli utenti finali riceveranno messaggi di avviso che potrebbero non rendere loro possibile l'uso dei tuoi servizi.

• Se un utente tenta di scaricare del software che non ha usato un certificato di firma del codice, la situazione viene segnalata e compare un messaggio di avviso.
• Se un utente visita un sito web sprovvisto di certificato TLS, il browser visualizzerà il messaggio di "non sicuro" accanto all'URL.

Ho bisogno di un certificato di firma del codice?

Ne hai bisogno quando distribuisci software e aggiornamenti, per proteggere la tua proprietà intellettuale, tutelare gli utenti finali e soddisfare i requisiti del settore e della piattaforma.

I certificati di firma del codice consentono ai clienti di verificare che il tuo codice sia autentico e non sia stato manomesso: ciò protegge te e i tuoi clienti da frodi, malware e furti. I tuoi clienti si aspettano un processo di installazione fluido e professionale quando scaricano il tuo software. Per favorirne l'adozione, i programmi con firma digitale consentono di evitare i messaggi di avviso durante il download e l'installazione.

Inoltre i partner, i canali e le piattaforme che distribuiscono il tuo software si aspettano che tu protegga i dati dei loro clienti e richiederanno o si aspetteranno le migliori prassi in termini di firma del codice.

Tipi di certificati di firma del codice

DigiCert offre certificati di firma del codice sia normali che di tipo EV. I certificati di firma del codice offrono una firma digitale crittografata, mentre quelli di tipo Extended Validation (EV) includono tutti i vantaggi standard del codice con firma digitale, e in più un rigoroso processo di verifica e requisiti di sicurezza con autenticazione a due fattori, in modo che gli utenti abbiano la massima fiducia nell'integrità delle tue applicazioni. Inoltre, per il filtro di Microsoft Defender SmartScreen Reputation, un certificato di firma del codice EV porta a ottenere automaticamente lo status di affidabile, riducendo i messaggi di avviso e incrementando la fiducia dell'utente finale.

Come gestire i certificati di firma del codice

Una gestione inadeguata della firma del codice potrebbe causare gravi danni alla tua attività. Incidenti come l'attacco a SolarWinds sono un esempio di quali conseguenza comporta una carenza nell'implementazione della firma del codice.

Gli studi dimostrano che oltre metà dei professionisti della sicurezza IT temono che criminali informatici possano sottrarre o manomettere certificati e firmare codici o applicazioni; eppure meno di un terzo applica con costanza delle policy di firma del codice. Per semplificare la gestione della firma del codice, DigiCert ha preparato delle soluzioni innovative per le imprese moderne.

Secure Software Manager, nella suite DigiCert ONE™, gestisce in modo moderno la firma del codice tramite l'automazione della protezione con pipeline CI/CD (Continuous Integration/Continuous Delivery), modelli di distribuzione trasferibili e flessibili e una gestione sicura delle chiavi. Secure Software Manager sostiene best practice per la firma del codice, come chiavi e certificati univoci in caso di firma privata, chiavi su richiesta e rotazione. Secure Software Manager è compatibile con le più diffuse piattaforme e librerie, come Docker, Microsoft Authenticode, Java, OpenSSL e Android. Con Secure Software Manager, le aziende possono integrare facilmente il codice in processi di sviluppo del prodotto, e allo stesso tempo delegare le operazioni di crittografia, le attività e la gestione della firma in modo controllato e verificabile.