En quoi consiste la signature de code et pourquoi en ai-je besoin ?
De quel certificat de signature de code ai-je besoin ?
Quel est le mode de fonctionnement d'un certificat de signature de code ?
Combien de temps cela prend-il d'acheter un certificat de signature de code ?
Quelle est la durée de vie d'une signature numérique ?
Puis-je installer le certificat de signature de code sur plusieurs ordinateurs ?
Comment un utilisateur sait-il qu'il peut faire confiance à ma signature ?
De combien de certificats de signature de code ai-je besoin ?
Que se passe-t-il si je perds ma clé privée ou si elle est compromise ?
Dois-je signer tous les fichiers du fichier CAB ?
Quel certificat de signature de code dois-je utiliser pour la signature d'objet Netscape ?
En quoi consiste la signature de code et pourquoi en ai-je besoin ?
La signature de code crée un « emballage » numérique qui montre aux clients l'identité de l'entreprise responsable du code et qui confirme qu'il n'a pas été modifié depuis l'application de la signature. Dans le commerce de logiciels traditionnels, un acheteur peut confirmer la source de l'application et son intégrité en regardant son emballage. De plus en plus, les clients téléchargent des applications en ligne, installent des plug-ins et des modules complémentaires, et interagissent avec des applications en ligne sophistiquées. Ils risquent de compromettre leur sécurité et la fonctionnalité des systèmes existants s'ils téléchargent du code défectueux ou malveillant. VeriSign® Code Signing protège votre marque et votre propriété intellectuelle en rendant vos applications identifiables et plus difficiles à falsifier ou à endommager grâce à une signature numérique.
Retour en haut de page
De quel certificat de signature de code ai-je besoin ?
Les différentes plate-formes logicielles ont des critères et des outils différents concernant la signature de code. VeriSign prend en charge plus de plate-formes que n'importe quel autre service de signature de code : Microsoft® Authenticode®, Sun Java®, Microsoft® Office et VBA, Adobe® AIR® et Macromedia® Shockwave®. Choisissez le Code Signing Certificate approprié à votre plate-forme de développement : VeriSign® Code Signing Certificates.
Retour en haut de page
Quel est le mode de fonctionnement d'un certificat de signature de code ?
La signature de code et de contenu s'appuie sur la cryptographie des clés publiques. Un développeur ou un éditeur de logiciels utilise une clé privée pour ajouter une signature numérique à du code ou à du contenu. Les plate-formes et les applications logicielles utilisent une clé publique pour décrypter la signature pendant le téléchargement et pour comparer le hachage utilisé pour signer l'application par rapport au hachage de l'application téléchargée. Le code signé d'une source de confiance peut être accepté automatiquement ou bien un avertissement de sécurité peut demander à l'utilisateur final d'afficher les informations relatives à la signature et décider de faire confiance ou non au code.
Retour en haut de page
Combien de temps cela prend-il d'acheter un certificat de signature de code ?
Pendant le processus de demande d'une signature de code, VeriSign recueillera des informations sur vous et votre entreprise pour les vérifier. Le processus de validation peut prendre quelques heures ou plusieurs jours, selon les informations fournies et la facilité de vérification. Vous avez le choix de payer par carte de crédit, par bon de commande, par chèque ou par virement bancaire. VeriSign devant recevoir votre paiement avant de livrer le certificat, le règlement par carte de crédit accélère la livraison. Revoir le processus de demande de Code Signing Certificate :
Demande pour Microsoft Authenticode
Demande pour Sun Java
Demande pour Microsoft Office and VBA
Demande pour Adobe AIR
Demande pour Macromedia Shockwave
Retour en haut de page
Quelle est la durée de vie d'une signature numérique ?
Chaque Code Signing Certificate est acheté avec une période de validité spécifique. Le certificat numérique peut servir à signer du code aussi souvent que nécessaire pendant cette période de validité. Quand le certificat numérique expire, toutes les signatures numériques dépendant de ce certificat original expirent également, à moins que la signature soit horodatée. Une option d'horodatage indique la date de signature du code, permettant aux clients de vérifier la validité du certificat de signature de code au moment de la signature numérique.
Retour en haut de page
Puis-je installer le Code Signing Certificate sur plusieurs ordinateurs ?
Une fois qu'il a été récupéré, vous pouvez utiliser un Code Signing Certificate sur n'importe quel ordinateur. Cependant, vous devez acheter et récupérer votre certificat de signature de code à partir du même ordinateur. Si vous rencontrez des problèmes lors de la récupération, confirmez que vous utilisez bien les mêmes ordinateur, navigateur et profil de connexion qu'au moment de la demande. Pour des raisons de sécurité et une meilleure gestion, VeriSign recommande aux développeurs d'acheter des certificats de signature de code supplémentaires plutôt que de partager des certificats. Si un certificat est compromis et doit être révoqué, toutes les applications signées par cet unique certificat seront désactivées.
Retour en haut de page
Comment un utilisateur sait-il qu'il peut faire confiance à ma signature ?
Tout simplement, la signature de votre code garantit que le code n'est pas falsifié et que c'est vous qui l'envoyez, mais ce procédé ne vérifie pas qui vous êtes. Une AC tierce est plus fiable qu'un certificat auto-signé car l'entité ayant demandé le certificat a dû passer un processus d'approbation ou d'authentification. Quand des plates-formes et des applications logicielles vérifient une signature numérique, elles ont accès à un certificat « racine » pour décider de faire confiance ou non au code. Il est possible d'auto-signer votre code, mais dans ce cas, vous devez vous assurer que toutes les personnes ayant accès au code ont bien accès à votre certificat racine ou que votre application auto-signée restera non identifiable. Parce que les certificats racine de VeriSign sont préinstallés sur la plupart des périphériques et intégrés à la majorité des applications, les signatures numériques de VeriSign sont presque toujours fiables, réduisant la quantité d'avertissements et de messages d'erreur.
Retour en haut de page
De combien de Code Signing Certificates ai-je besoin ?
Pour des raisons de sécurité et une meilleure gestion, VeriSign recommande aux développeurs d'acheter des certificats de signature de code supplémentaires plutôt que de partager des certificats. Si un certificat est compromis et doit être révoqué, toutes les applications signées par cet unique certificat seront désactivées. Pour plus de simplicité, VeriSign recommande d'acheter un certificat de signature de code pour chaque plate-forme de développeur. Vous pouvez utiliser un certificat de signature de code destiné à une plate-forme pour signer le code des autres. Toutefois, des plates-formes différentes exigent d'avoir des certificats dans des formats différents. L'utilisation d'un certificat sur des plates-formes demande un processus de conversion à l'aide d'utilitaires supplémentaires.
Retour en haut de page
Que se passe-t-il si je perds ma clé privée ou si elle est compromise ?
Si votre clé privée est perdue ou compromise, ou encore si les informations changent, vous devez immédiatement révoquer votre Code Signing Certificate et le remplacer par un nouveau certificat.
Retour en haut de page
Dois-je signer tous les fichiers du fichier CAB ?
Pour les applications Microsoft Windows®, les développeurs doivent seulement signer le fichier .cab à l'aide du Code Signing Certificate approprié. Pour les applications Windows Mobile®, tous les exécutables du fichier .cab doivent être signés. Le compte VeriSign® Flexible Signing Account signe automatiquement tous les exécutables contenus lorsque le fichier .cab est signé.
Retour en haut de page
Quel certificat de signature de code dois-je utiliser pour la signature d'objet Netscape ?
VeriSign ne propose plus de Code Signing Certificate for Netscape car Netscape a mis un terme aux outils de signature et à l'assistance pour les navigateurs Netscape® 4.x. Pour signer numériquement des fichiers de signature d'objets Netscape, achetez un VeriSign® Code Signing Certificate for Sun Java .
Retour en haut de page
|
