代码签名证书 (Code signing certificate) 是数字证书,有助于防止用户下载受感染的文件或应用程序。 如果由开发商签名的文件或应用程序在发布后被修改或受感染,系统会弹出浏览器警告,告知用户该文件或应用程序的来源无法验证。
Code Signing Certificates for Microsoft Authenticode
对 32 位 或 64 位用户模式(.exe、.cab、.dll、.ocx、.msi、.xpi 和 .xap 文件)和内核模式软件进行数字签名。
采用代码签名证书的好处:
1,依靠受信任的证书颁发机构 (CA) 减少安全警告
2,保护您的代码完整性和您的信誉
3,避免国内流氓安全软件企业对软件的误杀误报
工作原理:
开发商使用代码签名证书中的唯一私钥向代码或内容中添加数字签名。
用户下载或遇到已签名代码时,用户的系统软件或应用程序会使用公钥解密该签名。
系统查找含有它所信任或识别的 ID 的“根”证书,以验证该签名。
然后,将对该应用程序进行签名时所用的哈希值与下载的应用程序的哈希值进行比较。
如果系统信任该根证书且哈希值匹配,则继续下载或执行。
如果系统不信任该根证书或哈希值不匹配,那么系统会显示警告并中断下载过程,或下载过程失败。
^
