CODE Signing Zertifikat
Ein CODE-Zertifikat, offiziell Code-Signing-Zertifikat, ist ein digitales Zertifikat zum Signieren von Anwendungen, Skripten, Treibern und anderer über das Internet verbreiteter Software. Die digitale Signatur belegt, wer die Software veröffentlicht hat, und garantiert, dass der Code seit der Signierung nicht verändert wurde. Schauen wir uns CODE-Zertifikate genauer an.
Inhalt des Artikels
- Was ist ein CODE-Zertifikat?
- Wie funktioniert Code Signing?
- Warum sollten Sie Ihre Software signieren?
- Arten von CODE-Zertifikaten
- CODE-Zertifikate und Windows SmartScreen
- Cloud Code Signing
Was ist ein CODE-Zertifikat?
Ein Code-Signing-Zertifikat ist ein digitales Zertifikat, das einem Softwarehersteller – einem Unternehmen oder einem einzelnen Entwickler – von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wird. Während ein SSL/TLS-Zertifikat die Kommunikation zwischen Browser und Webserver absichert, sichert ein CODE-Zertifikat die Software selbst. Der Entwickler versieht damit ausführbare Dateien, Installer, Skripte, Makros, Treiber oder Firmware vor der Verteilung mit einer digitalen Signatur.
Die Zertifizierungsstelle stellt ein CODE-Zertifikat erst nach Prüfung der Existenz des Unternehmens bzw. der Identität des Entwicklers aus. Dank dieser Validierung identifiziert die Signatur den Herausgeber eindeutig, und sowohl der Benutzer als auch das Betriebssystem können sicher sein, dass die Software authentisch ist und während der Verteilung in keiner Weise verändert wurde (Code signing – wiki).
Wie funktioniert Code Signing?
Code Signing basiert auf asymmetrischer Kryptographie, demselben Prinzip wie bei SSL-Zertifikaten. Der Entwickler besitzt ein Schlüsselpaar – einen privaten und einen öffentlichen Schlüssel. Beim Signieren wird ein eindeutiger Fingerabdruck (Hash) der Anwendungsdatei erstellt und mit dem privaten Schlüssel des Entwicklers verschlüsselt. Das Ergebnis wird zusammen mit dem Zertifikat als digitale Signatur an die Datei angehängt.
Lädt ein Benutzer die Anwendung herunter, prüft das Betriebssystem die Signatur: Es entschlüsselt den Fingerabdruck mit dem öffentlichen Schlüssel aus dem Zertifikat und vergleicht ihn mit dem tatsächlichen Fingerabdruck der Datei. Stimmen beide überein, ist der Code unversehrt und stammt vom im Zertifikat angegebenen Herausgeber. Wurde auch nur ein einziges Byte der Anwendung verändert, schlägt die Prüfung fehl und das System warnt den Benutzer.
Unsignierte Software ist heute praktisch nicht mehr verbreitbar. Microsoft-Sicherheitsmechanismen wie Defender SmartScreen und Smart App Control blockieren kompromisslos unsignierte heruntergeladene Anwendungen und warnen Benutzer vor deren Ausführung. Ein CODE-Zertifikat ist daher ein unverzichtbares Werkzeug für jedes Softwareunternehmen und jeden Entwickler.
Das Signieren des Codes verändert die Software selbst nicht. Es hängt lediglich die digitale Signatur an die ausführbare Datei an. Ein wichtiger Bestandteil der Signatur ist der Zeitstempel (Timestamp), der belegt, dass der Code während der Gültigkeit des Zertifikats signiert wurde. Eine Signatur mit Zeitstempel bleibt auch nach Ablauf des Zertifikats selbst vertrauenswürdig.
Warum sollten Sie Ihre Software signieren?
Jeder Softwarehersteller, der Code oder Inhalte über das Internet verbreitet, benötigt ein CODE-Zertifikat. Auch Code, der innerhalb eines Unternehmens über das Intranet verteilt wird, sollte aufgrund der Richtlinien von Betriebssystemen wie Windows und macOS signiert werden. Alle modernen Systeme bevorzugen signierten Code, um Benutzer zu schützen und die Verbreitung von Schadsoftware zu verhindern.
Vorteile eines CODE-Zertifikats
- Belegt die Identität des Softwareherausgebers
- Garantiert die Integrität des Codes – die Software wurde nicht verändert
- Beseitigt die Warnung "Unbekannter Herausgeber" bei der Installation
- Schützt Ihren Namen und Ihre Marke vor Missbrauch für gefälschte Software
- Erhöht das Vertrauen der Benutzer, Downloads und Verkäufe
- Funktioniert für Windows- und macOS-Anwendungen
Was ein CODE-Zertifikat nicht leistet
- Es verschlüsselt weder die Anwendung noch ihre Daten
- Es garantiert nicht, dass der Code fehlerfrei ist
- Es ersetzt kein SSL-Zertifikat für Ihre Website
- Es baut nicht sofort eine SmartScreen-Reputation auf
Arten von CODE-Zertifikaten
CODE-Zertifikate unterscheiden sich im Grad der Herausgeber-Validierung. Anders als bei SSL-Zertifikaten gibt es keine domainvalidierte Variante – die Zertifizierungsstelle prüft immer den Antragsteller.
Standard Code Signing (OV)
Das Standard-Code-Signing-Zertifikat mit Organisationsvalidierung (OV) wird an Unternehmen und Organisationen ausgestellt. Die Zertifizierungsstelle prüft die Existenz des Unternehmens in öffentlichen Registern, dessen Adresse und die Berechtigung des Antragstellers. Die Signatur zeigt dann den geprüften Firmennamen als Herausgeber (CN) an.
Das meistverkaufte CODE-Zertifikat ist heute das Cloud-CODE-Zertifikat der Zertifizierungsstelle Certum.
Code Signing für Einzelpersonen
Unabhängige Entwickler ohne eingetragenes Unternehmen können ein Code-Signing-Zertifikat für Individual Developer erhalten. Die Zertifizierungsstelle prüft die Identität des Entwicklers anhand eines Ausweisdokuments. Die Signatur zeigt dann den geprüften Namen des Entwicklers als Herausgeber an. Dieses CODE-Zertifikat hat identische Eigenschaften wie Standard Code Signing
EV Code Signing
EV-Code-Signing-Zertifikate bieten die höchste, erweiterte Stufe der Unternehmensvalidierung (Extended Validation). Sie sind für das Signieren von Kernel-Mode-Treibern und Systemkomponenten für Microsoft Windows erforderlich. Sie richten sich vor allem an Hardwareentwickler, Entwickler von Systemsoftware und Organisationen, die die höchste Stufe der Unternehmensvalidierung benötigen.
CODE-Zertifikate und Windows SmartScreen
Microsoft Defender SmartScreen ist eine reputationsbasierte Technologie, die Windows-Benutzer beim Herunterladen von Dateien aus dem Internet schützt. Hat eine Anwendung keine ausreichende Reputation, zeigt SmartScreen vor deren Ausführung eine Warnung an – selbst wenn die Anwendung signiert ist. Die Reputation wird mit der Anzahl der Installationen aufgebaut und ist nicht nur an die Software selbst, sondern auch an das zum Signieren verwendete Code-Signing-Zertifikat gebunden.
Sobald eine Reputation aufgebaut ist und Installationen SmartScreen automatisch passieren, können neue Versionen der Anwendung mit demselben CODE-Zertifikat signiert werden und alles funktioniert reibungslos. Bei Verwendung eines neuen oder erneuerten Zertifikats muss die Reputation jedoch neu aufgebaut werden.
In der Vergangenheit verschafften EV-Code-Zertifikate eine sofortige SmartScreen-Reputation. Nach den im Frühjahr 2026 veröffentlichten Windows-Sicherheitsupdates hat Microsoft seine Richtlinien geändert und behandelt EV-Code-Zertifikate nun ähnlich wie Standard-OV-Zertifikate – auch für EV-Code-Signing-Zertifikate muss die Reputation aufgebaut werden. Weitere Details finden Sie auf der Seite Windows-SmartScreen-Filter.
Cloud Code Signing
Da der private Schlüssel eines CODE-Zertifikats auf zertifizierter Hardware gespeichert werden muss, lieferten Zertifizierungsstellen die Zertifikate traditionell auf physischen USB-Token aus. Cloud Code Signing beseitigt diese Komplikation: Der private Schlüssel wird in der sicheren HSM-Infrastruktur der Zertifizierungsstelle erzeugt und gespeichert, und der Entwickler signiert den Code aus der Ferne – von überall, sofort nach Ausstellung des Zertifikats und ohne auf die Lieferung eines Tokens zu warten.
Gemäß den Anforderungen des CA/Browser Forums muss der private Schlüssel eines CODE-Zertifikats auf zertifizierter Hardware (einem physischen Token oder einem HSM-Modul) gespeichert werden. Deshalb werden moderne CODE-Zertifikate vor allem als Cloud-Zertifikate ausgestellt, bei denen der Schlüssel sicher im HSM der Zertifizierungsstelle liegt und der Entwickler aus der Ferne signiert – ohne Token-Versand und ohne Hardwareverwaltung.
Ein typisches Beispiel ist der Dienst Certum SimplySign, bei dem das Signieren über eine mobile App autorisiert wird und der mit Standardwerkzeugen wie Microsoft SignTool funktioniert. Einige Cloud-CODE-Zertifikate lassen sich in CI/CD-Build-Pipelines integrieren und sind damit eine praktische und kostengünstige Wahl für heutige Entwickler.
CODE-Zertifikate im SSLmentor-Projekt
Auf unserer Website finden Sie vertrauenswürdige CODE-Signing-Zertifikate der weltweit vertrauenswürdigen Zertifizierungsstellen DigiCert, Sectigo und Certum. Den meisten Entwicklern empfehlen wir die Cloud-Code-Zertifikate der europäischen Zertifizierungsstelle Certum, die wir zum besten Preis auf dem Markt anbieten.
Wohin als Nächstes?
Zurück zur Infozentrum
Fehler gefunden oder etwas nicht verstanden? Schreiben Sie uns!
