Certificado CODE Signing
Um certificado CODE, oficialmente certificado Code Signing, é um certificado digital utilizado para assinar aplicações, scripts, drivers e outro software distribuído pela internet. A assinatura digital comprova quem publicou o software e garante que o código não foi alterado desde a assinatura. Vamos conhecer os certificados CODE.
Conteúdo do artigo
- O que é um certificado CODE?
- Como funciona a assinatura de código?
- Porquê assinar o seu software?
- Tipos de certificados CODE
- Certificados CODE e o Windows SmartScreen
- Cloud Code Signing
O que é um certificado CODE?
Um certificado Code Signing é um certificado digital emitido a um editor de software – uma empresa ou um programador individual – por uma autoridade de certificação (CA) de confiança. Enquanto um certificado SSL/TLS protege a comunicação entre o navegador e o servidor web, um certificado CODE protege o próprio software. O programador utiliza-o para apor uma assinatura digital a ficheiros executáveis, instaladores, scripts, macros, drivers ou firmware antes da sua distribuição.
A autoridade de certificação emite um certificado CODE apenas após verificar a existência da empresa ou a identidade do programador. Graças a esta validação, a assinatura identifica claramente o editor, e tanto o utilizador como o sistema operativo podem ter a certeza de que o software é autêntico e não foi modificado de forma alguma durante a distribuição (Code signing – wiki).
Como funciona a assinatura de código?
A assinatura de código baseia-se na criptografia assimétrica, o mesmo princípio utilizado pelos certificados SSL. O programador possui um par de chaves – uma chave privada e uma chave pública. Ao assinar, é criada uma impressão digital única (hash) do ficheiro da aplicação, que é encriptada com a chave privada do programador. O resultado, juntamente com o certificado, é anexado ao ficheiro como assinatura digital.
Quando um utilizador descarrega a aplicação, o sistema operativo verifica a assinatura: desencripta a impressão digital com a chave pública do certificado e compara-a com a impressão digital real do ficheiro. Se coincidirem, o código está intacto e provém do editor indicado no certificado. Se um único byte da aplicação tiver sido alterado, a verificação falha e o sistema avisa o utilizador.
O software não assinado é hoje praticamente impossível de distribuir. Os mecanismos de segurança da Microsoft, como o Defender SmartScreen e o Smart App Control, bloqueiam sem compromissos as aplicações descarregadas não assinadas e avisam os utilizadores contra a sua execução. Um certificado CODE é, por isso, uma ferramenta essencial para todas as empresas de software e programadores.
Assinar o código não altera o software em si. Apenas anexa a assinatura digital ao ficheiro executável. Uma parte importante da assinatura é o carimbo de data/hora (timestamp), que comprova que o código foi assinado durante a validade do certificado. Uma assinatura com carimbo de data/hora permanece fiável mesmo depois de o próprio certificado expirar.
Porquê assinar o seu software?
Todos os editores de software que distribuem código ou conteúdos pela internet precisam de um certificado CODE. O código distribuído dentro de uma empresa através da intranet também deve ser assinado devido às políticas de sistemas operativos como o Windows e o macOS. Todos os sistemas modernos preferem código assinado para proteger os utilizadores e impedir a propagação de software malicioso.
Vantagens de um certificado CODE
- Comprova a identidade do editor do software
- Garante a integridade do código – o software não foi alterado
- Elimina os avisos de "Editor desconhecido" durante a instalação
- Protege o seu nome e a sua marca contra a utilização indevida em software contrafeito
- Aumenta a confiança dos utilizadores, os downloads e as vendas
- Funciona para aplicações Windows e macOS
O que um certificado CODE não faz
- Não encripta a aplicação nem os seus dados
- Não garante que o código esteja isento de erros
- Não substitui um certificado SSL para o seu site
- Não cria instantaneamente reputação no SmartScreen
Tipos de certificados CODE
Os certificados CODE diferem no nível de validação do editor. Ao contrário dos certificados SSL, não existe uma variante com validação de domínio – a autoridade de certificação verifica sempre o requerente.
Standard Code Signing (OV)
O certificado Code Signing standard com validação da organização (OV) é emitido a empresas e organizações. A autoridade de certificação verifica a existência da empresa nos registos públicos, a sua morada e a autorização do requerente. A assinatura apresenta então o nome verificado da empresa como editor (CN).
O certificado CODE mais vendido atualmente é o certificado Cloud CODE da autoridade de certificação Certum.
Code Signing para particulares
Os programadores independentes sem empresa registada podem obter um certificado Code Signing para programador individual. A autoridade de certificação verifica a identidade do programador através de um documento de identificação. A assinatura apresenta então o nome verificado do programador como editor. Este certificado CODE tem propriedades idênticas às do Standard Code Signing
EV Code Signing
Os certificados EV Code Signing oferecem o nível mais elevado e alargado de validação da empresa (Extended Validation). São exigidos para assinar drivers em modo kernel e componentes de sistema para o Microsoft Windows. Destinam-se sobretudo a fabricantes de hardware, criadores de software de sistema e organizações que exigem o nível máximo de validação da empresa.
Certificados CODE e o Windows SmartScreen
O Microsoft Defender SmartScreen é uma tecnologia baseada na reputação que protege os utilizadores do Windows ao descarregar ficheiros da internet. Se uma aplicação não tiver reputação suficiente, o SmartScreen apresenta um aviso antes de a executar – mesmo que a aplicação esteja assinada. A reputação é construída com o número de instalações e está associada não só ao próprio software, mas também ao certificado Code Signing utilizado na assinatura.
Uma vez estabelecida a reputação e quando as instalações passam automaticamente pelo SmartScreen, as novas versões da aplicação podem ser assinadas com o mesmo certificado CODE e tudo funciona sem problemas. No entanto, ao utilizar um certificado novo ou renovado, a reputação tem de ser construída novamente.
No passado, os certificados EV Code proporcionavam uma reputação SmartScreen imediata. Na sequência das atualizações de segurança do Windows lançadas na primavera de 2026, a Microsoft alterou as suas políticas e trata agora os certificados EV Code de forma semelhante aos certificados OV standard – a reputação também tem de ser construída para os certificados EV Code Signing. Encontrará mais detalhes na página Filtro Windows SmartScreen.
Cloud Code Signing
Como a chave privada de um certificado CODE tem de ser guardada em hardware certificado, as autoridades de certificação enviavam tradicionalmente os certificados em tokens USB físicos. O Cloud Code Signing elimina esta complicação: a chave privada é gerada e guardada na infraestrutura HSM segura da autoridade de certificação, e o programador assina o código remotamente – a partir de qualquer lugar, imediatamente após a emissão do certificado e sem esperar pela entrega de um token.
De acordo com os requisitos do CA/Browser Forum, a chave privada de um certificado CODE tem de ser guardada em hardware certificado (um token físico ou um módulo HSM). Por isso, os certificados CODE modernos são emitidos sobretudo como certificados cloud, em que a chave é guardada em segurança no HSM da autoridade de certificação e o programador assina remotamente – sem envio de tokens e sem hardware para gerir.
Um exemplo típico é o serviço Certum SimplySign, em que a assinatura é autorizada através de uma aplicação móvel e funciona com ferramentas standard como o Microsoft SignTool. Alguns certificados Cloud CODE podem ser integrados em pipelines de build CI/CD, o que os torna uma escolha prática e económica para os programadores de hoje.
Certificados CODE no projeto SSLmentor
No nosso site encontrará certificados CODE Signing fiáveis das autoridades de certificação mundialmente reconhecidas DigiCert, Sectigo e Certum. Para a maioria dos programadores, recomendamos os certificados Cloud Code da autoridade de certificação europeia Certum, que oferecemos ao melhor preço do mercado.
Para onde ir a seguir?
Voltar para Ajuda
Encontrou um erro ou não entendeu algo? Escreva para nós!
