โœ๏ธ
blog.cat.ssl

Code Signing sertifikat: dasturiy ta'minot va kod imzolash uchun maxsus SSL

10.01.2036
โ† Barcha maqolalar

Code Signing sertifikat โ€” bu odatdagi web SSL sertifikatlardan tubdan farq qiluvchi maxsus turdagi raqamli sertifikat. Uning vazifasi sayt himoyasi emas, balki dasturiy ta'minotning haqiqiyligini tasdiqlash hisoblanadi. Dasturchi yangi dastur, drayver, mobil ilova yoki PowerShell skriptini foydalanuvchilarga tarqatganda, uni Code Signing sertifikat bilan imzolab yuboradi. Bu imzo ikki muhim narsani kafolatlaydi: birinchidan, dasturning haqiqiy muallifi kim ekanligini, ikkinchidan, dastur tarqatish jarayonida hech kim tomonidan o'zgartirilmaganini. Bu zamonaviy operatsion tizimlar va antivirus dasturlari uchun juda muhim, chunki imzolanmagan dastur ko'pincha zararli deb belgilanadi.

Code Signing turlari va validatsiya darajalari

Code Signing sertifikatlarining ikki asosiy turi mavjud: Standard va Extended Validation, qisqacha EV. Standard sertifikat oddiy validatsiyadan o'tadi va asosan kichik dasturchilar va ochiq manbali loyihalar uchun mos keladi. EV Code Signing sertifikat esa kuchaytirilgan validatsiyadan o'tadi va kompaniya hujjatlari, biznes registratsiyasi va boshqa rasmiy ma'lumotlar tekshiriladi. EV sertifikat alohida USB token shaklida yetkazib beriladi, bu xavfsizlikni keskin oshiradi. Microsoft SmartScreen filtri faqat EV sertifikat bilan imzolangan dasturlarni darhol ishonchli deb biladi, Standard sertifikat bilan imzolanganlar esa ma'lum bir muddatdan keyin ishonchli darajaga ko'tariladi.

Code Signing qaysi formatlarda ishlaydi

Code Signing sertifikati juda ko'p turdagi fayllarni imzolash uchun ishlatilishi mumkin. Eng ko'p tarqalganlari: Windows executable fayllar EXE va DLL, Microsoft Installer paketlar MSI, ActiveX komponentlari, Java JAR fayllar, Adobe AIR ilovalari, Apple Mac dasturlari, Microsoft Office makroslar va PowerShell skriptlari. Mobil ilovalar uchun esa Android APK fayllar Google Play uchun, iOS ilovalar esa Apple Developer sertifikati orqali imzolanadi. Drayverlar uchun esa Microsoft tomonidan tasdiqlangan maxsus jarayon mavjud, u WHQL deb ataladi va Code Signing sertifikatdan tashqari qo'shimcha sinovlardan o'tishni talab qiladi.

Code Signing imzolash jarayoni

Imzolash jarayoni odatda buyruq satri vositalari yordamida amalga oshiriladi. Windows uchun signtool.exe vositasi ishlatiladi, u Windows SDK ichida keladi. Buyruq orqali sertifikat fayli, vaqt belgisi serveri va imzolanadigan fayl ko'rsatiladi. Vaqt belgisi yoki timestamp juda muhim, chunki sertifikat amal qilish muddati tugaganidan keyin ham vaqt belgisi bo'lgan imzolar amal qilishda davom etadi. Mac uchun codesign vositasi, Java uchun jarsigner ishlatiladi. Avtomatlashtirilgan CI/CD pipeline'larda imzolash jarayoni odatda build qadamining oxirgi bosqichi sifatida bajariladi.

EV USB token va xavfsizlik

EV Code Signing sertifikati majburiy ravishda apparat token, ya'ni FIPS 140-2 standartiga mos USB qurilma shaklida yetkazib beriladi. Bu xavfsizlikni juda kuchli darajaga ko'taradi, chunki sertifikat va xususiy kalit USB tokendan tashqariga chiqarib bo'lmaydi. Hatto kompyuter zararlangan bo'lsa ham, hacker faqat token ulangan paytda dastur imzolashi mumkin, lekin sertifikatni o'g'irlay olmaydi. Token uchun maxsus PIN kod kiritiladi va u har bir imzolash jarayonida talab qilinadi. Tokeni yo'qotgan taqdirda sertifikat darhol bekor qilinishi va yangidan olinishi kerak.

Sayt.uz amaliyot

Sayt.uz orqali Code Signing sertifikatlarini olish va o'rnatish bo'yicha to'liq xizmat ko'rsatiladi. Sectigo Standard Code Signing sertifikati 890 ming so'm dan, DigiCert Standard 1 million 290 ming so'm dan boshlanadi. EV Code Signing sertifikatlari 2 million 490 ming so'm dan boshlanadi va USB token yetkazib berish bilan birga keladi. Mijozlarning 94 foizi 3 ish kunida sertifikatni qo'lga oladi, EV uchun esa validatsiya jarayoni 5-10 ish kuni davom etadi. Bizning mutaxassislarimiz CI/CD pipeline'larda imzolashni avtomatlashtirish bo'yicha konsalting xizmati 290 ming so'm dan ko'rsatadi.

O'xshash maqolalar

๐Ÿ“ฑ SSL pinning: mobil ilovalarda MITM hujumlardan himoyaning eng samarali usuli ๐Ÿค SSL handshake jarayoni: TLS muloqotining ichki mexanikasi va bosqichlari ๐Ÿ”“ HTTPS yashil qulf yo'qoldi: sabablar ro'yxati va bosqichma-bosqich tuzatish โฐ SSL sertifikat muddatini kuzatish: monitoring tizimlari va ogohlantirish xizmatlari
๐ŸŒ Til
๐Ÿ‡บ๐Ÿ‡ฟ O'zbek โœ“ ๐Ÿ‡บ๐Ÿ‡ฟ ะŽะทะฑะตะบ ๐Ÿ‡ท๐Ÿ‡บ ะ ัƒััะบะธะน ๐Ÿ‡ฌ๐Ÿ‡ง English