O Que É um Certificado de Assinatura de Código?
Um certificado de assinatura de código é um certificado X.509 emitido para quem publica um software e usado para anexar uma assinatura criptográfica a binários, instaladores ou scripts. A assinatura permite que usuários e sistemas operacionais verifiquem quem produziu o software e confirmem que ele não foi adulterado desde a assinatura. Muitas plataformas alertam sobre ou bloqueiam executáveis sem assinatura.
Por que isso importa
Sem uma assinatura válida, os usuários não têm como saber se um download veio de quem realmente o publicou ou de um atacante, e os sistemas operacionais recusam cada vez mais executar código sem assinatura. Proteger a chave de assinatura é essencial, e por isso a assinatura costuma acontecer em um step isolado de CI, com a chave em um módulo de hardware ou em um serviço seguro de chaves.
Conceitos relacionados
- Verifica a identidade de quem publica e a integridade
- Chaves de assinatura precisam ser rigorosamente protegidas
- A assinatura sem chave (keyless) evita chaves de certificado de vida longa