Comment le Code Signing fonctionne-t-il?

Le processus de signature de code est similaire à celui des certificats SSL/TLS: il requiert l'utilisation d'une paire de clés de chiffrement, une privée et une publique, pour identifier et authentifier à la fois vous-même et votre code. La meilleure façon, et la plus sûre, d'obtenir une clé privée est de faire une demande de certificat auprès d'une autorité de certification (CA) approuvée, telle que DigiCert, qui vous fera passer par un processus d'authentification. Une fois votre certificat obtenu, vous pouvez générer votre clé privée. Le choix de votre CA est important car il peut influer sur la portée de la distribution de votre logiciel. DigiCert, par exemple, fournit des certificats à un large éventail de plateformes pour ordinateurs de bureau et appareils mobiles, notamment Windows Phone et Android.

Vous signez ensuite votre fichier exécutable ou bibliothèque de logiciels à l'aide de votre clé privée qui peut être déverrouillée uniquement par des clés publiques traçables par la CA et préinstallées sur la plupart des navigateurs. Si votre code a été falsifié après sa signature, la clé publique ne pourra pas vérifier l'authenticité de la signature de votre clé privée et le navigateur émettra un avertissement à quiconque essayera de la télécharger. Si le code est intact, l'internaute pourra télécharger votre fichier en toute transparence. C'est aussi simple que ça.