İnternetten indirmeye çalıştığınız bir yazılıma güvenip güvenemeyeceğinizi nasıl bilebiliriz? Yazılımın gerçekten düşündüğünüz şirket tarafından yayınlandığını veya hiç değiştirilmediğini nasıl anlarız? Elbette kod imzalama sertifikaları sayesinde. Kod imzalama, yazılımı yayınlayanın kimliğini saklar ve yazılım bütünlüğünü korur.
Kod İmzalama Nedir?
Kod İmzalama sertifikası, geliştiricilere kodlarını dijital olarak imzalama olanağı veren bir yazılım parçasıdır ve iki önemli fayda sağlar:
- Yayıncının kimliğini doğrular.
- Yazılımın bütünlüğünü garanti eder.
Web tarayıcılarının yazılımınıza güvenmesinin tek yolu kod imzalama sertifikasıdır.
Web Tarayıcı Filtreleri ve Antivirüs Programları
İnternetten bir şey indirmek çok tehlikeli olma potansiyeline sahiptir. Tek gereken zararlı bir dosya ve bilgisayar olabilirdi. Risk nedeniyle, tarayıcılar ve antivirüs programları, kullanıcının bir şey indirmesine izin vermeden önce belirli kriterlere bakar. Kod imzalama, kötü amaçlı yazılım önleme özelliklerinin, yazılımlara güvenip güvenilmemesi gerektiğini kontrol eden başlıca faktörlerden biridir.
Güvenilir bir Sertifika Yetkilisi'nden (CA) Kod İmzalama sertifikası aldığınızda, yazılımınızı dijital imza ile imzalayabilirsiniz. Web tarayıcı filtresi veya antivirüs programı, dosya indirilmek istenildiğinde, yazılımın güvenilir bir CA tarafından verilen geçerli bir Özel Anahtarla imzalandığını söyleyebilir. CA, sertifikayı vermeden önce sizi kontrol etmek zorundadır. Bu nedenle tarayıcı veya antivirüs programı yazılımınıza güvenebileceğini biliyor.
Yazılımımı Kod İmzalama ile İmzalamazsam Ne Olur?
İmzalanmamış çalıştırılabilir bir yazılım (örneğin exe dosyası) dosyasını indirirken ya da kurmak isteyen herkes, bir uyarı mesajı ile karşılaşır. Çoğunlukla kullanıcılar bu uyarı mesajlarına güvenirler. Bu da yazılımın yükleme oranınızı olumsuz yönde etkileyecektir. Bu uyarı mesajlarını aşmanın tek yolu kod imzalama sertifikası ile kodunuzu imzalamaktır.
Kod İmzalama Nasıl Çalışır?
Geliştirdiğiniz yazılım üzerindeki çalışmayı bitirdiğinizde ve imzalama vakti geldiğinde, Kod İmzalama sertifikanızı ve Özel Anahtarı kullanarak dijital imza uygulayacaksınız. Bu dijital imza, daha sonra kodunuzun geri kalanıyla karıştırılır. Bir kullanıcı yazılımı indirmek istediğinde, İşletim sistemi, web tarayıcısı ve ya antivirüs programı bir dizi kontrol gerçekleştirir:
- Dijital imzayı kontrol edilir ve güvenilir bir Kod İmzalama sertifikasına geri bağlandığından emin olur.
- İmzalama sırasında uygulanan aynı karma(hash) tekniği uygulanır.
- Geçerli karmayı, imzalanan karma ile karşılaştırılır. En ufak bir değişiklikte farklı bir değerle sonuçlandığı için değişiklik yapılıp yapılmadığını tespit edilir.
- Artık, kullanıcının bilgisayarı, yayıncının kimliğini bilir ve yazılımın bütünlüğü korunmuştur.
- Şimdi indirmeye devam edilir ve kullanıcıya yazılımın doğrulanmış yayıncısı gösterilir.
Kod İmzalama Sertifikasının Süresi Biter Mi?
Evet, Kod İmzalama sertifikası güvenlik nedeniyle 1 ile 3 yıl arasında verilir. Kod İmzalama sertifikaları sonsuza kadar geçerli kalsaydı, artık faaliyette olmayan yazılım şirketlerine ait eski sertifikalar ile kötü amaçlara sahip yazılımlar üretilme riskini oluşabilirdi. Bu yüzden sertifikalara son kullanma tarihi vermek çok daha güvenlidir. İmzalama sırasında bir zaman damgası eklediğinizde, dijital imza ile imzalanan yazılım sonsuza kadar çalışmaya devam edecektir. Zaman damgası, sertifikanın geçerli olduğu sırada yazılımın imzalandığına dair istemci kanıtını sağlamasıdır. Zaman damgası olmadan bir yazılım imzalanırsa, dijital imza sertifikasının süresi sonunda tekrar uyarı mesajları çıkmaya başlayacaktır.
Kod İmzalama Sertifikaları Tüm Platformlarda Çalışır Mı?
Kod imzalama sertifikaları genel olarak çoğu platformda çalışacaktır. En önemli istisna Apple, iOS ve macOS platformlarıdır. Apple, doğrudan onlardan bir .p15 sertifikası satın almanızı gerektirir. Diğer birçok platfomlar, Microsoft Windows, Microsoft Office, Adobe AIR, Java ve Mozilla dahil olmak üzere ortak platformlar kod imzalama kullanılır.
Sizde geliştirdiğiniz yazılımlarda dijital imzala oluşturmak isterseniz, Kod İmzalama Sertifikalarımıza göz atabilirsiniz.