SSLmentor

Kwaliteit TLS/SSL-certificaten voor websites en internetprojecten.

CODE-certificaat

CODE-certificaat

CODE Signing-certificaat

Een CODE-certificaat, officieel een Code Signing-certificaat, is een digitaal certificaat waarmee applicaties, scripts, drivers en andere via internet verspreide software worden ondertekend. De digitale handtekening bewijst wie de software heeft uitgegeven en garandeert dat de code sinds de ondertekening niet is gewijzigd. Laten we de CODE-certificaten nader bekijken.

Wat is een CODE-certificaat?

Een Code Signing-certificaat is een digitaal certificaat dat door een vertrouwde certificeringsautoriteit (CA) wordt uitgegeven aan een software-uitgever – een bedrijf of een individuele ontwikkelaar. Waar een SSL/TLS-certificaat de communicatie tussen browser en webserver beveiligt, beveiligt een CODE-certificaat de software zelf. De ontwikkelaar gebruikt het om uitvoerbare bestanden, installatieprogramma's, scripts, macro's, drivers of firmware vóór distributie van een digitale handtekening te voorzien.

De certificeringsautoriteit geeft een CODE-certificaat pas uit na verificatie van het bestaan van het bedrijf of de identiteit van de ontwikkelaar. Dankzij deze validatie identificeert de handtekening de uitgever ondubbelzinnig en kunnen zowel de gebruiker als het besturingssysteem er zeker van zijn dat de software authentiek is en tijdens de distributie op geen enkele manier is gewijzigd (Code signing – wiki).

CODE signing

Hoe werkt code signing?

Code signing is gebaseerd op asymmetrische cryptografie, hetzelfde principe als bij SSL-certificaten. De ontwikkelaar bezit een sleutelpaar – een privésleutel en een publieke sleutel. Bij het ondertekenen wordt een unieke vingerafdruk (hash) van het applicatiebestand gemaakt en versleuteld met de privésleutel van de ontwikkelaar. Het resultaat wordt samen met het certificaat als digitale handtekening aan het bestand toegevoegd.

Wanneer een gebruiker de applicatie downloadt, verifieert het besturingssysteem de handtekening: het ontsleutelt de vingerafdruk met de publieke sleutel uit het certificaat en vergelijkt deze met de werkelijke vingerafdruk van het bestand. Komen ze overeen, dan is de code intact en afkomstig van de in het certificaat vermelde uitgever. Is er ook maar één byte van de applicatie gewijzigd, dan mislukt de verificatie en waarschuwt het systeem de gebruiker.

Niet-ondertekende software is tegenwoordig praktisch niet meer te verspreiden. Beveiligingsmechanismen van Microsoft zoals Defender SmartScreen en Smart App Control blokkeren compromisloos niet-ondertekende gedownloade applicaties en waarschuwen gebruikers tegen het uitvoeren ervan. Een CODE-certificaat is daarom een onmisbaar hulpmiddel voor elk softwarebedrijf en elke ontwikkelaar.

Het ondertekenen van de code verandert de software zelf niet. Het voegt alleen de digitale handtekening aan het uitvoerbare bestand toe. Een belangrijk onderdeel van de handtekening is de tijdstempel (timestamp), die bewijst dat de code is ondertekend terwijl het certificaat geldig was. Een handtekening met tijdstempel blijft vertrouwd, zelfs nadat het certificaat zelf is verlopen.

Waarom uw software ondertekenen?

Elke software-uitgever die code of content via internet verspreidt, heeft een CODE-certificaat nodig. Ook code die binnen een bedrijf via het intranet wordt verspreid, moet vanwege het beleid van besturingssystemen zoals Windows en macOS worden ondertekend. Alle moderne systemen geven de voorkeur aan ondertekende code om gebruikers te beschermen en de verspreiding van schadelijke software te voorkomen.

Voordelen van een CODE-certificaat
  • Bewijst de identiteit van de software-uitgever
  • Garandeert de integriteit van de code – de software is niet gewijzigd
  • Verwijdert de waarschuwing "Onbekende uitgever" tijdens de installatie
  • Beschermt uw naam en merk tegen misbruik voor vervalste software
  • Verhoogt het vertrouwen van gebruikers, downloads en verkoop
  • Werkt voor Windows- en macOS-applicaties
Wat een CODE-certificaat niet doet
  • Het versleutelt de applicatie of haar gegevens niet
  • Het garandeert niet dat de code vrij van fouten is
  • Het vervangt geen SSL-certificaat voor uw website
  • Het bouwt niet direct SmartScreen-reputatie op

Soorten CODE-certificaten

CODE-certificaten verschillen in het niveau van uitgeversvalidatie. In tegenstelling tot SSL-certificaten bestaat er geen domein-gevalideerde variant – de certificeringsautoriteit verifieert altijd de aanvrager.

Standard Code Signing (OV)

Het standaard Code Signing-certificaat met organisatievalidatie (OV) wordt uitgegeven aan bedrijven en organisaties. De certificeringsautoriteit verifieert het bestaan van het bedrijf in openbare registers, het adres en de bevoegdheid van de aanvrager. De handtekening toont vervolgens de geverifieerde bedrijfsnaam als uitgever (CN).
Het best verkochte CODE-certificaat van dit moment is het Cloud CODE-certificaat van certificeringsautoriteit Certum.

Code Signing voor particulieren

Onafhankelijke ontwikkelaars zonder geregistreerd bedrijf kunnen een Code Signing-certificaat voor individuele ontwikkelaars aanvragen. De certificeringsautoriteit verifieert de identiteit van de ontwikkelaar aan de hand van een identiteitsbewijs. De handtekening toont vervolgens de geverifieerde naam van de ontwikkelaar als uitgever. Dit CODE-certificaat heeft identieke eigenschappen als Standard Code Signing

EV Code Signing

EV Code Signing-certificaten bieden het hoogste, uitgebreide niveau van bedrijfsvalidatie (Extended Validation). Ze zijn vereist voor het ondertekenen van kernel-mode drivers en systeemcomponenten voor Microsoft Windows. Ze zijn vooral bedoeld voor hardwareontwikkelaars, ontwikkelaars van systeemsoftware en organisaties die het hoogste niveau van bedrijfsvalidatie nodig hebben.

CODE-certificaten en Windows SmartScreen

Microsoft Defender SmartScreen is een op reputatie gebaseerde technologie die Windows-gebruikers beschermt bij het downloaden van bestanden van internet. Heeft een applicatie onvoldoende reputatie, dan toont SmartScreen een waarschuwing voordat deze wordt uitgevoerd – zelfs als de applicatie is ondertekend. De reputatie wordt opgebouwd met het aantal installaties en is niet alleen gekoppeld aan de software zelf, maar ook aan het Code Signing-certificaat waarmee is ondertekend.

Zodra de reputatie is opgebouwd en installaties SmartScreen automatisch passeren, kunnen nieuwe versies van de applicatie met hetzelfde CODE-certificaat worden ondertekend en werkt alles soepel. Bij gebruik van een nieuw of verlengd certificaat moet de reputatie echter opnieuw worden opgebouwd.

Vroeger zorgden EV Code-certificaten voor een directe SmartScreen-reputatie. Na de in het voorjaar van 2026 uitgebrachte Windows-beveiligingsupdates heeft Microsoft zijn beleid gewijzigd en behandelt het EV Code-certificaten nu vergelijkbaar met standaard OV-certificaten – ook voor EV Code Signing-certificaten moet reputatie worden opgebouwd. Meer details vindt u op de pagina Windows SmartScreen-filter.

Cloud Code Signing

Omdat de privésleutel van een CODE-certificaat op gecertificeerde hardware moet worden opgeslagen, leverden certificeringsautoriteiten certificaten van oudsher op fysieke USB-tokens. Cloud Code Signing neemt deze complicatie weg: de privésleutel wordt gegenereerd en opgeslagen in de beveiligde HSM-infrastructuur van de certificeringsautoriteit en de ontwikkelaar ondertekent de code op afstand – vanaf elke locatie, direct na uitgifte van het certificaat en zonder te wachten op de levering van een token.

Volgens de eisen van het CA/Browser Forum moet de privésleutel van een CODE-certificaat op gecertificeerde hardware worden opgeslagen (een fysieke token of een HSM-module). Daarom worden moderne CODE-certificaten voornamelijk uitgegeven als cloudcertificaten, waarbij de sleutel veilig in de HSM van de certificeringsautoriteit wordt bewaard en de ontwikkelaar op afstand ondertekent – zonder verzending van tokens en zonder hardwarebeheer.

Een typisch voorbeeld is de dienst Certum SimplySign, waarbij het ondertekenen via een mobiele app wordt geautoriseerd en die werkt met standaardtools zoals Microsoft SignTool. Sommige Cloud CODE-certificaten kunnen in CI/CD-buildpipelines worden geïntegreerd, wat ze tot een praktische en voordelige keuze voor de hedendaagse ontwikkelaar maakt.

CODE-certificaten op het SSLmentor-project

Op onze website vindt u vertrouwde CODE signing-certificaten van de wereldwijd vertrouwde certificeringsautoriteiten DigiCert, Sectigo en Certum. Voor de meeste ontwikkelaars raden wij de Cloud Code-certificaten van de Europese certificeringsautoriteit Certum aan, die wij tegen de beste prijs op de markt aanbieden.

Terug naar Help
Een fout gevonden of iets niet begrepen? Schrijf ons!

CA Sectigo
CA RapidSSL
CA Thawte
CA GeoTrust
CA DigiCert
CA Certum