EN
Kod imzalama sertifikası (Code Signing Certificate), yazılım geliştiricilerin ve yayıncıların uygulamalarını, sürücülerini, scriptlerini ve diğer çalıştırılabilir dosyalarını dijital olarak imzalamasını sağlayan bir güvenlik sertifikasıdır. Bu rehberde, 2026 yılı itibarıyla kod imzalama sertifikalarının tüm yönlerini detaylı şekilde ele alıyoruz.
📋 Bu Rehberde Neler Var?
- Kod imzalama sertifikası nedir ve neden gereklidir?
- OV, EV ve Cloud olmak üzere 3 ana sertifika türü karşılaştırması
- Adım adım kurulum ve yapılandırma
- Windows SmartScreen anında güven
- CI/CD pipeline entegrasyonu
- Sertifika seçim rehberi ve fiyatlandırma
- 2026 yılı için güncel CA/Browser Forum gereksinimleri
Kod İmzalama Sertifikası Nedir?
Kod imzalama sertifikası, bir yazılım dosyasına dijital imza ekleyerek iki temel güvence sağlar:
- Bütünlük (Integrity): Yazılımın imzalandıktan sonra değiştirilmediğini garanti eder.
- Kimlik Doğrulama (Authentication): Yazılımı kimin yayınladığını kesin olarak belirler.
Bir kullanıcı imzalanmamış bir yazılımı indirip çalıştırmaya çalıştığında, işletim sistemi "Bilinmeyen yayıncı" uyarısı gösterir. Kod imzalama sertifikası ile imzalanmış yazılımlar ise yayıncı adını açıkça göstererek kullanıcı güvenini artırır.
Kod İmzalama Nasıl Çalışır?
Kod imzalama süreci kriptografik olarak şu adımlarla gerçekleşir:
- Hash Oluşturma: Dosyanın SHA-256 hash değeri hesaplanır.
- Şifreleme: Hash değeri, geliştiricinin özel anahtarı (private key) ile şifrelenir — bu dijital imzadır.
- Sertifika Ekleme: Dijital imza ve sertifika dosyaya gömülür.
- Doğrulama: Son kullanıcının sistemi, sertifikanın genel anahtarı (public key) ile imzayı doğrular.
- Zaman Damgası: RFC 3161 timestamp sunucusu ile imza zamanı kaydedilir — sertifika süresi dolsa bile imza geçerliliğini korur.
Kod İmzalama Sertifikası Türleri
2026 yılı itibarıyla üç ana kod imzalama sertifikası türü bulunmaktadır:
1. OV (Organization Validation) Kod İmzalama
Organizasyon Doğrulamalı kod imzalama sertifikası, en yaygın kullanılan türdür. Sertifika otoritesi (CA), başvuran kuruluşun yasal varlığını doğrular.
| Doğrulama Süresi | 1-3 iş günü |
| Anahtar Depolama | USB Token (FIPS 140-2 Level 2) veya Cloud HSM |
| SmartScreen Güveni | İtibar zamanla oluşur (reputation-based) |
| Uygun Olduğu Durumlar | Küçük/orta ölçekli yazılım firmaları, bağımsız geliştiriciler |
| Fiyat Aralığı | Yıllık ~$70 – $300 |
2. EV (Extended Validation) Kod İmzalama
Genişletilmiş Doğrulamalı kod imzalama sertifikası, en yüksek güvenlik seviyesini sunar. CA/Browser Forum kuralları gereği özel anahtar mutlaka donanımsal güvenlik modülünde (HSM) saklanmalıdır.
| Doğrulama Süresi | 3-7 iş günü (detaylı kuruluş kontrolü) |
| Anahtar Depolama | USB Token (FIPS 140-2 Level 2+) veya Cloud HSM (zorunlu) |
| SmartScreen Güveni | ✅ Anında tam güven (immediate reputation) |
| WHQL Driver İmzalama | ✅ Microsoft Hardware Lab Kit için gerekli |
| Uygun Olduğu Durumlar | Kurumsal yazılım firmaları, driver geliştiriciler, yüksek indirme hacimli uygulamalar |
| Fiyat Aralığı | Yıllık ~$200 – $700 |
⚠️ Önemli: 2023 Haziran'dan itibaren CA/Browser Forum kuralları gereği, tüm OV ve EV kod imzalama sertifikaları için özel anahtarlar FIPS 140-2 Level 2 veya üzeri donanımda saklanmalıdır. Yazılımsal PFX dosyası ile imzalama artık mümkün değildir.
3. Cloud Kod İmzalama
Cloud tabanlı kod imzalama, özel anahtarın bulut HSM'de saklandığı ve imzalama işleminin API üzerinden gerçekleştirildiği modern bir yaklaşımdır. CI/CD pipeline entegrasyonu için idealdir.
| Anahtar Depolama | Cloud HSM (DigiCert KeyLocker, Certum SimplySign, Azure Key Vault vb.) |
| Erişim Yöntemi | REST API, CLI araçları veya CI/CD eklentileri |
| Avantajları | USB token gerektirmez, otomasyon desteği, ekip paylaşımı, fiziksel cihaz kaybı riski yok |
| Uygun Olduğu Durumlar | DevOps ekipleri, CI/CD otomasyonu, uzak çalışma, büyük ölçekli dağıtım |
OV vs EV vs Cloud: Hangi Sertifikayı Seçmeliyim?
Doğru sertifika türünü seçmek, kullanım senaryonuza bağlıdır:
| Özellik | OV | EV | Cloud |
|---|---|---|---|
| SmartScreen Anında Güven | ❌ | ✅ | Türüne göre değişir |
| USB Token Gerekli mi? | Evet | Evet | Hayır |
| CI/CD Uyumluluğu | Sınırlı | Sınırlı | ✅ Tam destek |
| Kernel Driver İmzalama | ❌ | ✅ | EV Cloud ile ✅ |
| Doğrulama Süresi | 1-3 gün | 3-7 gün | 1-7 gün |
| Ekip Paylaşımı | Fiziksel token paylaşımı | Fiziksel token paylaşımı | ✅ Rol tabanlı erişim |
💡 Seçim Rehberi:
- Bireysel geliştirici veya küçük firma: OV Code Signing yeterlidir.
- Yüksek indirme hacimli yazılım veya sürücü geliştiricisi: EV Code Signing tercih edin.
- CI/CD otomasyonu kullanan DevOps ekibi: Cloud Code Signing en uygun seçenektir.
- SmartScreen uyarısı istemiyorsanız: EV veya EV Cloud seçin.
Windows SmartScreen ve Kod İmzalama
Microsoft SmartScreen, Windows kullanıcılarını zararlı yazılımlardan koruyan bir güvenlik filtresidir. Kod imzalama sertifikaları bu sistemle doğrudan ilişkilidir:
- İmzasız yazılım: "Windows bu uygulamayı engelledi" uyarısı gösterilir.
- OV ile imzalı yazılım: İlk başta uyarı gösterebilir; indirme sayısı arttıkça güven kazanır (reputation-based).
- EV ile imzalı yazılım: İlk günden itibaren anında güven sağlar — SmartScreen uyarısı gösterilmez.
Eğer yazılımınız son kullanıcılar tarafından doğrudan indirilip kuruluyorsa ve SmartScreen uyarısından kaçınmak istiyorsanız, EV Code Signing sertifikası önerilir.
Kod İmzalama Sertifikası Kurulumu
Windows'ta SignTool ile İmzalama
En yaygın imzalama yöntemi Microsoft'un SignTool aracıdır. Windows SDK ile birlikte gelir.
# USB Token ile imzalama (SHA-256)
signtool sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /a "MyApplication.exe"
# Belirli bir sertifikayı seçerek imzalama
signtool sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /sha1 THUMBPRINT "MyApp.exe"
# İmzayı doğrulama
signtool verify /pa /v "MyApplication.exe"Java JAR İmzalama
# JAR dosyası imzalama
jarsigner -keystore keystore.jks -tsa http://timestamp.digicert.com myapp.jar alias_name
# İmzayı doğrulama
jarsigner -verify -verbose myapp.jarmacOS codesign ile İmzalama
# Uygulama imzalama
codesign --sign "Developer ID Application: Company Name" --timestamp MyApp.app
# Notarization gönderme
xcrun notarytool submit MyApp.zip --apple-id "dev@company.com" --team-id TEAMID --waitZaman Damgası (Timestamp) Neden Kritik?
Zaman damgası, imzalama anını kriptografik olarak kaydeder. Bu sayede:
- Sertifika süresi dolsa bile, süre dolmadan önce yapılan imzalar geçerli kalır.
- Kullanıcılar yıllar sonra bile yazılımınızı güvenle kullanabilir.
- Yeniden imzalama maliyetinden kurtulursunuz.
Her imzalamada mutlaka RFC 3161 uyumlu bir timestamp sunucusu kullanın:
| Sağlayıcı | Timestamp URL |
|---|---|
| DigiCert | http://timestamp.digicert.com |
| Sectigo | http://timestamp.sectigo.com |
| GlobalSign | http://timestamp.globalsign.com |
| Certum | http://time.certum.pl |
CI/CD Pipeline Entegrasyonu
Modern yazılım geliştirme süreçlerinde CI/CD pipeline içinde otomatik kod imzalama kritik bir adımdır. Cloud kod imzalama sertifikaları bu amaçla tasarlanmıştır.
GitHub Actions Örneği
name: Build and Sign
on: [push]
jobs:
build-sign:
runs-on: windows-latest
steps:
- uses: actions/checkout@v4
- name: Build
run: dotnet publish -c Release -o ./output
- name: Sign with DigiCert KeyLocker
env:
SM_API_KEY: ${{ secrets.SM_API_KEY }}
SM_CLIENT_CERT_FILE: ${{ secrets.SM_CLIENT_CERT }}
run: |
smctl sign --keypair-alias key1 --input ./output/MyApp.exe
signtool verify /pa ./output/MyApp.exeİmzalanabilecek Dosya Türleri
Kod imzalama sertifikası ile imzalanabilecek başlıca dosya formatları:
| Platform | Dosya Türleri |
|---|---|
| Windows | .exe, .dll, .sys, .msi, .msix, .appx, .cab, .cat, .ps1, .ocx |
| macOS | .app, .dmg, .pkg, .kext, .framework |
| Java | .jar, .war, .ear |
| Android | .apk, .aab |
| Linux | .rpm, .deb, ELF binary |
| Konteyner | Docker image, OCI artifact |
Sertifika Otoriteleri (CA) Karşılaştırması
Kod imzalama sertifikası sunan başlıca sertifika otoriteleri:
| CA | Türler | Cloud Desteği | Öne Çıkan Özellik |
|---|---|---|---|
| DigiCert | OV, EV | KeyLocker | Sektör lideri, en hızlı doğrulama |
| Sectigo | OV, EV | Certificate Manager | Uygun fiyat, geniş ürün yelpazesi |
| GlobalSign | OV, EV | Atlas | Kurumsal çözümler, yüksek güvenilirlik |
| Certum | OV, EV | SimplySign | Avrupa merkezli, açık kaynak desteği |
| GoGetSSL | OV, EV | — | En uygun fiyatlı seçenekler |
Kod İmzalama Sertifikası için Gerekli Belgeler
OV Sertifika İçin:
- Ticaret sicil gazetesi veya vergi levhası
- Şirketin yasal adı ve adresi
- Yetkili kişi kimlik bilgisi
- Telefon doğrulaması (bazı CA'lar)
EV Sertifika İçin (Ek Olarak):
- Şirketin en az 3 yıldır aktif olduğunun kanıtı
- DUNS numarası veya eşdeğeri
- İmza yetkisi belgesi
- Yüz yüze veya video doğrulama (bazı CA'lar)
2026 Güncel Gereksinimler ve Değişiklikler
CA/Browser Forum'un kodlama imzalama sertifikaları için belirlediği güncel kurallar:
- Donanımsal anahtar depolama zorunlu: Tüm kod imzalama sertifikaları (OV dahil) için özel anahtarlar FIPS 140-2 Level 2+ donanımda saklanmalıdır.
- Minimum anahtar uzunluğu: RSA 3072-bit veya ECC P-256 (2025'ten itibaren bazı CA'lar 4096-bit zorunlu kılmıştır).
- Maksimum sertifika süresi: 3 yıl (bazı CA'lar 1 veya 2 yıl sunmaktadır).
- Zaman damgası: SHA-256 hash algoritması ile RFC 3161 uyumlu timestamp zorunluluğu.
- Subscriber Key Protection: CA, anahtarın donanımda üretildiğine dair kanıt talep edebilir.
Sık Yapılan Hatalar ve Çözümleri
❌ Hata 1: Zaman damgası kullanmamak
Sertifika süresi dolduğunda tüm imzalar geçersiz olur. Her imzalamada /tr parametresini kullanın.
❌ Hata 2: SHA-1 kullanmak
SHA-1 artık güvenli kabul edilmemektedir. Mutlaka SHA-256 (/fd sha256) kullanın.
❌ Hata 3: Sertifika yedeklememek
USB token kaybolursa veya arızalanırsa, sertifikayı kurtarma imkânınız olmayabilir. Token PIN'inizi güvenli bir yerde saklayın.
❌ Hata 4: İmza sonrası dosyayı değiştirmek
İmzalanan dosya üzerinde herhangi bir değişiklik yapılırsa imza bozulur. Son build'i imzalayın.
Sonuç
Kod imzalama sertifikası, modern yazılım dağıtımının temel güvenlik yapı taşlarından biridir. Doğru sertifika türünü seçmek, düzgün kurulum yapmak ve en iyi güvenlik uygulamalarını takip etmek, hem kullanıcılarınızın hem de yazılımınızın güvenliğini sağlar.
KodImzalama.com olarak DigiCert, Sectigo, GlobalSign, Certum ve GoGetSSL dahil tüm büyük sertifika otoritelerinden OV, EV ve Cloud kod imzalama sertifikalarını en uygun fiyatlarla sunuyoruz. Ürünlerimizi incelemek ve hemen sipariş vermek için ürün kataloğumuzu ziyaret edin.
Kod İmzalama Sertifikası mı Arıyorsunuz?
OV, EV ve Cloud seçenekleri ile yazılımınızı güvence altına alın.
Ürünleri İncele →