「コードサイニング証明書とは、ソフトウェアにデジタル署名を行う電子署名用の証明書」のこと。
実行ファイルにデジタル署名をしていないと「発行元:不明」として表示され、デジタル署名をしていると「確認済みの発行元:英語表記の会社名」と表示される。デジタル署名したファイル(oooooo.exe)は、そのプロパティにデジタル署名が記載される。
これらの表記があればユーザは安心できるし、開発サイドの信頼度は増す。今でも個人のフリーウェアをダウンロードすると署名がないものもある。
たったこれだけなんですけどね。
デジタル署名をしていると、少しばかり(いや、かなり)安全な感じがする。このために、デジタル署名のための年間数万円(発行元、代理店による)の費用が掛かるけど毎年継続更新している。認証局としては、VeriSign(シマンテック)やGlobalSign(GMO)が有名。
GlobalSign社に毎年申請しているわけだけど、最初は結構面倒。といっても必要書類があれば大丈夫。小さい会社でも普通に登記していれば問題ない。必要な書類は申請書と印鑑証明くらい・・・ 割引された複数年契約もある。実は今年年間の負担がより安いところに移ろうか迷い、あるところに電話問い合わせしたところ、
「コードサイニング証明の申請をしたいのですが、どんな書類が必要ですか?」と聞いてみた。(既にその会社のサイトで申請方法は確認済みだけど念のため)
最初に帰ってきた言葉が、
「きびしいですよ」(厳しいかどうかは聞いてないんですけど・・・)
「どうしたらいいんですか?」
「帝国データバンクか、DUNS、オンラインで確認できるか、弁護士だかの意見書が必要になります」
「いえいえうちは小さい会社ですから・・・」
「確認できなければだめですねえ」
帝国データバンクなんてある程度の企業規模がないと登録されていないし、DUNSって何?弁護士まで持ち出してくる?
「今までGlobalSignでお願いしていたんですけど・・・何か別な方法はないんですか?」
「最近厳しくなったんですよ」
結局、相手したくない? 法務局から取り寄せる法人証明的なものによって確認するようなアドバイスはなし? あえてGlobalSignだと印鑑証明の送付でOKなんだけど・・・とは言いませんでした。
というわけでGlobalSignで継続することに。何の問題もなく更新が済みました。
どこの会社かは言いません。数社しかないし、廉価なところなんですぐわかると思います。そこをお勧めしている方がいたので問い合わせてみましたが、結局対応の仕方がずさん(いい会社でも対応した個人によって印象悪かったりするので、ほかの方だったらよかったのかもしれないです)。安いということは・・・それなりということ?
それにしても、このデジタル署名、物騒なデジタル社会で「信頼」性という意味では必要なんだろうけど、果たしてどこまで有効なのか(・_・;)
■PKI 関連技術情報(独立行政法人 情報処理推進機構 (IPA))