我们总以为只要浏览器地址栏里有个“小锁”，数据就是绝对安全的。但黑客们早就盯上了这个心理盲区，玩出了一手“瞒天过海”的把戏——SSL Stripping（SSL剥离攻击）。

简单来说，这是一种“降级攻击”。当你连上公共WiFi，试图访问某个网站时，黑客会利用ARP欺骗或DNS劫持，悄悄把自己插在中间。你本来想发HTTPS的加密请求，黑客一把截住，转手换成HTTP明文发给真正的服务器。服务器返回内容后，黑客再把它“包装”成HTTPS发回给你。

整个过程堪称“无缝衔接”。你看着页面一模一样，以为自己在安全冲浪，其实你的账号密码、聊天记录全在“裸奔”。最要命的是，这种攻击极其隐蔽，用户根本察觉不到异常。

好在，安全界早就备好了“杀手锏”——HSTS（HTTP严格传输安全）。这相当于服务器给浏览器下了道“死命令”：以后访问我，必须走HTTPS，谁敢降级直接拒绝连接。只要浏览器记住了这个规矩，黑客的降级小动作就彻底失效了。

当然，光靠HSTS还不够。服务器也得“硬气”一点，果断抛弃那些老旧的加密协议（比如TLS 1.0），全面升级到TLS 1.3。同时，还可以利用证书透明度（CT）日志来监控，一旦发现有人乱发你的假证书，立刻拉响警报。

作为普通用户，防范这种攻击其实很简单：别在公共WiFi下登录敏感账号，认准地址栏的“小锁”，如果浏览器突然弹出证书警告，千万别手滑点“继续访问”。毕竟，再高级的防御，也防不住主动给黑客开门的人。

拿到证书后，别急着用，头一件事是把 Certum Cloud SimplySign 的代码签名功能给激活了。

接下来就是装软件。你要下载一个叫 SimplySign Desktop 的客户端，装在你用来签名的那台电脑上。这个 SimplySign 属于云端证书，不用插什么读卡器，也不用担心丢UKey，用手机App配合就能搞定签名。

软件下载
Windows 64位：[下载链接]
Windows 32位：[下载链接]
Mac OS X：[下载链接]
Debian/Ubuntu/Mint：[下载链接]
Centos/RedHat/Fedora：[下载链接]

安装时注意几点：
安装界面语言选英文，避免乱码。
安装路径随便你设。
到了组件选择那一步，只勾选 "SimplySign Desktop"，那个 proCertum SmartSign 别动它，不用装。

装好打开软件，用你注册的邮箱和手机上 SimplySign App 里显示的 Token 密码登录。

登录后软件会缩在右下角状态栏里，右键点开图标，选 "Manage certificates" -> "Certificate list"，就能看到你的证书了。双击证书，把弹窗里显示的指纹（Thumbprint）那一串字符复制下来，后面签名要用。

签名命令参考：
用 Signtool 签名时，直接套下面这个命令，记得把中间那串指纹替换成你刚才复制的，文件路径也改成你要签的文件位置。

signtool sign /v /fd sha256 /sha1 [你的证书指纹] /tr http://timestamp.sectigo.com /td sha256 [你的文件路径]

如果手头没有 Signtool 工具，直接找客服要一个专用的签名工具包就行。

做硬件驱动开发，想让你的产品顺利跑在Windows系统上，WHQL认证是绝对绕不开的门槛。而想要拿下WHQL，手里必须得有一把“钥匙”——EV增强型代码签名证书。这里要划个重点：千万别买错，普通的OV企业版或者个人版证书是无法提交WHQL的，只有EV证书才是微软认可的“通行证”。

在众多国际CA机构里，波兰的Certum算是国内驱动厂商的一个高性价比之选。作为微软信任白名单里的老牌CA，它的EV证书全链路打通了WHQL的审核规范。

为什么WHQL非EV证书不可？

微软从Win10 1607版本起就立下了铁规矩：所有64位系统的内核驱动和硬件固件，想要上架Windows Update、消除安装时的系统拦截弹窗，或者打上微软正版徽标，都必须先经过EV代码签名预签，再提交WHQL测试。没有这张EV证书，你连微软合作伙伴中心的WHQL申请入口都进不去。

在实际操作中，Certum EV证书主要在两个环节发挥作用：
一是“验明正身”。在注册微软Partner Center企业主体账号、绑定Azure开发者后台时，你需要用它签署微软下发的身份验证文件，微软借此来核实你的企业真实性。
二是“预签测试包”。当你的驱动跑完HLK兼容性测试生成测试包后，必须用这张EV证书对sys驱动文件和cab归档包进行签名。微软审核端只认这种签名，缺少EV预签的驱动包会被直接打回。

Certum EV证书的优势在哪？

Certum创立于1998年，背靠欧洲Asseco集团，根证书在全平台系统信任库里都有预装，完全契合微软的安全规范。

对于国内企业来说，它最吸引人的地方在于“省心”和“省钱”。申请时除了常规的营业执照和法人证件，再补充增值税发票和地址证明就行，审核效率很高，通常1-2个工作日就能下证。更关键的是，它的私钥采用合规的云端硬件托管（符合FIPS安全标准），你不需要像用其他外资CA那样额外花钱买硬件加密狗，大大降低了硬件成本。

实操落地：从拿证到过WHQL的四步走

快速拿证：通过国内官方授权渠道提交资料，资料齐全的话，1-2天就能拿到EV证书。
平台备案：用EV证书签署微软注册文件，完成Partner Center的企业资质备案。
跑通测试：搭建HLK测试环境，完成全版本兼容性测试，导出合规的测试报告。
预签与提审：用EV证书对驱动和测试压缩包进行预签名，上传至微软后台启动WHQL审核。一旦通过，你就能拿到微软的官方驱动签名，产品不仅能在各版本Windows无弹窗安装，还能通过Windows Update自动推送更新。

办理Certum QES（欧盟eIDAS合格电子签名），流程其实很清晰，总共就六步：选购 → 下单 → 激活 → 实名核验 → 发证 → 安装使用。

核心关键点就一个：身份核验必须本人到场或视频，且必须绑定硬件或云端QSCD设备。这套签名的法律效力在欧盟等同于手写签名。

以下是具体的操作指南：

一、产品选购（两种方案）

Certum的QES产品都符合eIDAS标准，有效期统一为3年。

SimplySign（云端QES，推荐）

特点：通过手机App或网页直接签名，无需额外硬件。
适用：适合高频次、需要移动办公的用户，支持Windows/macOS/Android/iOS全平台。

硬件智能卡方案

特点：证书写入智能卡，需搭配读卡器使用。
适用：对本地存储有硬性要求的场景。

二、下单购买

你可以通过国内授权代理办理，解决语言和支付障碍。

注册/登录：在SSLDUN官网注册账号并选择Certum QES产品。
支付：支持支付宝、微信或对公转账，付款后他们会开具发票。
收货：硬件版会邮寄卡片和读卡器；云端版则会收到激活邮件。

三、账号与证书激活

下单后，需要到Certum官方面板进行激活。

登录面板：访问 Certum官网面板（panel.certum.pl），注册一个新账号。
填写申请：点击 “New application”（新申请），输入硬件卡片背面的激活码，或者云端版的订单号。
提交信息：填写个人资料，务必保证和你接下来核验用的证件信息完全一致。

四、身份核验（最关键一步）

QES强制要求进行“强身份核验”，二选一：

线下核验（推荐，最快）

地点：前往Certum授权的国内网点（如河南聚妍）。
材料：带上你的护照和身份证（如果是企业申请，还需营业执照英文宣誓件）。
优势：当场核验当场办结，效率最高。

视频远程核验

流程：预约视频通话，向对方出示护照/身份证，配合人脸识别。
注意：视频核验通常按小时收费（约100美元/小时），且需要具备一定的英文表达能力。

五、证书签发与接收

核验通过后，Certum会在1-3个工作日内签发合格证书。

云端版：你会收到一封激活链接邮件，按指引绑定手机或邮箱，开启二次验证即可。
硬件版：证书会写入智能卡，收到卡片和读卡器后就能直接用了。

六、软件安装与使用

云端SimplySign：手机下载SimplySign App，或网页登录panel.certum.pl，上传PDF文件，输入PIN码或短信验证码就能完成签名。
硬件卡：安装Certum驱动和签名软件，插入读卡器和卡片，打开PDF文件，输入PIN码签名。
兼容性：签名后在Adobe、Office等主流工具里都能自动验证，防篡改。

七、周期与费用参考

周期：从下单到拿到证书，通常需要3-7个工作日。如果选择线下网点核验，最快1天就能搞定。
费用：

个人版：云端QES约9800元/3年；硬件QES约10800元/3年。
企业版：在个人版基础上增加约2000元。

八、国内用户特别提示

适用性：Certum是欧盟信任服务商，证书在欧盟及认可eIDAS的国家/地区通用。
证件要求：在国内申请不需要欧盟居留权，用护照+身份证即可（企业需额外提供执照英文件）。
法律效力：这套证书的法律效力等同于手写签名，特别适合用于跨境合同、招投标等需要高合规性的文件签署。

Certum S/MIME 证书申请材料清单（中国内地用户版）

Certum S/MIME 证书分四档：Mailbox、Individual、Sponsor、Organization。材料逐级增加。所有证件提供清晰 PDF 或照片即可，无需公证，原件非英文的不用翻译，只有 CSR 信息要英文填写。

一、Mailbox（邮箱验证版｜最简）
什么材料都不用提供。
只要一个能正常收邮件的邮箱地址。
付款后，点 CA 发到该邮箱的验证链接，几分钟就出证。
证书里只写邮箱，不体现姓名和公司。

二、Individual（个人实名版｜个人商务用）
申请人有效证件（二选一，正反面都要拍清楚）：
身份证：本人手持身份证正面、反面各拍一张。
护照：全页扫描件（推荐用护照，审核通过率更高）。
申请用的邮箱（用来收验证邮件）。
提前生成 CSR 证书请求文本（CommonName 填申请邮箱）。
审核卡住时，可能会补要近 3 个月的水电费或话费账单（用来证明住址）。
证书内容：实名 + 邮箱。审核周期 1~3 个工作日。

三、Sponsor（企业在职员工版｜个人 + 企业双重核验）
个人资料（同 Individual）：
申请人手持身份证正反面，或护照全页扫描件。
企业资质资料：
营业执照照片。
邮箱申请人授权书（非法人办理时必填，法人办理不用，要盖公章）。
申请人本人手持身份证正反面各一张。
邮箱与 CSR：
必须是企业域名后缀的邮箱（如 [email protected]）。
CSR 信息用英文填（公司名英文、城市 CN、国家 CN）。
证书内容：姓名 + 公司全称 + 邮箱。

四、Organization（对公组织公用邮箱版｜客服 / 部门公邮）
不核验个人，只核验企业主体。
企业营业执照。
法人手持身份证正反面各一张。
邮箱所有权证明（自动验证）：
经办人授权书（非法人办理时必填，法人办理不用，要盖公章）。
公用邮箱（如 support@、finance@ 等企业公邮）+ CSR 文件。
证书内容：只显示企业名称 + 公邮地址，不写个人姓名。

五、通用准备项（所有类型都要）
CSR 证书请求文件：
用 tools.045ssl.com 在线生成，生成时填的信息要英文。
一定要保存好私钥（private.key），丢了证书没法补发。
材料提交方式：
交给代理商（ssldun）收集，整理规范后上传。

六、续期规则
Mailbox 续期：只用邮箱验证，不用交任何证件。
Individual、Sponsor、Organization：
证书到期前 1 年内续期：沿用原有资质，一般不用重新交证件。
超过 1 年才续期：要重新交最新的营业执照和证件。