bg-blog-articles

نافذة الثقة لشهادات توقيع الأكواد تنكمش إلى 460 يومًا

ستصبح شهادات توقيع الأكواد قريبًا ذات فترات صلاحية أقصر بكثير. قاعدة صناعية جديدة تمت الموافقة عليها في 17 نوفمبر 2025 تقلل الحد الأقصى لصلاحيتها من 39 شهرًا إلى 460 يومًا، وسيكون النفاذ في 1 مارس 2026. يظهر التغيير في Code Signing Baseline Requirements v3.10.0 المحدثة.

Code-Signing-Vailidty

دعمت جميع سلطات الإصدار الرئيسية في فريق العمل التغيير: صوتت 7 بـ “نعم”، امتنع 2، لم يعترض أحد. على جانب المنصة، البائع الوحيد المشارك، Microsoft، صوت أيضًا بـ “نعم”. يشير التوافق الواضح إلى محاذاة صناعية واسعة نحو نظافة شهادات أكثر صرامة.

ما الذي يدفع الضغط من أجل فترات صلاحية شهادة أقصر؟

في أواخر عام 2024، اكتشف باحثون في HarfangLab عملية Hijack Loader، وهي حملة استخدم فيها المجرمون شهادات توقيع أكواد صالحة لتوقيع البرامج الضارة المصممة لنشر برنامج Lumma لسرقة المعلومات. لأن الملفات كانت تحمل توقيعات شرعية، تمكن البرنامج الضار من تجاوز العديد من فحوصات الأمان والوصول إلى عدد أكبر من الضحايا مما كانت ستصل إليه الحمولة غير الموقعة.

هناك أيضًا تحول أوسع يحدث عبر الثقة الرقمية. تحركت شهادات SSL بالفعل من الصلاحية متعددة السنوات إلى دورات دوران قصيرة. يتابع توقيع الأكواد نفس المسار. مع اقتراب التشفير بعد الكم، تحتاج الصناعة إلى دوران أسرع وإدارة مفاتيح أنظف وتحقق أكثر تكرارًا. الشهادات طويلة الأجل تبطئ هذا الانتقال وتترك مجالًا كبيرًا جدًا لتسوية صامتة.

ما الذي يتغير للمطورين؟

تؤثر نافذة الصلاحية الجديدة مباشرة على التطوير والإصدار وعمليات البائع. يفرض التغيير عادات جديدة عبر السلسلة:

  • ستحتاج الأنظمة التي تعتمد على مفاتيح طويلة الأجل إلى إعادة هيكلة: خوادم البناء التي تخزن شهادة لسنوات لن تتحمل الدورة الأقصر. يجب على الفرق تدوير المفاتيح حسب الجدول الزمني وتحديث تكوينات البناء ومنع انتهاء الصلاحية غير المتوقع أثناء الإصدار.
  • ستواجه بيئات التوقيع المعزولة عن الشبكة إشكاليات لوجستية أقسى: غالبًا ما تنقل قطاعات مثل التحكم الصناعي والرعاية الصحية والحكومة الشهادات يدويًا إلى الشبكات المعزولة. تحتاج الآن إلى دورات استيراد قابلة للتنبؤ وتتبع التجديد حتى لا يتعطل البرنامج الموقع في انتظار شهادة جديدة.
  • ستتعطل أدوات التوقيع القديمة إلا إذا تم تحديثها: البرامج النصية القديمة التي تحدد بشكل ثابت مسارات الشهادات أو تتوقع مفتاحًا واحدًا طويل الأجل ستفشل بمجرد انتهاء صلاحية هذا المفتاح. تحتاج خطوط الأنابيب إلى اختيار شهادات ديناميكي والاسترجاع الآلي بدلاً من المجلدات الثابتة.
  • تصبح حوادث تسرب المفاتيح أسهل في احتوائها: لا يستطيع المهاجمون الاعتماد على شهادة متعددة السنوات تبقى صالحة طويلاً بعد خرق. لا تزال المؤسسات بحاجة إلى الإلغاء بسرعة، لكن نطاق الأضرار ينكمش.
  • ستعمل فرق الامتثال والهوية على جدول زمني أقسى: يجب على الفرق التي تدير EV أو التحقق من الهيكل التنظيمي أن تعدل جداولها الداخلية حتى لا تمنع تأخيرات التجديد إصدارات المنتجات.

توفر شهادات توقيع الأكواد ومتطلبات HSM

تعتمد خيارات توقيع الأكواد على سلطة الإصدار، وهذا يؤثر مباشرة على كيفية إدارتك لمفاتيحك:

  • DigiCert و GoGetSSL توفران فقط شهادات توقيع أكواد لمدة سنة واحدة. يمكنك الاختيار بين وحدة أمان صلبة (HSM) من قبل سلطة الإصدار أو استخدام HSM الخاصة بك.
  • Sectigo (Comodo) تتيح لك طلب شهادات لمدة تصل إلى 3 سنوات، لكن الإعداد يتغير:
    • بالنسبة لشهادة سنة واحدة، يمكنك استخدام HSM من قبل سلطة الإصدار أو HSM الخاصة بك.
    • بالنسبة لشهادات سنتين أو 3 سنوات، يجب عليك استخدام HSM الخاصة بك. لا يتم توفير أي أجهزة من سلطة الإصدار.

إذا ذهبت إلى متعدد السنوات، فأنت تتولى السيطرة الكاملة على تخزين المفاتيح والأمان.

ما الذي يعنيه عندما تكون أنت من يقوم بشحن الإصدارات؟

تغير نافذة 460 يوم شيء واحد فوق كل شيء: التوقيت. يتوقف التوقيع عن كونه مهمة نادرة ويصبح جزءًا من إيقاع الإصدار الخاص بك. تلاحظ بشكل أسرع عندما تصبح شهادة قديمة. وتبقى خط الأنابيب الخاص بك أنظف لأن الدوران مدمج في التدفق، وليس حالة طوارئ.

بالنسبة لعملاء SSL Dragon، يتوافق هذا التحول مع كيفية عمل معظم الفرق بالفعل. تتوافق الدورات الأقصر مع جداول الإصدار الحديثة، لذا من الأقل احتمالًا أن يتم مفاجأتك بشهادة منتهية الصلاحية قبل مباشرة. إذا كنت تتجه نحو التوقيع السحابي أو المفاتيح المستندة إلى HSM، فإن الانتقال يشعر حتى بأنه أسلس، والدوران يحدث بهدوء في الخلفية.

الاتجاه واضح: ثقة أقصر، دوران أسرع

لن تحل الفترات الأقصر كل مخاطر سلسلة التوريد، لكنها تدفع الصناعة نحو ممارسات أكثر صحة. لا يمكن لمفاتيح التوقيع أن تجلس دون ملاحظة لسنوات، وتدفقات العمل في الإصدار يجب أن تبقى متوافقة مع الإيقاع الجديد. يقترب مارس 2026 بسرعة، وخطوط الأنابيب التي تتكيف مبكرًا ستتجنب الإصابة لاحقًا.

رأي SSL Dragon

من جانبنا، هذا التغيير أخبار جيدة. إنه ينشئ عادات أنظف ويقلل من الضرر الذي يمكن أن يسببه مفتاح مفقود أو مسروق. الفرق التي تعاني أكثر من مشاكل الشهادات نادرًا ما تكون لديها نوايا سيئة. إنهم الأشخاص الذين كان لديهم شهادة طويلة الأجل واحدة مدفونة في آلة بناء قديمة واكتشفوا ذلك في أسوأ لحظة ممكنة. تفرض نافذة 460 يوم هذه المخاطرة للعلن.

بالنسبة لعملائنا، يتعلق التحول بالوعي أكثر من الحمل الإضافي. تجعل النافذة الأقصر دوران الشهادات جزءًا من الإصدار الطبيعي بدلاً من مهمة صيانة نادرة. تعرض الدورة الأسرع أيضًا المكان الذي لا تزال خطوط الأنابيب الأقدم أو الأجهزة المنسية تعتمد فيه على شهادات طويلة الأجل دون أن يلاحظ أحد، وهو غالبًا حيث تظهر التأخيرات أو الثغرات الأمنية.

إذا كنت تحصل على توقيع أكواد لأول مرة، فإن هذا التحديث يحدد التوقعات الصحيحة. الثقة ليست شيء يجلس دون لمس لسنوات. إنها تتحرك مع البرنامج الذي تحميه. النافذة الجديدة كلها تتعلق بالحماية والقابلية للتنبؤ، ونحن هنا لمساعدة العملاء على اختيار المنتجات والعمليات الصحيحة حتى يشعر الانتقال بأنه سلس وليس مزعجًا.

المصدر: CA/Browser Forum – Ballot CSC-31: Code Signing Certificate Lifetime Reduction

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

صورة مفصلة لتنين أثناء طيرانه

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.