bg-blog-articles

Fereastra de încredere pentru semnarea codurilor se reduce la 460 de zile

Certificatele de semnare a codurilor vor avea în curând o durată de viață mult mai scurtă. O nouă regulă industrială aprobată la 17 noiembrie 2025 reduce valabilitatea maximă a acestora de la 39 de luni la 460 de zile, începând cu 1 martie 2026. Modificarea apare în versiunea actualizată a Code Signing Baseline Requirements v3.10.0.

Semnarea codului-Vailidty

Toate AC majore din grupul de lucru au susținut modificarea: 7 au votat „DA”, 2 s-au abținut, niciunul nu s-a opus. Pe partea de platformă, singurul furnizor participant, Microsoft, a votat, de asemenea, „DA”. Consensul clar semnalează alinierea largă a industriei la o igienă mai strictă a certificatelor.

Care este motivația pentru reducerea duratei de viață a certificatelor?

La sfârșitul anului 2024, cercetătorii de la HarfangLab au descoperit operațiunea Hijack Loader, o campanie în cadrul căreia infractorii foloseau certificate valide de semnare a codului pentru a semna programe malware create pentru a implementa furtul de informații Lumma. Deoarece fișierele purtau semnături legitime, programele malware au trecut de multe controale de securitate și au ajuns la mult mai multe victime decât ar fi făcut-o vreodată o sarcină utilă nesemnată.

Există, de asemenea, o schimbare mai amplă în ceea ce privește încrederea digitală. Certificatele SSL au trecut deja de la o valabilitate multianuală la cicluri scurte de rotație. Semnarea codurilor urmează acum aceeași cale. Odată cu apropierea criptografiei post-cuantice, industria are nevoie de o rotație mai rapidă, de o gestionare mai curată a cheilor și de verificări mai frecvente. Certificatele cu durată lungă de viață încetinesc această tranziție și lasă prea mult loc pentru compromisuri tăcute.

Ce se schimbă pentru dezvoltatori?

Noua fereastră de valabilitate se află direct în interiorul proceselor de dezvoltare, lansare și furnizare. Schimbarea impune noi obiceiuri în întregul lanț:

  • Sistemele care se bazează pe chei pe termen lung vor trebui restructurate: Serverele de construcție care stochează un certificat timp de ani de zile nu vor supraviețui ciclului mai scurt. Echipele trebuie să rotească cheile în funcție de program, să actualizeze configurațiile de compilare și să prevină expirarea neașteptată în mijlocul versiunii.
  • Mediile de semnare protejate prin aer se vor confrunta cu o logistică mai strictă: Sectoare precum controlul industrial, asistența medicală și administrația publică transportă adesea certificate de mână în rețele izolate. Acestea au nevoie acum de cicluri de import previzibile și de urmărirea reînnoirii, astfel încât software-ul semnat să nu stagneze în așteptarea unui certificat nou.
  • Instrumentele de semnare vechi vor ceda dacă nu sunt actualizate: Scripturile vechi care codifică în mod obligatoriu căile de acces ale certificatelor sau care se așteaptă la o singură cheie cu durată lungă de viață vor eșua odată ce acea cheie expiră. Conductele necesită o selecție dinamică a certificatelor și o recuperare automată, mai degrabă decât foldere statice.
  • Incidentele de scurgere de chei devin mai ușor de controlat: Atacatorii nu se mai pot baza pe un certificat multianual care rămâne valabil mult timp după o încălcare. Organizațiile trebuie în continuare să revoce rapid, dar raza de acțiune se reduce.
  • Echipele responsabile cu conformitatea și identitatea vor funcționa într-un ritm mai alert: Echipele care gestionează validarea EV sau a organizației trebuie să își ajusteze calendarele interne astfel încât întârzierile de reînnoire să nu blocheze lansarea produselor.

Disponibilitatea certificatului de semnare a codului și cerințele HSM

Opțiunile de semnare a codurilor depind de Autoritatea de certificare, iar acest lucru afectează în mod direct modul în care vă gestionați cheile:

  • DigiCert și GoGetSSL oferă certificate de semnătură de cod de numai 1 an. Puteți alege un modul de securitate hardware (HSM) furnizat de CA sau puteți utiliza propriul HSM.
  • Sectigo (Comodo) vă permite să comandați certificate pentru o perioadă de până la 3 ani, dar configurația se schimbă:
    • Pentru un certificat de 1 an, puteți utiliza un HSM furnizat de CA sau propriul HSM.
    • For 2- or 3-year certificates, you must use your own HSM. No CA hardware is provided.

Dacă optați pentru mai mulți ani, veți prelua controlul complet asupra depozitării și securității cheilor.

Ce înseamnă când tu ești cel care expediază construcțiile?

Fereastra de 460 de zile schimbă un lucru înainte de toate: sincronizarea. Semnarea încetează să mai fie o corvoadă rară și devine parte a ritmului de eliberare. Observi mai repede când un cert îmbătrânește. Iar conducta dvs. rămâne mai curată, deoarece rotația este integrată în flux, nu este o urgență.

Pentru clienții SSL Dragon, această schimbare se aliniază cu modul în care majoritatea echipelor operează deja. Ciclurile mai scurte se aliniază cu programele moderne de lansare, astfel încât este mai puțin probabil să fiți surprinși de un certificat expirat chiar înainte de o livrare. Dacă treceți la semnarea în cloud sau la chei bazate pe HSM, tranziția este și mai ușoară, iar rotația are loc în liniște, în fundal.

Tendința este clară: încredere mai scurtă, rotație mai rapidă

Duratele de viață mai scurte nu vor rezolva toate riscurile lanțului de aprovizionare, dar ele împing industria către practici mai sănătoase. Cheile de semnare nu mai pot trece neobservate timp de ani de zile, iar fluxurile de lansare trebuie să rămână aliniate la noul ritm. Luna martie 2026 se apropie cu pași repezi, iar conductele care se adaptează din timp vor evita problemele de mai târziu.

SSL Dragon’s Take

Din punctul nostru de vedere, această schimbare este o veste bună. Ea creează obiceiuri mai curate și reduce daunele pe care le poate provoca o cheie pierdută sau furată. Echipele care suferă cel mai mult din cauza problemelor legate de certificate sunt rareori cele cu intenții rele. Ele sunt cele care aveau un singur certificat de lungă durată îngropat într-o mașină de construcție veche și au aflat despre el în cel mai rău moment posibil. O fereastră de 460 de zile forțează acest risc în aer liber.

Pentru clienții noștri, schimbarea se referă mai degrabă la sensibilizare decât la volumul de muncă. Fereastra mai scurtă face ca rotația certificatelor să facă parte din lansarea naturală, în loc să fie o sarcină rară de întreținere. Ciclul mai rapid expune, de asemenea, cazurile în care conductele mai vechi sau mașinile uitate încă depind de certificatele cu durată lungă de viață fără ca cineva să observe, ceea ce reprezintă adesea momentul în care apar întârzieri sau lacune de securitate.

Dacă obțineți semnătura de cod pentru prima dată, această actualizare stabilește așteptări corecte. Încrederea nu este ceva care stă neatins ani de zile. Se mișcă odată cu software-ul pe care îl protejează. Noua fereastră se referă la protecție și predictibilitate, iar noi suntem aici pentru a ajuta clienții să aleagă produsele și fluxurile de lucru potrivite, astfel încât tranziția să fie lină, nu perturbatoare.

Sursă: CA/Browser Forum – Ballot CSC-31: Reducerea duratei de viață a certificatului de semnare a codului

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

A detailed image of a dragon in flight

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.