Срок действия сертификатов кодовой подписи скоро станет намного короче. Новое отраслевое правило, утвержденное 17 ноября 2025 года, сокращает максимальный срок их действия с 39 месяцев до 460 дней, начиная с 1 марта 2026 года. Это изменение появилось в обновленных Базовых требованиях к сертификатам подписи кода v3.10.0.

Все основные CA в рабочей группе поддержали это изменение: 7 проголосовали «ЗА», 2 воздержались, ни один не высказался против. Что касается платформы, то единственный участвующий производитель, Microsoft, также проголосовал «ЗА». Явный консенсус свидетельствует о широком согласии индустрии в отношении ужесточения гигиены сертификатов.
Что способствует сокращению срока службы сертификатов?
В конце 2024 г. исследователи из HarfangLab раскрыли операцию Hijack Loader — кампанию, в ходе которой преступники использовали действительные сертификаты подписи кода для подписания вредоносных программ, созданных для внедрения похитителя информации Lumma. Поскольку файлы содержали легитимные подписи, вредоносное ПО проскальзывало мимо многих проверок безопасности и достигало гораздо большего числа жертв, чем когда-либо могла бы достичь неподписанная полезная нагрузка.
Более широкие изменения происходят и в сфере цифрового доверия. SSL-сертификаты уже перешли от многолетнего срока действия к коротким циклам ротации. Подписание кодов теперь идет по тому же пути. С приближением постквантовой криптографии индустрии нужны более быстрая ротация, более чистое управление ключами и более частая проверка. Сертификаты с длительным сроком действия замедляют этот переход и оставляют слишком много возможностей для тихой компрометации.
Что изменится для разработчиков?
Новое окно достоверности находится непосредственно внутри процессов разработки, выпуска и работы с поставщиками. Это изменение заставляет всех участников цепочки придерживаться новых привычек:
- Системы, которые полагаются на долгосрочные ключи, нуждаются в реструктуризации: Серверы сборки, хранящие сертификат годами, не выдержат более короткого цикла. Команды должны менять ключи по расписанию, обновлять конфигурации сборки и предотвращать неожиданное истечение срока действия в середине выпуска.
- Сети с воздушными подписями столкнутся с более жесткой логистикой: Представители таких секторов, как промышленный контроль, здравоохранение и правительство, часто переносят сертификаты в изолированные сети вручную. Теперь им нужны предсказуемые циклы импорта и отслеживание обновлений, чтобы подписанное программное обеспечение не простаивало в ожидании свежего сертификата.
- Устаревшие инструменты подписи будут ломаться, если их не обновить: Старые скрипты, которые жестко задают пути к сертификатам или ожидают единственного долгоживущего ключа, выйдут из строя, как только срок действия этого ключа истечет. Конвейерам нужен динамический выбор и автоматическое извлечение сертификатов, а не статичные папки.
- Инциденты с утечкой ключей становится легче локализовать: Злоумышленники не могут полагаться на многолетние сертификаты, которые остаются действительными долгое время после взлома. Организациям по-прежнему необходимо быстро отзывать сертификаты, но радиус взрыва уменьшается.
- Команды, отвечающие за соблюдение нормативных требований и идентификацию, будут работать в более сжатые сроки: Команды, управляющие EV или проверкой организации, должны скорректировать свои внутренние календари, чтобы задержки с обновлением не блокировали выпуск продукта.
Доступность сертификата подписи кода и требования к HSM
Возможности подписания кодов зависят от центра сертификации, а это напрямую влияет на то, как Вы управляете своими ключами:
- DigiCert и GoGetSSL предлагают только сертификаты с кодовой подписью сроком на 1 год. Вы можете выбрать либо аппаратный модуль безопасности (HSM) , предоставляемый ЦС , либо использовать свой собственный HSM.
- Sectigo (Comodo) позволяет заказывать сертификаты на срок до 3 лет, но настройка меняется:
- Для сертификата сроком на 1 год Вы можете использовать HSM, предоставленный ЦС, или свой собственный HSM.
- Для 2- или 3-летних сертификатов Вы должны использовать свой собственный HSM. Оборудование для ЦС не предоставляется.
Если Вы выбираете многолетний вариант, Вы получаете полный контроль над хранением и безопасностью ключей.
Что значит, когда Вы сами занимаетесь доставкой?
Окно в 460 дней меняет прежде всего одну вещь: время. Подписание перестает быть редкой обязанностью и становится частью Вашего ритма выпуска. Вы быстрее замечаете, когда сертификат устаревает. И Ваш конвейер остается чище, потому что ротация встроена в поток, а не является чрезвычайной ситуацией.

Для клиентов SSL Dragon этот сдвиг соответствует тому, как уже работает большинство команд. Более короткие циклы соответствуют современному графику выпуска, поэтому у Вас меньше шансов столкнуться с просроченным сертификатом прямо перед поставкой. Если Вы переходите к облачной подписи или ключам на базе HSM, переход будет еще более плавным, а ротация будет происходить незаметно в фоновом режиме.
Тенденция очевидна: более короткое доверие, более быстрое вращение
Сокращение срока службы не устранит все риски цепочки поставок, но оно подталкивает отрасль к более здоровой практике. Ключи подписи больше не могут годами оставаться незамеченными, а рабочие процессы выпуска должны соответствовать новому ритму. Март 2026 года стремительно приближается, и те конвейеры, которые адаптируются раньше, смогут избежать суматохи в дальнейшем.
SSL Dragon’s Take
С нашей стороны забора это изменение — хорошая новость. Оно формирует более чистые привычки и уменьшает ущерб, который может нанести потерянный или украденный ключ. Команды, которые больше всего страдают от проблем с сертификатами, редко бывают теми, у кого плохие намерения. Это те, у кого один-единственный долгоживущий сертификат завалялся в старой машине для сборки, и они узнали о нем в самый неподходящий момент. Окно в 460 дней делает этот риск открытым.
Для наших клиентов этот сдвиг в основном связан с информированностью, а не с объемом работы. Более короткое окно делает ротацию сертификатов частью естественного выпуска, а не редкой задачей по обслуживанию. Более быстрый цикл также позволяет выявить, где старые конвейеры или забытые машины все еще зависят от долгоживущих сертификатов, и никто этого не замечает, что часто является причиной задержек или пробелов в безопасности.
Если Вы впервые сталкиваетесь с подписанием кода, это обновление устанавливает правильные ожидания. Доверие — это не что-то, что лежит без движения годами. Оно движется вместе с программным обеспечением, которое оно защищает. Новое окно — это защита и предсказуемость, и мы готовы помочь клиентам выбрать правильные продукты и рабочие процессы, чтобы переход был плавным, а не разрушительным.
Источник: CA/Browser Forum — Ballot CSC-31: Сокращение срока действия сертификата подписи кода
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10






