bg-blog-articles

Окно доверия при подписании кодов сокращается до 460 дней

Срок действия сертификатов кодовой подписи скоро станет намного короче. Новое отраслевое правило, утвержденное 17 ноября 2025 года, сокращает максимальный срок их действия с 39 месяцев до 460 дней, начиная с 1 марта 2026 года. Это изменение появилось в обновленных Базовых требованиях к сертификатам подписи кода v3.10.0.

Код-Подписание-Вайлидти

Все основные CA в рабочей группе поддержали это изменение: 7 проголосовали «ЗА», 2 воздержались, ни один не высказался против. Что касается платформы, то единственный участвующий производитель, Microsoft, также проголосовал «ЗА». Явный консенсус свидетельствует о широком согласии индустрии в отношении ужесточения гигиены сертификатов.

Что способствует сокращению срока службы сертификатов?

В конце 2024 г. исследователи из HarfangLab раскрыли операцию Hijack Loader — кампанию, в ходе которой преступники использовали действительные сертификаты подписи кода для подписания вредоносных программ, созданных для внедрения похитителя информации Lumma. Поскольку файлы содержали легитимные подписи, вредоносное ПО проскальзывало мимо многих проверок безопасности и достигало гораздо большего числа жертв, чем когда-либо могла бы достичь неподписанная полезная нагрузка.

Более широкие изменения происходят и в сфере цифрового доверия. SSL-сертификаты уже перешли от многолетнего срока действия к коротким циклам ротации. Подписание кодов теперь идет по тому же пути. С приближением постквантовой криптографии индустрии нужны более быстрая ротация, более чистое управление ключами и более частая проверка. Сертификаты с длительным сроком действия замедляют этот переход и оставляют слишком много возможностей для тихой компрометации.

Что изменится для разработчиков?

Новое окно достоверности находится непосредственно внутри процессов разработки, выпуска и работы с поставщиками. Это изменение заставляет всех участников цепочки придерживаться новых привычек:

  • Системы, которые полагаются на долгосрочные ключи, нуждаются в реструктуризации: Серверы сборки, хранящие сертификат годами, не выдержат более короткого цикла. Команды должны менять ключи по расписанию, обновлять конфигурации сборки и предотвращать неожиданное истечение срока действия в середине выпуска.
  • Сети с воздушными подписями столкнутся с более жесткой логистикой: Представители таких секторов, как промышленный контроль, здравоохранение и правительство, часто переносят сертификаты в изолированные сети вручную. Теперь им нужны предсказуемые циклы импорта и отслеживание обновлений, чтобы подписанное программное обеспечение не простаивало в ожидании свежего сертификата.
  • Устаревшие инструменты подписи будут ломаться, если их не обновить: Старые скрипты, которые жестко задают пути к сертификатам или ожидают единственного долгоживущего ключа, выйдут из строя, как только срок действия этого ключа истечет. Конвейерам нужен динамический выбор и автоматическое извлечение сертификатов, а не статичные папки.
  • Инциденты с утечкой ключей становится легче локализовать: Злоумышленники не могут полагаться на многолетние сертификаты, которые остаются действительными долгое время после взлома. Организациям по-прежнему необходимо быстро отзывать сертификаты, но радиус взрыва уменьшается.
  • Команды, отвечающие за соблюдение нормативных требований и идентификацию, будут работать в более сжатые сроки: Команды, управляющие EV или проверкой организации, должны скорректировать свои внутренние календари, чтобы задержки с обновлением не блокировали выпуск продукта.

Доступность сертификата подписи кода и требования к HSM

Возможности подписания кодов зависят от центра сертификации, а это напрямую влияет на то, как Вы управляете своими ключами:

  • DigiCert и GoGetSSL предлагают только сертификаты с кодовой подписью сроком на 1 год. Вы можете выбрать либо аппаратный модуль безопасности (HSM) , предоставляемый ЦС , либо использовать свой собственный HSM.
  • Sectigo (Comodo) позволяет заказывать сертификаты на срок до 3 лет, но настройка меняется:
    • Для сертификата сроком на 1 год Вы можете использовать HSM, предоставленный ЦС, или свой собственный HSM.
    • Для 2- или 3-летних сертификатов Вы должны использовать свой собственный HSM. Оборудование для ЦС не предоставляется.

Если Вы выбираете многолетний вариант, Вы получаете полный контроль над хранением и безопасностью ключей.

Что значит, когда Вы сами занимаетесь доставкой?

Окно в 460 дней меняет прежде всего одну вещь: время. Подписание перестает быть редкой обязанностью и становится частью Вашего ритма выпуска. Вы быстрее замечаете, когда сертификат устаревает. И Ваш конвейер остается чище, потому что ротация встроена в поток, а не является чрезвычайной ситуацией.

Для клиентов SSL Dragon этот сдвиг соответствует тому, как уже работает большинство команд. Более короткие циклы соответствуют современному графику выпуска, поэтому у Вас меньше шансов столкнуться с просроченным сертификатом прямо перед поставкой. Если Вы переходите к облачной подписи или ключам на базе HSM, переход будет еще более плавным, а ротация будет происходить незаметно в фоновом режиме.

Тенденция очевидна: более короткое доверие, более быстрое вращение

Сокращение срока службы не устранит все риски цепочки поставок, но оно подталкивает отрасль к более здоровой практике. Ключи подписи больше не могут годами оставаться незамеченными, а рабочие процессы выпуска должны соответствовать новому ритму. Март 2026 года стремительно приближается, и те конвейеры, которые адаптируются раньше, смогут избежать суматохи в дальнейшем.

SSL Dragon’s Take

С нашей стороны забора это изменение — хорошая новость. Оно формирует более чистые привычки и уменьшает ущерб, который может нанести потерянный или украденный ключ. Команды, которые больше всего страдают от проблем с сертификатами, редко бывают теми, у кого плохие намерения. Это те, у кого один-единственный долгоживущий сертификат завалялся в старой машине для сборки, и они узнали о нем в самый неподходящий момент. Окно в 460 дней делает этот риск открытым.

Для наших клиентов этот сдвиг в основном связан с информированностью, а не с объемом работы. Более короткое окно делает ротацию сертификатов частью естественного выпуска, а не редкой задачей по обслуживанию. Более быстрый цикл также позволяет выявить, где старые конвейеры или забытые машины все еще зависят от долгоживущих сертификатов, и никто этого не замечает, что часто является причиной задержек или пробелов в безопасности.

Если Вы впервые сталкиваетесь с подписанием кода, это обновление устанавливает правильные ожидания. Доверие — это не что-то, что лежит без движения годами. Оно движется вместе с программным обеспечением, которое оно защищает. Новое окно — это защита и предсказуемость, и мы готовы помочь клиентам выбрать правильные продукты и рабочие процессы, чтобы переход был плавным, а не разрушительным.

Источник: CA/Browser Forum — Ballot CSC-31: Сокращение срока действия сертификата подписи кода

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Детальное изображение дракона в полете
Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.