CA/覽器論壇批準(zhǔn)了一項(xiàng)新決議，將公共信任代碼簽名證書的最長有效期從39個(gè)月（約3年）縮短至460天（約15個(gè)月）。此變化將于2026年3月1日起生效，這代表著行業(yè)在鼓勵(lì)自動(dòng)化及加強(qiáng)軟件供應(yīng)鏈安全（SSC）方面不斷努力。

對(duì)于依靠代碼簽名來證明其軟件真實(shí)性和完整性的組織而言，這一變化引發(fā)了重要的操作問題：這對(duì)我們而言意味著什么？此次更新對(duì)誰的影響最大？也許最重要的是，我們應(yīng)該做哪些準(zhǔn)備工作？

從TLS到代碼簽名證書：向更短的有效期轉(zhuǎn)變

證書頒發(fā)機(jī)構(gòu)/瀏覽器論壇（CA/BF）由證書頒發(fā)機(jī)構(gòu)、瀏覽器供應(yīng)商和平臺(tái)提供商組成，負(fù)責(zé)定義受信任證書的規(guī)則，定期審查有關(guān)數(shù)字證書的標(biāo)準(zhǔn)。較短的有效期可確保加密物料實(shí)現(xiàn)更頻繁的輪換，從而在私鑰被泄露時(shí)減少風(fēng)險(xiǎn)敞口。

更頻繁的更新也有助于組織保持密鑰的最新狀態(tài)，遵守最新標(biāo)準(zhǔn)，并對(duì)私鑰的存儲(chǔ)和使用方式及位置進(jìn)行更強(qiáng)有力的控制。它們?yōu)樵u(píng)估加密準(zhǔn)備情況以及規(guī)劃未來向更強(qiáng)的算法或量子安全算法過渡提供了自然的節(jié)奏。

我們注意到，近年來，TLS/SSL證書的有效期已降至398天。到2026年3月，其有效期將再次降至200天，并于次年再降至100天，然后在2029年驟降至47天。 

現(xiàn)在也輪到代碼簽名證書了。460天的新有效期使代碼簽名證書與這類短期證書模式相一致，該模式旨在通過定期的密鑰輪換以及加速采用更強(qiáng)大的安全實(shí)踐來最大程度地降低風(fēng)險(xiǎn)。這一變化也反映出，軟件與簽名環(huán)境的變化比以前要快得多。

誰會(huì)受到影響？

每一使用公共信任證書來為代碼簽名的組織都將受到460天新有效期的影響。有影響的程度在很大程度上取決于您管理私鑰和簽名工作流程的方式。

01 硬件令牌用戶

在符合聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）或通用標(biāo)準(zhǔn)的硬件令牌（如USB令牌）上存儲(chǔ)私鑰的組織將面臨最大的操作變化。在2026年3月1日之后，證書——可能還有令牌本身——必須每15個(gè)月更換一次。目前許多團(tuán)隊(duì)購買多年期令牌，其續(xù)訂頻率較低；而現(xiàn)在其續(xù)訂周期將需要大大縮短。

02使用基于云的簽名服務(wù)的客戶

通過DigiCert? KeyLocker或Software Trust Manager等托管簽名平臺(tái)為代碼簽名的組織將受到最小的影響。由于這些服務(wù)已經(jīng)在安全環(huán)境中實(shí)現(xiàn)了證書續(xù)訂和密鑰輪換的自動(dòng)化，因此較短的生命周期對(duì)于用戶的影響應(yīng)該是幾乎不可見的。

03使用傳統(tǒng)構(gòu)建系統(tǒng)的開發(fā)人員

依賴手動(dòng)流程或靜態(tài)證書的舊式CI/CD管道將需要更新。這些環(huán)境的現(xiàn)代化可能會(huì)很復(fù)雜，但這一變化將為自動(dòng)化以及與現(xiàn)代簽名API的集成提供明確的推動(dòng)力，從而降低未來的維護(hù)開銷和風(fēng)險(xiǎn)。

這對(duì)客戶而言意味著什么

最直接的要點(diǎn)是，代碼簽名證書的續(xù)訂將更頻繁地發(fā)生。雖然這看起來像是額外新增了工作，但其最終是朝著復(fù)原能力和安全性邁出的積極一步。

客戶應(yīng)預(yù)期：

• 每年進(jìn)行更新的節(jié)奏：圍繞12個(gè)月的周期建立您的內(nèi)部日歷，以便您可以在證書到期之前完成預(yù)算并安排續(xù)訂。

• 更頻繁的硬件更新：如果您使用令牌，請(qǐng)與您的安全團(tuán)隊(duì)一起評(píng)估基于云的簽名服務(wù)是否可以簡化管理。

• 更加注重自動(dòng)化：隨著證書生命周期的縮短，手動(dòng)的證書管理將不可持續(xù)。自動(dòng)化可降低停機(jī)風(fēng)險(xiǎn)并實(shí)現(xiàn)無縫輪換。

• 更緊密地與SSC最佳實(shí)踐保持一致：頻繁的更新可加強(qiáng)控制，防止惡意軟件的注入與篡改。

如何為更短的代碼簽名證書生命周期做好準(zhǔn)備

這一變化為改造您的簽名基礎(chǔ)設(shè)施提供了機(jī)會(huì)，從而在保持合規(guī)性的同時(shí)提高安全性和效率。以下是為15個(gè)月的新有效期做準(zhǔn)備時(shí)要開展的關(guān)鍵行動(dòng)。 

1. 清點(diǎn)您現(xiàn)有的證書和續(xù)訂日期。了解您有什么證書，證書在哪里使用，以及證書何時(shí)到期。可見性是避免意外中斷的第一步。

2. 評(píng)估您的密鑰存儲(chǔ)方法。如果您仍然依賴實(shí)體令牌，請(qǐng)開始探索基于云或托管的簽名解決方案。這些服務(wù)消除了令牌工作，并在新規(guī)則下實(shí)現(xiàn)自動(dòng)續(xù)訂。

3. 證書自動(dòng)化續(xù)訂與簽名工作流程。使用自動(dòng)化證書管理環(huán)境（ACME）協(xié)議或DigiCert API將證書頒發(fā)與輪換集成到您的構(gòu)建管道之中。自動(dòng)化可確保連續(xù)性并減少人為錯(cuò)誤。

4. 更新文檔與政策。修訂內(nèi)部安全與操作政策，以反映出最長為15個(gè)月的有效期。明確定義證書續(xù)訂、密鑰輪換和吊銷的所有權(quán)。 

5. 盡早與您的CA廠商聯(lián)系。您的證書頒發(fā)機(jī)構(gòu)可以幫助您規(guī)劃過渡工作，推薦自動(dòng)化策略，并確保您的環(huán)境在新規(guī)則開始實(shí)施之前就符合新標(biāo)準(zhǔn)。

擁抱數(shù)字信任的下一階段

證書有效期降至460天并不是一種干擾，而是一種進(jìn)步。行業(yè)持續(xù)向縮短證書有效期的方向發(fā)展，以加強(qiáng)安全性、鼓勵(lì)自動(dòng)化并降低風(fēng)險(xiǎn)，本次證書有效期的縮短是這一發(fā)展方向的延續(xù)。

到2026年3月，采用自動(dòng)化、基于云的簽名服務(wù)的組織將幾乎毫不費(fèi)力地適應(yīng)新規(guī)，而那些依賴手動(dòng)流程或傳統(tǒng)流程的組織可能會(huì)在不斷的續(xù)訂和操作摩擦中苦苦掙扎。

現(xiàn)在正是實(shí)現(xiàn)代碼簽名方法現(xiàn)代化的時(shí)機(jī)——不僅是為了滿足新的要求，也是為了加強(qiáng)每個(gè)軟件版本的完整性。 

已為采取下一步行動(dòng)做好準(zhǔn)備？與天威誠信聯(lián)系，以了解DigiCert Software Trust Manager可如何在460天新規(guī)生效之前幫助您簡化續(xù)訂、保護(hù)密鑰并實(shí)現(xiàn)簽名工作流程的現(xiàn)代化。