W październiku 2025 r. CA/Browser Forum zatwierdził zmianę mającą na celu ograniczenie maksymalnego okresu ważności publicznie zaufanych certyfikatów Code Signing z dotychczasowych 39 miesięcy do 460 dni (ok. 15 miesięcy). Zmiana ta zacznie obowiązywać od 1 marca 2026 r. i ma kluczowe znaczenie dla bezpieczeństwa łańcucha dostaw oprogramowania (Software Supply Chain Security).

Dlaczego ta zmiana jest wprowadzana?

Główne cele tego ruchu to:

• Redukcja ryzyka związanego z kompromitacją kluczy prywatnych – krótsze okresy ważności ograniczają czas, w którym skradziony klucz może zostać użyty do podpisywania złośliwego kodu.
• Promowanie automatyzacji zarządzania certyfikatami – częstsze odnawianie certyfikatów wymaga nowoczesnych narzędzi do automatyzacji procesów w cyklu DevOps.
• Zgodność z trendami bezpieczeństwa – rynek PKI przesuwa się w kierunku krótszych cykli życia certyfikatów, podobnie jak w przypadku SSL/TLS.

Zmiana ta wpisuje się w szerszy trend, w którym certyfikaty cyfrowe – w tym certyfikaty TLS/SSL – przechodzą na model krótkiej żywotności, co wymusza lepsze planowanie cykli odnawiania i modernizację infrastruktury zabezpieczeń.

Kogo dotyczy nowy okres ważności?

Każda organizacja korzystająca z publicznie zaufanych certyfikatów Code Signing będzie zmuszona dostosować się do nowego limitu:

• Firmy i zespoły developerskie – częstsze odnawianie certyfikatów wymaga aktualizacji planów operacyjnych i harmonogramów podpisywania oprogramowania.
• Użytkownicy sprzętowych tokenów FIPS/Common Criteria – największe wyzwanie stoi przed zespołami, które dotychczas przedłużały ważność certyfikatów razem z tokenami fizycznymi; cykl odnawiania będzie musiał być skrócony.
• Organy stosujące rozwiązania chmurowe i zarządzane – platformy typu cloud signing z automatycznym odnowieniem (np. usługi zarządzane przez dostawców PKI) będą odczuwać zmiany minimalnie, ponieważ automatyzacja już jest częścią ich standardowego workflow.

Kluczowe konsekwencje operacyjne.

Skrócony okres ważności powoduje konkretne zmiany w praktyce:

• Częstsze odnawianie certyfikatów – organizacje powinny planować cykl odnawiania certyfikatów co ok. 12 miesięcy, co wymaga lepszego harmonogramowania i automatyzacji.
• Modernizacja procesów i narzędzi – starsze procesy ręcznego podpisywania kodu i manualne odnawianie certyfikatów muszą zostać zastąpione przez zautomatyzowane CI/CD i integracje API (np. z wykorzystaniem protokołów automatycznego zarządzania certyfikatami).
• Ocena sposobów przechowywania kluczy – jeżeli klucze są przechowywane na fizycznych nośnikach, organizacje powinny rozważyć migrację do bezpiecznych, zautomatyzowanych środowisk chmurowych, co zmniejsza złożoność procesu odnawiania i obniża ryzyko błędów administracyjnych.

Jak przygotować się do zmian?

Rekomendowane działania obejmują:

• Przegląd aktualnego stanu certyfikatów Code Signing – identyfikacja dat wygaśnięcia i harmonogramów odnawiania.
• Ocena wykorzystywanych narzędzi i procesów CI/CD – modernizacja pipeline’ów w celu integracji z automatycznymi mechanizmami wydawania i odnowienia certyfikatów.
• Rozważenie przechowywania kluczy w środowiskach zarządzanych – redukuje to obciążenia administracyjne i zautomatyzuje cykle odnowień.
• Aktualizacja wewnętrznych polityk bezpieczeństwa – wprowadzenie procedur obsługi krótszych cykli życia certyfikatów i zarządzania kluczami.

Zmiana dotycząca maksymalnej ważności certyfikatów Code Signing z 39 miesięcy na 460 dni stanowi istotne posunięcie w kierunku większego bezpieczeństwa ekosystemu oprogramowania. Organizacje, które wcześniej ignorowały automatyzację zarządzania certyfikatami, muszą przyspieszyć adaptację nowoczesnych narzędzi i procesów, aby utrzymać zgodność operacyjną i minimalizować ryzyko naruszeń.

Masz pytania związane z nadchodzącymi zmianami? Nasz zespół jest do Twojej dyspozycji.