根据 CA/B 论坛发布的 CSC-31 提案要求,全球受信任的证书颁发机构(CA)正在推进代码签名证书有效期的缩减。这一举措旨在通过缩短密钥对的生命周期来降低被破解的潜在风险。涉及的品牌包括锐安信 (sslTrus)、Sectigo、Digicert 及 Globalsign 等。对于开发者而言,理解此次政策调整的边界与技术路径,是保障软件发布流水线不间断的关键。 本次调整的核心逻辑在于确保证书体系的合规性,同时通过技术手段(如远程签名)解决物理硬件在短周期换发过程中的局限性。从实际情况来看,这一变动不仅是政策性的,更是推动签名流程向自动化、云端化转型的技术催化剂。
您好!非常感谢您一直以来对topssl的信任和支持。
为严格遵循CA/B 论坛的CSC-31提案,增强安全性与满足合规性,锐安信(sslTrus)、Sectigo、Digicert、Globalsign等品牌厂商将陆续调整代码签名证书最长有效期。现将调整时间表及建议措施通知如下,请您提前做好应对。
| 技术说明与状态 | 运维注意事项 | |
|---|---|---|
| 品牌 | 锐安信、Sectigo、Digicert、Globalsign | 需核对不同品牌具体的截止时间点 |
| 有效期 | 最长有效期将严格限制(通常为 1 年期) | 部分厂商会预留 1 天缓冲期以规避时区误差 |
| 存量证书 | 在有效期内的旧证书不受影响 | 无需撤销重签,可正常使用至其到期日 |
| 私钥载体 | 物理 UKey 或 云端 HSM 存储 | 政策倾向于更安全的不可导出存储方案 |
为确保软件正常签名,建议您采取以下措施:
1、检查现有代码签名证书的有效期,在调整时间前,适时申请2年期或3年期的长有效期代码签名证书。
2、考虑转向更安全、高效的签名方式:使用远程代码签名服务。
无需UKey:消除物理令牌的物流慢、管理复杂、丢失和损坏风险。
即签即用:通过云端HSM密码机存储私钥,助力分布式开发团队跨域协同远程安全签名。
自动化集成:无缝集成CI/CD流水线,实现无人值守的自动化签名,极大提升 DevOps 效率
若您想进一步了解此次调整的具体细节,或需要远程代码签名的详细信息,请随时与我们联系,我们将提供专业支持。
2004-2026 © 北京传诚信 版权所有 | TopSSL提供免费SSL证书与付费证书,快速实现HTTPS加密 北京市朝阳区鹏景阁大厦16层
京公网安备11010502031690号 
网站经营企业工商营业执照