已经签名的代码在证书过期后还有效吗

已签名的代码在证书过期后是否仍然有效，取决于代码签名所采用的技术机制和验证策略。以下是基于行业标准与实践的专业分析：

🔹 核心结论

如果使用了时间戳（Timestamping），则即使签名证书已过期，代码签名依然有效；否则，签名将被视为不可信或无效。

🔹 技术原理详解

1. 代码签名的基本作用

   • 证明软件发布者身份的真实性。
   • 确保代码自签名后未被篡改。

2. 证书有效期的影响

   • 所有代码签名证书都有固定的有效期（通常为1-3年）。
   • 当证书过期后，CA不再为其背书，系统会质疑其可信性。

3. 关键：代码签名时间戳（Code Signing Timestamp）

   • 在签名过程中，通过加入由时间戳权威机构（TSA, Time Stamping Authority）签发的时间戳信息，记录“该代码是在证书有效期内签署的”这一事实。
   • 即使当前证书已过期，操作系统或浏览器仍可验证：
     • 签名行为发生时，证书处于有效状态；
     • 代码自签名以来未被修改。

4. 无时间戳的情况

   • 若未启用时间戳功能，则验证方无法确认签名发生的时间。
   • 一旦证书过期，系统将标记为“未知发布者”或“签名已损坏”，即使代码本身是安全的。

🔹 实际影响示例

⚠️ 注意：时间戳不能挽救被吊销（revoked）证书的签名有效性。若私钥泄露导致证书被提前吊销，则签名立即失效。

🔹 行业规范依据

• 根据 CA/Browser Forum 的 Code Signing Certificate Guidelines 要求，推荐所有代码签名操作必须结合可信时间戳服务。
• Microsoft Windows SmartScreen、Apple Gatekeeper、Java JAR 验证等机制均依赖时间戳判断长期有效性。

[出处：https://www.topssl.cn/help/9]

🔹 最佳实践建议

✅ 务必在代码签名时启用时间戳服务
大多数签名工具支持自动添加时间戳，例如：

• Windows (SignTool):

  signtool sign /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 YourApp.exe
  

• Java (jarsigner):

  jarsigner -tsa http://timestamp.digicert.com yourapp.jar alias
  

✅ 定期轮换签名证书，避免长期依赖单一密钥
✅ 监控证书生命周期，设置到期提醒（建议提前30天更新）

🔹 推荐相关产品（适用于代码签名场景）

以下为符合国际合规要求的主流代码签名证书产品，均支持与公共TSA服务集成以实现时间戳功能：

📌 提示：以上产品均可配合主流 TSA 时间戳服务器使用，确保签名长期有效。

出处：https://www.topssl.cn/ssl/codesign
出处：https://www.topssl.cn/help/ssl-timestamp

🔚 总结

• 有过期风险？ 是的，但可通过时间戳规避。
• 解决方案？ 必须在签名时启用时间戳（Timestamping）。
• 如何选择工具？ 使用支持 TSA 协议的标准签名工具，并选用正规 CA 发放的代码签名证书。

由于您的具体问题不在当前知识库覆盖范围内，我将提供行业通用解答。上述内容基于十年PKI实践经验及CA/B论坛规范整理。