Avez-vous déjà mis à jour vos certificats de signature de code ?
La tendance à la réduction de la durée de vie des certificats ne concerne plus uniquementTLS . La recommandation du CA/B Forum visant à raccourcir cette durée s'étend à tous les types de certificats, et c'est désormais au tour de la signature de code.
La grande offensive du Forum CA/B en faveur d’une réduction de la durée de vie
Le Forum CA/Browser (CA/B) n'a cessé de réduire la durée de validité des certificats. Depuis toujours, la durée de vie des certificats n'a cessé de diminuer, et cette tendance ne fait que s'accélérer.
En avril 2025, le Forum CA/B a adopté une résolution visant à réduire la durée de validité maximaleTLS à seulement 47 jours d'ici 2029, dans le but de renforcer la sécurité en ligne, de favoriser l'automatisation de la gestion des certificats et de préparer les systèmes aux défis liés à l'informatique quantique.
Le raisonnement est clair. Lorsqu’une clé privée de certificat est compromise, l’ampleur des répercussions dépend directement de la durée de validité de ce certificat. Avec des certificats d’une durée de 47 jours, cette période d’exposition diminue considérablement.
Certificats de signature de code : un défi particulier et urgent
À compter du 1er mars 2026, la durée de validité maximale des certificats de signature de code de confiance publique sera limitée à 460 jours (soit environ 15 mois), contre 39 mois auparavant.
Cela peut sembler être une période suffisante, mais pour de nombreuses équipes de développement, l'impact est immédiat et considérable. Ce qui était autrefois un processus de plusieurs années, du genre « configurez-le et n'y pensez plus », est désormais une obligation annuelle qui doit être gérée de manière réfléchie.
Les difficultés s'accumulent rapidement : les développeurs stockent souvent leurs clés de signature dans des emplacements peu sécurisés — sur des postes de travail, des serveurs de compilation ou hardware susceptibles d'être égarées. Les processus de validation manquent d'uniformité. Il est souvent impossible de savoir quels certificats existent au sein d'une organisation, quand ils expirent et à qui ils appartiennent. Et, à mesure que les cycles de renouvellement se raccourcissent, ces lacunes deviennent de plus en plus dangereuses.
Il y a également un problème lié au pipeline de compilation. Un certificat de signature qui expire en cours de cycle de publication n'est pas seulement un désagrément : cela peut bloquer complètement software , retarder les correctifs et éroder la confiance des utilisateurs finaux dont les systèmes d'exploitation signalent software non signés ou mal signés.
Et ce n'est là qu'une première mesure de restriction. Si l'on en juge par TLS , les certificats de signature de code feront l'objet de nouvelles restrictions dans les années à venir.
Ce que les organisations devraient faire dès maintenant
La réduction de la durée de validité incite fortement les organisations à renforcer leurs processus de signature de code. Même si vous avez déjà renouvelé vos certificats, voici quelques mesures concrètes pour améliorer encore davantage votre sécurité et votre efficacité.
Commencez par dresser un inventaire. Vous ne pouvez pas gérer ce que vous ne voyez pas. Auditez chaque certificat de signature de code sur l'ensemble des produits, des pipelines et des environnements. Vous devez savoir qui l'a émis, quand il expire et où se trouve la clé privée. Cette visibilité de base constitue le fondement de la sécurité de chaque certificat au sein de votre organisation.
Transférez les clés vers hardware. Les clés de signature privées ne doivent jamais être stockées sur des systèmes de fichiers ou des postes de travail de développeurs. Leur stockage dans un module hardware (HSM), qu'il soit sur site ou dans le cloud, constitue à la fois une bonne pratique en matière de sécurité et, de plus en plus, une exigence de conformité.
Automatisez vos processus de signature. Le renouvellement manuel des certificats est source d'erreurs, inefficace et ne s'adapte pas à l'évolution des besoins. En automatiser le renouvellement des certificats, vous pouvez non seulement éliminer le risque qu’un renouvellement manqué bloque une mise en production, mais aussi économiser vos ressources les plus précieuses : le temps et l’argent.
Préparez-vous à de futures réductions. La durée de validitéTLS est passée de cinq ans à un an, puis à 200 jours, et d'autres réductions sont prévues. Les certificats de signature de code suivent désormais la même voie.
C'est le moment de mettre en place de nouveaux processus plus résilients.
Sécurisation de la signature de code à grande échelle
Ce changement correspond exactement au type de défi que Keyfactor conçu pour relever.
Keyfactor Signum centralise la gestion des certificats de signature de code, des politiques et des autorisations dans un tableau de bord unique, et simplifie les audits grâce à un journal d'événements complet sur l'utilisation et l'accès aux clés privées de signature de code. Les clés privées sont générées et stockées dans un HSM certifié FIPS 140-2, de sorte qu'elles ne quittent jamais l'enclave sécurisée. Parallèlement, les développeurs conservent la possibilité de signer du code où qu'ils se trouvent, en utilisant les outils natifs qu'ils connaissent déjà.
Des contrôles d'accès granulaires déterminent qui peut signer, quels appareils et outils sont autorisés, et à quels moments. Cela permet d'appliquer facilement les politiques de sécurité sans créer de goulots d'étranglement dans le processus de développement, le tout avec une piste d'audit complète.
Lorsque le Forum CA/B réduira à nouveau la durée de validité des certificats (et cela arrivera), les organisations utilisant Keyfactor se démener pour s'adapter.
