Redução da validade dos Certificados Code Signing a partir de 2026

Desde o dia 24 de fevereiro de 2026, a validade dos certificados Code Signing foi reduzida para no máximo 459 dias. Esta mudança afeta todos os certificados de assinatura de código: Code Signing OV e Code Signing EV, e foi aprovada pelo CA/Browser Forum através do Ballot CSC-31.

Mesmo com a diminuição da validade dos certificados Code Signing, você poderá contratar conosco um plano de assinatura de até 3 anos. O plano permite a reemissão do certificado até completar a validade contratada. Dessa forma você fica protegido de aumento de preços e garante que o certificado estará ativo durante o período contratado.

Caso contrate conosco um certificado Code Signing em um plano de 2 ou 3 anos, será necessário reemitir o certificado a cada 459 dias até completar a validade do plano contratado. A reemissão do certificado é gratuita durante o período contratado.

Os certificados Code Signing que foram emitidos antes de 24 de fevereiro de 2026, permanecerão válidos por todo o seu período de validade (ou seja, até atingir a data de validade original), desde que não sejam reemitidos ou revogados.

Os certificados de Code Signing passaram a ser obrigatoriamente emitidos em um dispositivo criptográfico (token USB ou HSM compatível) desde maio de 2023. Não é mais possível emitir certificados Code Signing em arquivo PFX.

Os nossos certificados Code Signing são emitidos pela DigiCert, com opção de armazenamento seguro em token USB ou HSM.

Token USB

Os tokens USB para armazenamento de certificados Code Signing oferecem segurança física robusta ao guardar as chaves criptográficas em hardware tamper-resistant. Eles exigem a presença física do dispositivo para as assinaturas, reduzindo riscos de roubo remoto ou cópias não autorizadas.

Vantagens de utilizar um token USB:

• Alta segurança: As chaves não podem ser extraídas ou copiadas, graças à criptografia forte e mecanismos anti-tampering.
• Portabilidade: Dispositivo compacto, similar a um pendrive, permite uso em múltiplos computadores sem instalação permanente.
• Facilidade de uso: O token USB é facilmente integrado a softwares de assinatura de código, como o Java KeyStore (JKS) e o Keytool.
• Sem custos extras: Não requer leitores adicionais, apenas USB padrão, e compatível com sistemas legados.
• Controle físico: Garante o uso apenas pelo titular com PIN, atendendo os padrões de code signing.

Desvantagens de utilizar um token USB:

• Risco de perda/dano: Se extraviado ou danificado, o certificado fica inutilizado até a revogação e reemissão.
• Baixa mobilidade: Limitado a computadores com drivers instalados; incompatível com mobiles e exige PIN por operação, com risco de bloqueio.
• Dependência física: Precisa estar presente, o que inviabiliza o uso em cenários remotos ou multiusuário simultâneo.
• Vida útil limitada: O mesmo token USB somente pode ser utilizado por 3 anos para o armazenamento do certificado code signing.

Temos disponível em estoque no Brasil, os seguintes modelos de token USB:

• SafeNet eToken USB 5110 FIPS (ECC)
• SafeNet eToken 5110 CC (RSA 4096 & ECC)

HSM (Cloud Code Signing)

O HSM (Hardware Security Module) é um dispositivo de hardware que fornece segurança adicional para o armazenamento e gerenciamento de chaves criptográficas.

O certificado code signing armazenado em um HSM oferece vantagens significativas em relação ao token USB:

• Maior Segurança: As chaves criptográficas são armazenadas em um ambiente seguro e isolado, minimizando riscos de perda ou roubo físico, ao contrário dos tokens USB, que dependem de cuidados manuais e são vulneráveis a extravios.
• Acesso Remoto e Multiusuário: Com HSM, é possível assinar remotamente via nuvem, permitindo múltiplos usuários simultâneos e integração com pipelines CI/CD, sem necessidade de inserir um dispositivo físico em cada máquina.
• Automação e Escalabilidade: HSMs suportam assinaturas em lote de forma rápida e automatizada, ideais para grandes volumes de código, enquanto tokens USB limitam o uso a operações offline e sequenciais.

Os nossos certificados code signing podem ser armazenados nos principais serviços de HSM em nuvem:

• DigiCert KeyLocker: HSM da DigiCert que pode ser utilizado com as ferramentas de assinatura SignTool, KSP library, JCE library, PKCS11 library, SMCTL e Jarsigner.
• Google Cloud HSM (KMS): Pode ser utilizada a ferramenta Jsign para a assinatura de código ou outra ferramenta compatível com o KMS.
• Azure Key Vault: Pode ser utilizada a ferramenta AzureSignTool para a assinatura de código.

Consulte a nossa Equipe de Suporte para saber mais sobre o DigiCert KeyLocker e os nossos serviços de instalação, configuração e homologação do Google Cloud HSM e Azure Key Vault para uso do certificado Code Signing.

Conclusão

A diminuição do prazo de validade dos certificados code signing e a obrigatoriedade do armazenamento seguro da chave privada em Token USB ou HSM, foram determinações do CA/Browser Forum para aumentar a segurança e reduzir o risco de fraudes.