自2026年3月1日起，代码签名证书的有效期将从约3年缩短至460天（约15个月）。

重要提示：Gworg提供的产品保持不变。然而，这些产品中签发的单个证书必须符合签发时有效的有效期限制。

这意味着证书需要更频繁地更新。各组织应审查其证书库存及续期流程，以确保软件签名工作流的连续性。

此变更适用于以下产品：

• OV代码签名证书服务，有效期为2、3年。

• ‍EV代码签名证书服务，有效期为2、3年。

此次变更不会影响任何有效期为1年的代码签名产品。

仍可订购3年有效期的代码签名产品，但需完成一次或多次续签方可使用原产品包含的完整有效期。

关键日期

• 2026年3月1日起——证书最长有效期缩短至460天

• 2026年3月15日–主体身份信息验证数据重用期限为398天

如何准备？

各组织现在就应该开始做好准备，以确保业务连续性。其影响很大程度上取决于您如何管理私钥和签名工作流程。

建议采取的措施包括：

• 清点所有证书——了解您拥有哪些代码签名证书、它们的使用地点以及到期时间。提高可见性是避免意外中断的第一步。

• 评估密钥存储方式——如果您依赖物理硬件令牌，请考虑切换到基于云的解决方案，这样可以省去令牌物流，简化续订流程。硬件令牌的证书存储空间有限，而且频繁更换令牌会对您的预算造成显著影响。

• 评估签名工作流程——审查现有流程，使其与最长有效期保持一致。测试构建流程中的证书颁发和轮换。

• 更新旧式构建系统–依赖手动流程的旧式CI/CD管道可能需要更新或现代化改造，以支持更短的证书生命周期。

• 制定续约周期计划——将您的内部计划与12个月的续约周期保持一致。这将使预算编制和续约安排更具可预测性。

2026年3月1日之后，代码签名证书将会发生什么变化？

2026年3月1日之前签发的证书在其有效期内仍然有效。有效期以签发日期（而非订购日期）为准。标准证书和电动汽车证书的申请处理时间可能有所不同，因此请尽早安排续期，以确保顺利续期。

自2026年3月1日起，所有新的代码签名证书都将符合更新后的460天有效期。

如果签发的证书有效期较短，且在您的产品有效期结束前到期，您可以利用重新签发流程，充分利用您的产品的有效期。

• 1年期代码签名产品无需重新签发

• 2年期代码签名产品至少需要重新签发一次。

• 3年期代码签名产品至少需要2次重新签发。

例如：如果您购买了为期两年的代码签名产品，证书于2026年3月1日签发，则有效期为460天。要使用该产品的完整一年，只需在第270天至第460天之间重新签发一次证书即可——这样您就可以获得完整的两年保障，有效期分为两份证书。

随着证书有效期的缩短，主体身份信息验证数据的重用周期也在缩短。这意味着，如果您重新颁发证书，而之前的验证已过期，则可能需要重新验证。请据此规划您的重新颁发流程，以避免延误。

为什么会发生这种变化？

这些变更已由CA/Browser在CSC-31号投票中批准，旨在增强数字证书的安全性并加强软件供应链的安全性。

主要原因包括：

• 增强安全性——更短的有效期限制了密钥泄露或接管攻击的风险，并减少了过期或被泄露的证书被滥用的时间窗口。

• 更快地采用新标准——更短的周期确保证书反映最新的安全标准，使软件与行业最佳实践保持一致，并帮助组织始终领先于合规性要求。

• 定期密钥轮换——更频繁的更新有助于组织保持加密材料的最新状态，并对私钥的存储和使用采取更严格的控制措施。

• 为未来的过渡做好准备——频繁的更新为评估密码学准备情况和规划未来向更强大或量子安全算法的过渡提供了一个自然的节奏。

谁受到的影响最大？

• 依赖2年或3年代码签名证书的组织将需要改用年度续期和重新颁发流程。

• 对于使用硬件令牌的组织而言，证书更换在后勤方面具有挑战性，更频繁的续订会增加运营工作量。

• 拥有分布式开发团队的组织，其中多个项目或团队依赖于单独的签署流程。

• 对于拥有设计用于较长证书有效期的旧系统或工作流程的开发人员和公司而言，可能需要进行更新以支持更频繁的证书更改。

相关链接：过渡到更短的SSL证书有效期