CA/浏览器论坛已批准一项新投票，将公共信任代码签名证书的最长有效期从39个月（约三年）缩短至460天（约15个月）。此项变更将于2026年3月1日生效，体现了业界持续鼓励自动化和加强软件供应链安全（SSC）的努力。

对于依赖代码签名来证明其软件真实性和完整性的组织来说，这一变化提出了重要的运营问题：这对我们意味着什么？这次更新对谁的影响最大？或许最重要的是，我们应该做好哪些准备？

从TLS到代码签名：转向更短的有效期

证书颁发机构/浏览器论坛(CA/BF)是由证书颁发机构、浏览器供应商和平台提供商组成的机构，负责定义可信证书的规则，并定期审查有关数字证书的标准。较短的有效期可确保加密材料更频繁地轮换，从而减少私钥泄露的风险。

更频繁的密钥更新还能帮助组织保持密钥的更新，符合现代标准，并对私钥的存储和使用方式和位置进行更严格的控制。这为评估加密就绪性以及规划未来向更强大或量子安全算法的过渡提供了自然的节奏。

近年来，我们看到TLS/SSL证书的有效期已降至398天。2026年3月，该期限将再次降至200天，次年降至100天，2029年则骤降至47天。

现在轮到代码签名了。新的460天期限将代码签名与这种短期证书

模型保持一致——该模型旨在通过定期密钥轮换和更快采用更强大的安全措施来最大限度地降低风险。这一变化也反映了软件和签名环境变化速度远超以往的现实。

谁会受到影响？

所有使用公共信任证书签署代码的组织都将受到新的460天期限的影响。影响程度很大程度上取决于您如何管理私钥和签名工作流程。

硬件令牌用户

将私钥存储在符合联邦信息处理标准(FIPS)或通用标准的硬件令牌（例如USB令牌）上的组织将面临最大的运营变化。证书（以及令牌本身）必须在2026年3月1日之后每15个月更换一次。目前，许多团队采购的是多年期令牌，并且续订频率较低；现在需要

大幅缩短续订周期。

使用基于云的签名服务的客户

通过KeyLocker或SoftwareTrustManager等托管签名平台对代码进行签名的用户将受到的干扰降至最低。由于这些服务已在安全环境中自动完成证书续订和密钥轮换，因此更短的生命周期对用户来说几乎

不可见。

拥有旧版构建系统的开发人员

依赖手动流程或静态证书的旧式CI/CD流水线将需要更新。这些环境的现代化改造可能很复杂，但这一变化明确地激励了人们实现自动化并与现代签名API集成，从而降低未来的维护开销和风险。

这对客户意味着什么

最直接的收获是代码签名证书的更新频率将会更高。虽然这看起来像是额外的工作，但最终是朝着弹性和安全性迈出的积极一步。

客户应该期待：

年度续订节奏：围绕12个月的周期构建内部日历，以便您可以在证书到期之前预算和安排续订。

更频繁的硬件更新：如果您使用令牌，请与您的安全团队合作评估基于云的签名服务是否可以简化管理。

更加注重自动化：随着证书生命周期的缩短，手动证书管理已不可持续。自动化可以降低中断风险，并实现无缝轮换。

与SSC最佳实践更加紧密地保持一致：频繁更新可加强防止恶意软件注入和篡改的控制。

如何为更短的代码签名证书生命周期做准备

这项变更为您提供了升级您的签名基础设施的机会——不仅能保持合规性，还能提升安全性和效率。以下是您在为新的15个月有效期做准备时需要采取的关键措施。

清点您当前的证书及其续订日期。了解您拥有的证书、使用情况以及到期日期。可见性是避免意外中断的第一步。

评估您的密钥存储方法。如果您仍然依赖物理令牌，请开始探索基于云或托管的签名解决方案。这些服务无需处理令牌物流，并支持新规则下的自动续订。

自动化续订和签名工作流程。使用自动化证书管理环境(ACME)协议或API，将证书颁发和轮换集成到您的构建流程中。自动化可确保连续性并减少人为错误。

更新文档和政策。修订内部安全和运营政策，以反映15个月的最长有效期。明确定义证书续订、密钥轮换和撤销的所有权。

尽早与您的CA沟通。您的证书颁发机构可以帮助您规划过渡，推荐自动化策略，并确保您的环境在新标准实施开始之前就满足要求。

拥抱数字信任的下一阶段

证书有效期改为460天并非颠覆，而是一种进步。它延续了行业持续发展，缩短证书有效期，从而增强安全性、促进自动化并降低风险。

到2026年3月，采用自动化、基于云的签名服务的组织将几乎毫不费力地适应，而依赖手动或传统流程的组织可能会面临不断更新和运营摩擦的困扰。

现在是时候对代码签名方法进行现代化改造了——不仅仅是为了满足新的要求，而且是为了加强每个版本的完整性。