代码签名证书有效期大缩水！CA/B论坛新提案发布，开发者如何应对？

2025年9月19日消息——CA/B论坛代码签名工作组（Code Signing Working Group,CSCWG）近日发布一项重要投票草案（CSC-31），计划将公开信任代码签名证书的最长期限从当前的39个月缩短至460天（约15个月）。

新规预计自2026年3月1日起正式生效。

该提案由微软的Karina Sirota Goodley与Nate Santiago牵头提出，并获Sectigo的Martijn Katerbarg及eMudhra的Scott Rea联合支持。

根据流程，投票将在9月23日结束讨论并进入正式表决阶段，最终结果预计于10月初公布。

　为什么要缩短有效期

代码签名是开发者对软件进行数字签名以验证其真实性与完整性的关键技术。它通过加密签名机制实现三大核心保障：

真实性：确保软件来源可信，防范冒名分发；

完整性：防止代码在传输或存储过程中被篡改；

可信性：降低用户遭遇恶意软件的风险。

近年来，软件供应链攻击事件频发。自2020年SolarWinds事件以来，业界对代码签名和证书管理的关注度持续上升。根据Encryption Consulting《2025年全球加密趋势报告》，截至2024年，已有54%的企业实施了代码签名机制，并有87%的受访机构计划在年内进一步推进相关应用。

证书有效期缩短有助于减少长期风险窗口，推动企业提升自动化安全管理水平，具体体现在：

提升安全性：较短的生命周期使证书能够更快地完成更新与撤销；

简化合规性：短期证书能够确保其配置与使用始终符合最新的安全标准与行业规范。更高频次的续订不仅帮助组织保持与最佳实践同步，也有效降低了因证书过期或标准滞后带来的合规风险。

对齐国际趋势：此举延续了TLS/SSL证书有效期缩短至47天的趋势，推动各类数字证书迈向更一致的高频更新节奏。

　有什么影响

若该提案通过，将直接影响证书颁发机构（CA）、企业及开发者的证书管理策略，包括：

证书更新频率——从原来的39个月一次调整为460天一次，证书管理的复杂度上升，企业需提前规划证书续订流程

自动化部署——将代码签名深度集成至CI/CD流水线，实现构建自动签名

合规与审计——更严格的日志记录和密钥管理机制将成为行业“硬指标”

这一政策可视为“以安全驱动升级”的典型实践，通过提高证书更新频率，推动代码签名从合规工具演进为软件供应链安全的核心基础设施。

值得关注的是，全球数字签名市场正迅猛发展，预计将从2024年的99.4亿美元增长至2030年的702.5亿美元，年复合增长率达38.5%。

证书政策的收紧既是对安全威胁的响应，也反映出该领域逐渐成熟和监管加强的必然趋势。

编辑｜公钥密码开放社区

免责声明

1、本文部分内容来源于网络，不代表本网站立场。本网站对上述信息的来源、准确性及完整性不作任何保证。在任何情况下，本文信息仅作参考。

2、文章重在分享，如有原创声明和侵权，请及时联系本站，我们将在24小时之内对稿件作删除处理。