尊敬的合作伙伴与客户:
根据 CA/Browser Forum(CA/B论坛)已发布的 Ballot CSC-31(公开信任代码签名证书基线要求更新),公开信任(Publicly-Trusted)代码签名证书的最长有效期将由 39个月 缩短为 460天,并于 2026年3月1日 起生效。 CA/Browser Forum
为便于大家清晰规划采购、续期与签名流程改造,现按 CA 机构分别汇总其“代码签名证书有效期缩短”关键时间节点如下。
一、行业统一生效节点(适用于所有公开信任代码签名证书)
2026年3月1日(含)起:公开信任代码签名证书 最长有效期 = 460天(由原 39个月缩短)。 CA/Browser Forum
二、各 CA 机构时间表(代码签名证书)
| 不同 CA 停止新签发2年或者3年有效期代码签名证书的时间点 | 460天上限最晚时间点 | 备注 | |
GlobalSign | 2025-12-26 | 2026-03-01 460天上限正式生效 按CA/B论坛基线要求执行,所有公开信任的CA机构均需要遵循。 | GlobalSign 官方说明:2025-12-26 起停止签发2年/3年代码签名证书;2026-02-24 之后新签发或续订将受新有效期规则约束。 解释:若在2025年12月26日或之前订购,可于2026年2月24日前重颁发以利用其剩余有效期。2026年2月24日之后,任何重颁发或更新操作均须遵循CA/B论坛的新指南,即不得超过460天。 |
DigiCert | 待定 | DigiCert 官方强调该变更影响所有使用公开信任代码签名证书的组织,并建议提前现代化签名/密钥与续订流程,但暂未发布具体哪天开始执行新规则的时间。 | |
Certum | 2026-03-01 | 跟 CA/B 的时间几乎一样。且若您在环度网信申请了2年/3年代码签名“产品”,可以通过1次或多次重颁发(reissue)来获得整个周期的产品。 | |
Sectigo | 待定 | 截至本公告发布时点,我们暂未收到 Sectigo 针对“460天代码签名有效期”单独发布的通知,若有更新,我们将第一时间更新在本通知中。 | |
三、对客户的影响与建议(代码签名场景)
更新频率提高:最晚自 2026-03-01 起,新签发的公开信任代码签名证书需要更高频轮换(约15个月一换)。 CA/Browser Forum
建议尽早做三件事:
盘点当前用于发布/驱动签名的证书、UKey/硬件令牌、HSM/云签名服务与到期日;
将证书更新与签名动作纳入 CI/CD,减少“到期导致发版阻塞”;
如采用多年期“产品/服务”,提前规划 reissue/重颁发节奏,避免临近到期集中操作造成签名中断。
如需我们基于贵司现有发布链路(Windows/Java/macOS驱动签名、CI/CD、令牌或HSM、时间戳策略等)提供“460天时代”的迁移建议与实施方案,欢迎与上海环度信息科技有限公司联系。
上海环度信息科技有限公司
电话:400-9989-115
2025年12月23日
- 扫一扫二维码可分享朋友或朋友圈
