Code-Signatur-Zertifikate werden bald eine viel kürzere Lebensdauer haben. Eine neue Branchenregel, die am 17. November 2025 verabschiedet wurde, verkürzt ihre maximale Gültigkeitsdauer von 39 Monaten auf 460 Tage, mit Wirkung vom 1. März 2026. Die Änderung ist in den aktualisierten Code Signing Baseline Requirements v3.10.0 enthalten .

Alle großen Verwaltungsbehörden in der Arbeitsgruppe unterstützten die Änderung: 7 stimmten mit „JA“, 2 enthielten sich, keiner war dagegen. Auf der Plattformseite stimmte der einzige teilnehmende Anbieter, Microsoft, ebenfalls mit „JA“. Der klare Konsens signalisiert eine breite Ausrichtung der Branche auf eine strengere Zertifikatshygiene.
Was treibt den Trend zu kürzeren Zertifikatslaufzeiten an?
Ende 2024 entdeckten Forscher von HarfangLab die Hijack Loader Operation, eine Kampagne, bei der Kriminelle gültige Code-Signatur-Zertifikate verwendeten, um Malware zu signieren, die für den Einsatz des Lumma-Informationsdiebstahls entwickelt wurde. Da die Dateien legitime Signaturen trugen, schlüpfte die Malware durch viele Sicherheitskontrollen und erreichte weit mehr Opfer als eine unsignierte Nutzlast es je könnte.
Auch im Bereich des digitalen Vertrauens findet ein breiterer Wandel statt. SSL-Zertifikate sind bereits von einer mehrjährigen Gültigkeit zu kurzen Rotationszyklen übergegangen. Die Code-Signierung folgt nun demselben Weg. Angesichts der bevorstehenden Post-Quantum-Kryptographie braucht die Branche einen schnelleren Wechsel, eine sauberere Schlüsselverwaltung und eine häufigere Überprüfung. Langlebige Zertifikate verlangsamen diesen Übergang und lassen zu viel Raum für stille Kompromisse.
Was ändert sich für Entwickler?
Das neue Gültigkeitsfenster wird direkt in die Entwicklungs-, Freigabe- und Lieferantenprozesse integriert. Die Änderung erzwingt neue Gewohnheiten in der gesamten Kette:
- Systeme, die auf langfristige Schlüssel angewiesen sind, müssen umstrukturiert werden: Build-Server, die ein Zertifikat über Jahre hinweg speichern, werden den kürzeren Zyklus nicht überleben. Die Teams müssen die Schlüssel planmäßig rotieren, die Build-Konfigurationen aktualisieren und ein unerwartetes Auslaufen mitten im Release verhindern.
- Bei der Signierung in der Luft wird die Logistik strenger: In Sektoren wie der industriellen Steuerung, dem Gesundheitswesen und der Regierung werden die Zertifikate oft von Hand in isolierte Netzwerke getragen. Sie benötigen jetzt vorhersehbare Importzyklen und eine Nachverfolgung der Erneuerung, damit signierte Software nicht auf ein neues Zertifikat warten muss.
- Veraltete Signierwerkzeuge werden nicht funktionieren, wenn sie nicht aktualisiert werden: Alte Skripte, die Zertifikatspfade fest programmieren oder einen einzigen, langlebigen Schlüssel erwarten, werden versagen, sobald dieser Schlüssel abläuft. Pipelines benötigen eine dynamische Auswahl von Zertifikaten und einen automatischen Abruf anstelle von statischen Ordnern.
- Vorfälle mit Schlüssellecks lassen sich leichter eindämmen: Angreifer können sich nicht auf ein mehrjähriges Zertifikat verlassen, das noch lange nach einem Verstoß gültig ist. Unternehmen müssen immer noch schnell widerrufen, aber der Explosionsradius schrumpft.
- Compliance- und Identitäts-Teams werden mit einem engeren Zeitplan arbeiten: Teams, die für die Validierung von EVs oder Organisationen zuständig sind, müssen ihre internen Kalender anpassen, damit Verzögerungen bei der Erneuerung nicht die Veröffentlichung von Produkten blockieren.
Verfügbarkeit von Code Signing-Zertifikaten und HSM-Anforderungen
Die Optionen für die Codesignatur hängen von der Zertifizierungsstelle ab, und dies wirkt sich direkt darauf aus, wie Sie Ihre Schlüssel verwalten:
- DigiCert und GoGetSSL bieten nur 1-Jahres-Codesignatur-Zertifikate an. Sie können entweder ein von der CA bereitgestelltes Hardware-Sicherheitsmodul (HSM) wählen oder Ihr eigenes HSM verwenden.
- Bei Sectigo (Comodo) können Sie Zertifikate für bis zu 3 Jahre bestellen, aber die Einrichtung ändert sich:
- Für ein 1-Jahres-Zertifikat können Sie ein von der CA zur Verfügung gestelltes HSM oder Ihr eigenes HSM verwenden.
- Für 2- oder 3-Jahres-Zertifikate müssen Sie Ihr eigenes HSM verwenden. Es wird keine CA-Hardware bereitgestellt.
Wenn Sie sich für ein mehrjähriges Abonnement entscheiden, haben Sie die volle Kontrolle über die Speicherung und Sicherheit der Schlüssel.
Was bedeutet es, wenn Sie derjenige sind, der Builds versendet?
Das 460-Tage-Fenster ändert vor allem eines: das Timing. Das Signieren ist nicht länger eine seltene Aufgabe, sondern wird Teil Ihres Veröffentlichungsrhythmus. Sie merken früher, wenn ein Zertifikat alt wird. Und Ihre Pipeline bleibt sauberer, weil die Rotation in den Fluss eingebaut ist und nicht nur ein Notfall.

Für SSL Dragon-Kunden kommt diese Veränderung der Arbeitsweise der meisten Teams entgegen. Kürzere Zyklen passen zu modernen Veröffentlichungsplänen, so dass Sie weniger Gefahr laufen, kurz vor einer Auslieferung von einem abgelaufenen Zertifikat überrascht zu werden. Wenn Sie zur Cloud-Signierung oder zu HSM-basierten Schlüsseln übergehen, ist der Übergang sogar noch reibungsloser und die Rotation erfolgt unauffällig im Hintergrund.
Der Trend ist klar: Kürzeres Vertrauen, schnellere Rotation
Kürzere Lebensdauern werden nicht alle Risiken in der Lieferkette beseitigen, aber sie bringen die Branche zu gesünderen Praktiken. Signierschlüssel können nicht mehr jahrelang unbemerkt bleiben, und die Freigabe-Workflows müssen an den neuen Rhythmus angepasst werden. Der März 2026 rückt schnell näher, und die Pipelines, die sich frühzeitig anpassen, werden das spätere Gedränge vermeiden.
SSL Dragon’s Take
Von unserer Seite aus ist diese Änderung eine gute Nachricht. Sie schafft saubere Gewohnheiten und verringert den Schaden, den ein verlorener oder gestohlener Schlüssel anrichten kann. Die Teams, die am meisten unter Zertifikatsproblemen leiden, sind selten diejenigen, die schlechte Absichten haben. Es sind diejenigen, die ein einziges langlebiges Zertifikat in einer alten Build-Maschine vergraben hatten und es zum denkbar ungünstigsten Zeitpunkt entdeckten. Ein 460-Tage-Fenster zwingt dieses Risiko in die Öffentlichkeit.
Für unsere Kunden geht es bei der Umstellung vor allem um das Bewusstsein und weniger um die Arbeitsbelastung. Das kürzere Zeitfenster macht die Zertifikatsrotation zu einem Teil der natürlichen Freigabe und nicht zu einer seltenen Wartungsaufgabe. Der schnellere Zyklus deckt auch auf, wo ältere Pipelines oder vergessene Maschinen immer noch von langlebigen Zertifikaten abhängen, ohne dass es jemand bemerkt, was oft zu Verzögerungen oder Sicherheitslücken führt.
Wenn Sie sich zum ersten Mal mit Code Signing beschäftigen, setzt dieses Update die richtigen Erwartungen. Vertrauen ist nicht etwas, das jahrelang unangetastet bleibt. Es bewegt sich mit der Software, die es schützt. Im neuen Fenster geht es vor allem um Schutz und Vorhersehbarkeit, und wir helfen unseren Kunden bei der Auswahl der richtigen Produkte und Arbeitsabläufe, damit der Übergang reibungslos und nicht störend verläuft.
Quelle: CA/Browser Forum – Stimmzettel CSC-31: Verkürzung der Lebensdauer von Code Signing-Zertifikaten
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10






