Em breve, os certificados de assinatura de código terão uma vida útil muito mais curta. Uma nova regra do setor aprovada em 17 de novembro de 2025 reduz sua validade máxima de 39 meses para 460 dias, a partir de 1º de março de 2026. A alteração aparece nos Requisitos básicos de assinatura de código v3.10.0 atualizados .

Todos os principais CAs do grupo de trabalho apoiaram a alteração: 7 votaram “SIM”, 2 se abstiveram e nenhuma se opôs. Com relação à plataforma, o único fornecedor participante, a Microsoft, também votou “SIM”. O consenso claro sinaliza um amplo alinhamento do setor em relação a uma higiene mais rígida dos certificados.
O que está impulsionando o impulso para reduzir a vida útil dos certificados?
No final de 2024, os pesquisadores do HarfangLab descobriram a operação Hijack Loader, uma campanha na qual os criminosos usavam certificados válidos de assinatura de código para assinar malware criado para implantar o ladrão de informações Lumma. Como os arquivos tinham assinaturas legítimas, o malware passava por muitas verificações de segurança e atingia um número muito maior de vítimas do que uma carga útil não assinada jamais atingiria.
Também está ocorrendo uma mudança mais ampla na confiança digital. Os certificados SSL já passaram da validade de vários anos para ciclos curtos de rotação. A assinatura de código agora segue o mesmo caminho. Com a aproximação da criptografia pós-quântica, o setor precisa de uma rotação mais rápida, um gerenciamento de chaves mais limpo e uma verificação mais frequente. Os certificados de longa duração retardam essa transição e deixam muito espaço para o comprometimento silencioso.
O que muda para os desenvolvedores?
A nova janela de validade fica diretamente dentro dos processos de desenvolvimento, lançamento e fornecedor. A mudança força novos hábitos em toda a cadeia:
- Os sistemas que dependem de chaves de longo prazo precisarão de reestruturação: Os servidores de compilação que armazenam um certificado por anos não sobreviverão a um ciclo mais curto. As equipes devem alternar as chaves de acordo com o cronograma, atualizar as configurações de compilação e evitar a expiração inesperada no meio do lançamento.
- Os ambientes de assinatura com cobertura aérea enfrentarão uma logística mais rígida: Setores como controle industrial, saúde e governo geralmente transportam certificados para redes isoladas. Agora, eles precisam de ciclos de importação previsíveis e rastreamento de renovação para que o software assinado não fique parado à espera de um novo certificado.
- As ferramentas de assinatura herdadas serão interrompidas, a menos que sejam atualizadas: Scripts antigos que codificam caminhos de certificados ou esperam uma única chave de longa duração falharão quando essa chave expirar. Os pipelines precisam de seleção dinâmica de certificados e recuperação automatizada em vez de pastas estáticas.
- Os incidentes de vazamento de chaves tornam-se mais fáceis de conter: Os invasores não podem confiar em um certificado de vários anos que permanece válido por muito tempo após uma violação. As organizações ainda precisam revogar rapidamente, mas o raio da explosão diminui.
- As equipes de conformidade e identidade trabalharão com um relógio mais apertado: As equipes que gerenciam a validação de EV ou da organização devem ajustar seus calendários internos para que os atrasos na renovação não bloqueiem os lançamentos de produtos.
Disponibilidade do certificado de assinatura de código e requisitos de HSM
As opções de assinatura de código dependem da autoridade de certificação, e isso afeta diretamente a forma como você gerencia suas chaves:
- A DigiCert e a GoGetSSL oferecem apenas certificados de assinatura de código de 1 ano. Você pode escolher um módulo de segurança de hardware (HSM) fornecido pela CA ou usar seu próprio HSM.
- O Sectigo (Comodo) permite que você solicite certificados para até 3 anos, mas a configuração muda:
- Para um certificado de 1 ano, você pode usar um HSM fornecido pela CA ou seu próprio HSM.
- Para certificados de 2 ou 3 anos, você deve usar seu próprio HSM. Não é fornecido nenhum hardware de CA.
If you go multi-year, you take full control of key storage and security.
O que significa quando é você quem envia as construções?
A janela de 460 dias muda uma coisa acima de tudo: o tempo. A assinatura deixa de ser uma tarefa rara e passa a fazer parte do seu ritmo de lançamento. Você percebe mais cedo quando um certificado está ficando velho. E seu pipeline fica mais limpo porque a rotação é incorporada ao fluxo, e não uma emergência.

Para os clientes do SSL Dragon, essa mudança se alinha com a forma como a maioria das equipes já opera. Os ciclos mais curtos se alinham com os cronogramas de lançamento modernos, portanto, é menos provável que você seja surpreendido por um certificado expirado logo antes de uma entrega. Se você estiver migrando para a assinatura na nuvem ou para chaves baseadas em HSM, a transição será ainda mais suave e a rotação ocorrerá silenciosamente em segundo plano.
A tendência é clara: confiança mais curta, rotação mais rápida
As vidas úteis mais curtas não resolverão todos os riscos da cadeia de suprimentos, mas impulsionam o setor para práticas mais saudáveis. As chaves de assinatura não podem mais passar despercebidas por anos, e os fluxos de trabalho de liberação devem estar alinhados com o novo ritmo. Março de 2026 está se aproximando rapidamente, e os pipelines que se adaptarem cedo evitarão a confusão mais tarde.
A opinião do SSL Dragon
Do nosso lado da cerca, essa mudança é uma boa notícia. Ela cria hábitos mais limpos e reduz os danos que uma chave perdida ou roubada pode causar. As equipes que mais sofrem com problemas de certificados raramente são as que têm más intenções. São aquelas que tinham um único certificado de longa duração enterrado em uma máquina de compilação antiga e descobriram isso no pior momento possível. Uma janela de 460 dias força esse risco a ser revelado.
Para os nossos clientes, a mudança tem mais a ver com conscientização do que com carga de trabalho. A janela mais curta torna a rotação de certificados parte da liberação natural, em vez de uma rara tarefa de manutenção. O ciclo mais rápido também expõe onde pipelines mais antigos ou máquinas esquecidas ainda dependem de certificados de longa duração sem que ninguém perceba, o que geralmente é onde surgem atrasos ou falhas de segurança.
Se você está obtendo a assinatura de código pela primeira vez, esta atualização define as expectativas corretas. A confiança não é algo que permanece intocado por anos. Ela se move com o software que protege. A nova janela tem tudo a ver com proteção e previsibilidade, e estamos aqui para ajudar os clientes a escolher os produtos e os fluxos de trabalho certos para que a transição seja tranquila, e não prejudicial.
Fonte: Fórum CA/Browser – Votação CSC-31: Redução da vida útil de certificados de assinatura de código
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10






