Haben Sie Ihre Code-Signatur-Zertifikate bereits aktualisiert?
Der Trend zu immer kürzeren Gültigkeitsdauern von Zertifikaten beschränkt sich nicht mehr nur aufTLS . Die Vorgabe des CA/B-Forums für kürzere Gültigkeitsdauern greift auf alle Zertifikatstypen über, und nun ist die Code-Signierung an der Reihe.
Der große Vorstoß des CA/B-Forums für kürzere Gültigkeitsdauern
Das CA/Browser (CA/B) Forum hat die Gültigkeitsdauer von Zertifikaten kontinuierlich verkürzt. In der Vergangenheit hat sich die Gültigkeitsdauer von Zertifikaten stetig verkürzt, und dieser Trend beschleunigt sich weiter.
Im April 2025 verabschiedete das CA/B Forum einen Beschluss, wonach die maximale Gültigkeitsdauer vonTLS bis 2029 auf nur noch 47 Tage verkürzt werden soll, um die Online-Sicherheit zu verbessern, die Automatisierung der Zertifikatsverwaltung voranzutreiben und Systeme auf die Herausforderungen des Quantencomputings vorzubereiten.
Die Logik dahinter ist klar. Wenn der private Schlüssel eines Zertifikats kompromittiert wird, hängt das Ausmaß des Schadens direkt davon ab, wie lange das Zertifikat gültig bleibt. Bei Zertifikaten mit einer Gültigkeitsdauer von 47 Tagen verringert sich dieses Risikofenster drastisch.
Code-Signatur-Zertifikate: Eine konkrete und dringende Herausforderung
Ab dem 1. März 2026 ist die Gültigkeitsdauer öffentlich vertrauenswürdiger Zertifikate für die Codesignierung auf maximal 460 Tage (etwa 15 Monate) begrenzt; zuvor betrug die maximale Gültigkeitsdauer 39 Monate.
Das mag nach viel Zeit klingen, doch für viele Entwicklungsteams sind die Auswirkungen unmittelbar und erheblich. Was einst ein mehrjähriger Workflow nach dem Motto „Einmal einrichten und dann vergessen“ war, ist nun eine jährliche Verpflichtung, die bewusst gesteuert werden muss.
Die Herausforderungen häufen sich rasch: Entwickler speichern Signaturschlüssel oft an unsicheren Orten – auf Arbeitsplätzen, Build-Servern oder hardware , die verloren gehen können. Die Genehmigungsabläufe sind uneinheitlich. Oftmals fehlt es an Transparenz darüber, welche Zertifikate im gesamten Unternehmen vorhanden sind, wann sie ablaufen und wem sie gehören. Und da sich die Verlängerungszyklen verkürzen, werden diese Lücken immer gefährlicher.
Zudem gibt es Bedenken hinsichtlich der Build-Pipeline. Ein Signaturzertifikat, das mitten im Release-Zyklus abläuft, ist nicht nur ein Ärgernis – es kann software vollständig zum Erliegen bringen, Patches verzögern und das Vertrauen der Endnutzer untergraben, deren Betriebssysteme nicht signierte oder fehlerhaft signierte software melden.
Und das ist erst der Anfang. Wenn man von TLS ausgeht, werden Zertifikate für die Codesignierung in den kommenden Jahren weiteren Einschränkungen unterliegen.
Was Organisationen jetzt tun sollten
Die Verkürzung der Gültigkeitsdauer schafft einen starken Anreiz für Unternehmen, ihre Code-Signing-Prozesse zu optimieren. Auch wenn Sie Ihre Zertifikate bereits verlängert haben, finden Sie hier einige praktische Maßnahmen, mit denen Sie Ihre Sicherheit und Effizienz weiter steigern können.
Machen Sie zunächst eine Bestandsaufnahme. Was Sie nicht sehen, können Sie nicht verwalten. Überprüfen Sie jedes Code-Signing-Zertifikat in allen Produkten, Pipelines und Umgebungen. Sie müssen wissen, wer es ausgestellt hat, wann es abläuft und wo sich der private Schlüssel befindet. Diese grundlegende Transparenz ist die Basis für die Sicherheit jedes Zertifikats in Ihrem Unternehmen.
Verlagern Sie Schlüssel auf hardware. Private Signaturschlüssel sollten niemals auf Dateisystemen oder Entwickler-Workstations gespeichert werden. Die Speicherung in einem hardware (HSM), sei es vor Ort oder in der Cloud, ist sowohl eine bewährte Sicherheitspraxis als auch zunehmend eine Compliance-Anforderung.
Automatisieren Sie Ihre Signaturprozesse. Die manuelle Zertifikatserneuerung ist fehleranfällig, ineffizient und nicht skalierbar. Durch die Zertifikatserneuerungkönnen Sie nicht nur das Risiko vermeiden, dass eine versäumte Erneuerung eine Veröffentlichung verzögert, sondern auch Ihre wertvollsten Ressourcen sparen: Zeit und Geld.
Planen Sie künftige Verkürzungen ein. Die GültigkeitsdauerTLS ist von fünf Jahren auf ein Jahr und schließlich auf 200 Tage gesunken, wobei weitere Verkürzungen geplant sind. Code-Signing-Zertifikate folgen nun dem gleichen Weg.
Jetzt ist es an der Zeit, neue, widerstandsfähigere Prozesse einzuführen.
Sichere Codesignierung in großem Maßstab
Genau diese Art von Herausforderung ist es, für deren Bewältigung Keyfactor entwickelt Keyfactor .
Keyfactor Signum zentralisiert die Verwaltung von Code-Signing-Zertifikaten, Richtlinien und Berechtigungen in einem einzigen Dashboard und vereinfacht Audits durch ein vollständiges Ereignisprotokoll zur Nutzung und zum Zugriff auf private Code-Signing-Schlüssel. Private Schlüssel werden in einem FIPS 140-2-zertifizierten HSM generiert und gespeichert, sodass sie die sichere Enklave niemals verlassen. Gleichzeitig behalten Entwickler die Möglichkeit, Code von jedem beliebigen Arbeitsort aus mit den ihnen bereits vertrauten nativen Tools zu signieren.
Detaillierte Zugriffskontrollen legen fest, wer Signaturen vornehmen darf, welche Geräte und Tools zugelassen sind und in welchen Zeitfenstern dies möglich ist. So lassen sich Sicherheitsrichtlinien problemlos durchsetzen, ohne dass es zu Engpässen im Entwicklungsprozess kommt – und das alles mit einem lückenlosen Prüfpfad.
Wenn das CA/B Forum die Gültigkeitsdauer erneut verkürzt (und das wird es tun), Keyfactor sich Unternehmen, die Keyfactor nutzen, Keyfactor hastig umstellen.
