IT-Security

Ab März 2026: Änderung der Gültigkeitsdauer von Code Signing Zertifikaten

6. Januar 2026 von Marek Röhner
Gültigkeitsdauer von Code Signing Zertifikaten
©SergeyBitos- Adobe Stock

5
(1)

Code Signing ist ein unverzichtbarer Baustein in der Software-Sicherheit. Es sorgt dafür, dass Software eindeutig einem vertrauenswürdigen Herausgeber zugeordnet werden kann und der Code seit der Signierung nicht verändert wurde. Damit ist Code Signing ein wichtiges Element für Software-Supply-Chains und schafft Vertrauen bei Betriebssystemen, Browsern und Endanwendern.

Ab dem 1. März 2026 wird die Gültigkeitsdauer von Code Signing Zertifikaten jedoch drastisch verkürzt. Die Änderung betrifft alle Zertifizierungsstellen (CAs) und basiert auf einer branchenweiten Regelung des CA/Browser Forums. Was genau sich ändert, welche Gründe dahinterstecken und was Unternehmen nun tun müssen, erfahren Sie in diesem Beitrag.

Die Gültigkeitsdauer von Code Signing Zertifikaten wird verkürzt

Das CA/Browser Forum hat beschlossen: Ab dem 1. März 2026 dürfen Code Signing-Zertifikate nur noch mit einer maximalen Laufzeit von 460 Tagen ausgestellt werden. Bisher lag die zulässige Laufzeit bei bis zu 39 Monaten, also rund 3 Jahren.

Damit folgt die Code Signing Laufzeit einem Trend, den wir bereits aus dem SSL/TLS-Umfeld kennen: Auch dort wurde die maximale Gültigkeit schrittweise immer weiter verkürzt. Ab März 2026 wird auch dort die Gültigkeitsdauer nur noch 200 Tage betragen.

Die neuen Vorgaben betreffen alle neu ausgestellten oder erneuerten Code Signing Zertifikate. Bereits ausgestellte Zertifikate mit längerer Laufzeit behalten ihre Gültigkeit bis zum regulären Ablaufdatum.

Die Verkürzung der Gültigkeitsdauer von Code Signing Zertifikaten ist keine völlig neue Entwicklung. Bereits in der Vergangenheit wurde sie innerhalb der Branche intensiv diskutiert und vorbereitet. In unserem Blogbeitrag „Code Signing-Zertifikate: Vorschlag zur Verkürzung der Gültigkeitsdauer im CA/Browser Forum abgelehnt“ haben wir bereits auf die kommenden Änderungen hingewiesen und erste Einblicke in die Hintergründe geliefert. Damals wurde die Verkürzung der Laufzeit bei Code Signing Zertifikaten noch abgelehnt.

Warum wird die Code Signing Laufzeit verkürzt?

Die Verkürzung der Gültigkeitsdauer von Code Signing Zertifikaten verfolgt ein klares Ziel: mehr Sicherheit. Der Hintergrund ist vergleichbar mit der Argumentation bei SSL/TLS-Zertifikaten:

Reduzierung des Missbrauchspotenzials: Kürzere Laufzeiten begrenzen den Zeitraum, in dem ein kompromittiertes Zertifikat ausgenutzt werden kann.

Schnellere Reaktion auf Sicherheitsvorfälle: Updates und Änderungen in den Sicherheitsanforderungen lassen sich schneller durchsetzen.

Compliance & Standardisierung: Die Anpassung sorgt für branchenweite Harmonisierung und erfüllt wachsende regulatorische Anforderungen.

In Zeiten zunehmender Angriffe auf die Software-Supply-Chain – wie Supply-Chain-Attacken, Build-System-Kompromittierungen und Missbrauch von Signaturen – ist die regelmäßige Erneuerung ein wichtiges Sicherheitsinstrument. Durch die Laufzeitkürzung ist es möglich, dass Code Signing Zertifikate auf dem aktuellen Stand zu halten und veraltete Schlüssel schneller aus dem Verkehr zu ziehen.

Was sind die Folgen für Code Signing?

Die Verkürzung der Code Signing Laufzeit auf maximal 460 Tage bringt für Unternehmen, Entwickler und IT-Abteilungen spürbare Veränderungen mit sich. Insbesondere Prozesse rund um die Verwaltung, Erneuerung und Integration der Zertifikate müssen neu gedacht und angepasst werden.

Häufigere Erneuerungen

Die neue maximale Laufzeit von etwas mehr als einem Jahr führt dazu, dass Code Signing-Zertifikate künftig deutlich öfter beantragt, validiert und implementiert werden müssen. Während früher ein Intervall von bis zu drei Jahren üblich war, müssen Unternehmen ihre Erneuerungszyklen nun jährlich planen. Ohne klar definierte Prozesse drohen schnell Engpässe oder abgelaufene Zertifikate, die zu Verzögerungen in der Softwarebereitstellung führen können.

Mehr Verwaltungsaufwand

Mit den häufigeren Erneuerungen steigt automatisch auch der Aufwand für Verwaltung und Dokumentation. Gerade in Unternehmen, in denen noch viele manuelle Abläufe dominieren, entstehen dadurch neue Risiken: Abgelaufene Zertifikate, vergessene Validierungen oder falsch konfigurierte Signaturen können dazu führen, dass signierte Software plötzlich Warnmeldungen auslöst oder gar nicht mehr startet. Der Verwaltungsaufwand wächst.

Höhere Anforderungen an Prozesse & Infrastruktur

Um der neuen Situation gerecht zu werden, müssen Unternehmen ihre internen Abläufe für das Zertifikatsmanagement überprüfen und gegebenenfalls neu strukturieren. Dazu gehört etwa die Einführung eines klar definierten Zertifikats-Inventars, das Überblick über alle eingesetzten Code Signing-Zertifikate bietet. Auch die frühzeitige Planung von Renewal-Zyklen wird zum Muss, um reibungslose Releases sicherzustellen. Besonders in stark regulierten Branchen wird zudem eine lückenlose Nachvollziehbarkeit und Compliance entscheidend sein
Automatisierung gewinnt an Bedeutung

Ein zentrales Mittel zur Bewältigung der steigenden Komplexität ist die Automatisierung. Unternehmen, die bereits heute auf API-basierte Erneuerungsprozesse oder integrierte Lösungen setzen – etwa innerhalb ihrer CI/CD-Pipelines – sind klar im Vorteil. Auch Code Signing as a Service-Lösungen oder spezialisierte Zertifikatsmanagement-Plattformen können helfen, den Aufwand deutlich zu reduzieren und Prozesse zuverlässig zu gestalten. Ohne Automatisierung steigt das Risiko: Abgelaufene Zertifikate, Build-Fehler oder Warnmeldungen können die Folgen sein.

Was bedeutet das konkret für Unternehmen?

Die Änderung ist kein kurzfristiger Effekt, sondern markiert eine dauerhafte Umstellung der gesamten Branche. Unternehmen, die ihre Software mit digitalen Signaturen ausstatten, sollten sich daher jetzt vorbereiten:

Zertifikatsbestand prüfen
Welche Code Signing-Zertifikate sind im Einsatz? Wann laufen sie ab?

Erneuerungsstrategie anpassen
Wie lassen sich Prozesse für häufigere Erneuerungen effizient gestalten?

Automatisierung einführen
Tools und Plattformen für Zertifikatsmanagement, z. B. via APIs oder integrierte Signaturdienste, sollten eingeführt oder ausgebaut werden.

Frühzeitiges Handeln reduziert nicht nur den Verwaltungsaufwand, sondern schützt auch vor Produktionsausfällen und erhöht die allgemeine Software-Sicherheit.

Kürzere Gültigkeit führt zu mehr Sicherheit aber auch mehr Aufwand

Die neue Gültigkeitsdauer von Code Signing Zertifikaten ist ein logischer Schritt hin zu mehr Transparenz und Reaktionsfähigkeit im Software-Lifecycle. Ab März 2026 wird eine Laufzeit von maximal 460 Tagen Standard – unabhängig vom Anbieter oder Produkttyp.

Es gilt deshalb, sich bereits jetzt auf die neuen Anforderungen vorzubereiten, seinen Zertifikatsbestand zu prüfen und sich vor allen Dingen mit Automatisierung im Allgemeinen und Code Signing as a Service-Lösungen zu beschäftigen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 1

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu