代码签名证书最长有效期缩短至460天，海域云推出远程代码签名服务，无需UKey即签即用

2026-03-26

考虑到CA/B 论坛的CSC-31提案将于2026年3月1日起正式实施，为严格遵循此行业标准，提高安全性与满足合规性，Sectigo、Digicert、Globalsign、sslTrus等品牌厂商将陆续调整代码签名证书最长有效期至460天。具体调整时间见下文。

鉴于代码签名证书有效期的缩短，传统依赖物理UKey签名的企业将面临高频更换、管理复杂度上升的困境，海域云推出远程代码签名服务，它无需UKey，即签即用，私钥存储于云端密码机，可无缝集成CI/CD，实现安全、高效、自动化的代码签名体验。

下面我们将详细列出各品牌厂商的具体调整内容、时间，会产生的影响及有效应对方案。

本次调整核心概览

1涉及品牌：Digicert、Sectigo、Globalsign、sslTrus。

2调整内容：代码签名证书最长有效期调整为460天，包括普通代码签名证书和EV代码签名证书。

3调整时间：见代码签名证书最长有效期调整时间表

* 部分品牌厂商调整的代码签名证书最长有效期比CA/B论坛允许的最长有效期少一天。

有什么变化及影响？

现在，各品牌厂商颁发的代码签名证书的最长有效期为39个月，调整后，颁发的证书最长有效期将缩短至460天。

企业如何应对？

梳理现有证书资产并提前规划

系统梳理现有代码签名证书的有效期，在调整时间前，适时在海域云申请2年期或3年期的长有效期代码签名证书。

转向远程代码签名服务

转向使用海域云远程代码签名服务，它无需UKey，即签即用。通过将“本地UKey签名”转为“云端安全服务”，并使用云端密码机HSM存储私钥，还可无缝集成CI/CD，实现安全、高效、自动化的代码签名体验。

无需UKey即签即用：证书签发后就可线上开通使用，无需每年更换UKey，节省硬件采购与物流管理成本，彻底避免设备丢失、损坏所带来的安全隐患与业务中断。

CI/CD无缝集成：与Jenkins、GitLab CI/CD、Azure DevOps、Apache Ant、Maven、Gradle、CircleCl以及GitHub Actions等CI/CD系统无缝集成，实现自动化签名流水线。

多种签名方式：支持命令行签名、客户端工具签名等多种签名方式，灵活适配不同研发场景。

HSM私钥存储：私钥均生成并存储于获得FIPS 140-3高安全标准认证的云端HSM设备中，永不出库，确保高安全性。

跨域协同签名：支持不同区域、不同部门、不同人员同时远程使用代码签名证书对代码进行签名，无需频繁物理传递UKey。

审计可追溯：支持全流程审计日志记录，实时记录签名时间、加密算法、操作状态等关键信息，所有操作行为全程可追溯、可审计，轻松满足合规要求。

若您想进一步了解此次调整的具体细节，或需要远程代码签名的详细信息，可以随时咨询客服获得支持。