Archives par mot-clé : certificats SSL

Cybersécurité, Mise à jour

Vers la fin des certificats SSL longue durée

À partir de 2029, les certificats SSL/TLS ne seront valides que pendant 47 jours. Une révolution discrète mais cruciale dans la sécurité du web vient d’être actée.

C’est un changement majeur dans l’infrastructure invisible du web. Le CA/Browser Forum, organe central réunissant les géants du numérique et les autorités de certification, a voté pour une réduction drastique de la durée de validité des certificats SSL/TLS. Actuellement fixée à 398 jours, cette durée sera ramenée à seulement 47 jours d’ici mars 2029. L’objectif affiché : améliorer la sécurité des connexions HTTPS en limitant la période pendant laquelle un certificat compromis pourrait être exploité. Si cette évolution bénéficie du soutien unanime des grands noms du secteur – Apple, Google, Microsoft et Mozilla en tête – elle suscite aussi l’inquiétude des administrateurs système. Car derrière cette décision technique se cache une transformation radicale de la gestion des certificats numériques, qui exigera des entreprises une adaptation rapide vers des systèmes d’automatisation plus robustes.

Le web est en mutation. Si l’internaute lambda ne remarque jamais les certificats SSL/TLS, ces petits fichiers sont pourtant les garants de la confidentialité et de la sécurité de ses échanges en ligne. En garantissant qu’un site est bien celui qu’il prétend être et en chiffrant les données échangées, ces certificats sont au cœur de l’architecture du HTTPS, le protocole sécurisé devenu standard sur internet.

15 mars 2026 : nouveaux certificats émis, y compris leur validation de contrôle de domaine (DCV), devront être renouvelés tous les 200 jours.
15 mars 2027 : Cette durée de validité sera réduite à 100 jours.
15 mars 2029 : nouveaux certificats SSL/TLS limités à 47 jours, et les DCV à seulement 10 jours.

Jusqu’ici, les certificats pouvaient être valides pendant plus d’un an. Mais dès le 15 mars 2026, cette durée tombera à 200 jours. Et trois ans plus tard, en 2029, la validité maximale sera divisée par plus de huit : un certificat SSL/TLS ne pourra être émis que pour 47 jours. La validation de contrôle de domaine (DCV), qui garantit que le demandeur du certificat contrôle bien le nom de domaine, tombera quant à elle à 10 jours.

« Le soutien unanime des grandes plateformes numériques montre à quel point la sécurité est devenue une priorité absolue. »

Cette décision n’est pas un coup de tête. En réalité, elle s’inscrit dans une tendance amorcée il y a plusieurs années. En 2020, Apple avait déjà pris l’initiative de refuser, via Safari, les certificats valables plus de 13 mois. Depuis, la firme de Cupertino n’a cessé de pousser pour une réduction encore plus sévère de cette durée, arguant que des certificats plus courts limitent les risques d’exploitation en cas de compromission.

Le raisonnement est simple : si un certificat est volé ou compromis, plus sa durée est courte, moins l’attaquant peut l’exploiter. Un certificat valable 398 jours donne aux cybercriminels plus d’un an de champ libre. Un certificat valable 47 jours, c’est autant de jours de moins pour commettre des attaques ou intercepter des données. De quoi limiter significativement les dégâts potentiels en cas de faille.

Mais ce changement a un coût. Pour les autorités de certification, c’est l’assurance d’un marché plus dynamique, avec des renouvellements plus fréquents. Cela pourrait sembler cynique, mais dans les faits, des acteurs comme Let’s Encrypt proposent déjà des certificats gratuits valables seulement 90 jours – et encouragent même l’automatisation complète de leur renouvellement. Leur modèle, basé sur des API et des scripts, montre que l’approche est viable, à condition d’avoir une infrastructure moderne.

C’est justement là que le bât blesse. Car toutes les entreprises ne sont pas prêtes. Dans les forums spécialisés comme Reddit, les réactions des administrateurs système oscillent entre résignation et colère. Beaucoup soulignent que dans un monde idéal, entièrement automatisé, ce changement ne poserait pas de problème. Mais dans la réalité quotidienne des infrastructures informatiques, souvent vieillissantes ou dépendantes de systèmes propriétaires rigides, la mise en place de processus de renouvellement automatique représente un défi de taille.

« La réduction à 47 jours est un pari sur l’avenir, mais elle oblige les entreprises à revoir en profondeur leurs pratiques de gestion des certificats. »

Certains équipements industriels, notamment dans les secteurs de l’énergie, de la santé ou des transports, reposent encore sur des systèmes où le renouvellement d’un certificat est une opération manuelle, parfois lourde, parfois risquée. La multiplication des certificats courts risque donc, à court terme, de générer un surcroît de travail et des coûts d’adaptation non négligeables.

Les cinq abstentions au sein du CA/Browser Forum – Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems et TWCA – reflètent cette tension entre idéal de sécurité maximale et réalité de terrain. Aucun acteur n’a voté contre, mais l’unanimité n’était pas totale. Cela montre que, malgré les avantages évidents sur le plan de la sécurité, tous ne sont pas convaincus de la faisabilité immédiate d’une telle transition.

Du côté des éditeurs de navigateurs, en revanche, le consensus est clair. Apple, Google, Microsoft et Mozilla ont tous approuvé la réduction drastique. Leur position est stratégique : en imposant ces règles via leurs navigateurs, ils forcent de facto tout l’écosystème à s’adapter. Les entreprises qui ne suivent pas verront leurs sites marqués comme non sécurisés, ce qui, à l’heure de la confiance numérique, est un désastre d’image.

Cette pression par le haut s’accompagne toutefois d’une certaine souplesse dans le calendrier. En introduisant une étape intermédiaire en 2026, le CA/Browser Forum espère laisser le temps aux entreprises de moderniser leurs outils. L’enjeu est aussi de préparer le web à des menaces futures, notamment celles que pourrait faire peser l’arrivée de l’informatique quantique sur les systèmes cryptographiques actuels. La flexibilité offerte par des certificats à courte durée permettra de réagir plus vite à de nouveaux risques.

Dans ce contexte, les entreprises doivent désormais considérer la gestion des certificats non plus comme une tâche ponctuelle, mais comme un processus intégré à part entière dans leur politique de cybersécurité. Les outils d’automatisation comme Certbot, déjà largement utilisés avec Let’s Encrypt, devraient devenir la norme. De nouveaux standards d’orchestration et d’intégration dans les pipelines DevOps sont également en cours d’élaboration pour accompagner cette transition.

Ce tournant technique, bien que discret, marque un changement de paradigme. La sécurité n’est plus une barrière à franchir une fois pour toutes, mais une boucle continue, un processus dynamique qui s’adapte en permanence. Et les certificats SSL/TLS, autrefois perçus comme de simples formalités, deviennent les marqueurs de cette nouvelle exigence.

La vraie question, désormais, est de savoir si l’ensemble des acteurs du web seront capables de suivre le rythme imposé par cette évolution. Car si les grandes plateformes disposent des moyens pour s’adapter rapidement, ce sont les petites structures, les administrations et les secteurs aux infrastructures figées qui risquent de se retrouver en difficulté.

La réduction à 47 jours des certificats SSL/TLS pourrait bien renforcer la sécurité du web, mais elle impose une refonte complète des pratiques de gestion des certificats. Dans un monde numérique en perpétuelle évolution, les entreprises sauront-elles faire preuve de l’agilité nécessaire pour relever ce défi ?