Cybersec Europe 2025 Meet us in Brussels on May 21–22 – booth 05.A100 !
Learn more
Le CA/Browser Forum, l'organisme central regroupant les développeurs de navigateurs web, les émetteurs de certificats de sécurité et d'autres acteurs du secteur, vient de voter une modification majeure des règles pour les certificats TLS. D'ici 2029, la durée de vie maximale des certificats TLS (Transport Layer Security) passera à seulement 47 jours, contre 398 jours actuellement.
Le protocole TLS utilise ces certificats comme mécanisme d'authentification pour établir des connexions sécurisées. Chaque certificat contient une clé publique qui permet le chiffrement des communications entre le navigateur de l'utilisateur et le serveur web.
Cette réduction s'accompagne d'un autre changement significatif : la période pendant laquelle les informations de validation de domaine (DCV - Domain Control Validation) pourront être réutilisées sera limitée à seulement 10 jours à terme. Ces deux modifications créent un changement fondamental dans la gestion quotidienne des certificats numériques.
Le vote a été adopté à l'unanimité par les consommateurs de certificats (Apple, Google, Microsoft et Mozilla), tandis que les émetteurs de certificats l'ont approuvé par 25 voix contre 0, avec cinq abstentions d'Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems et TWCA.
Cet article détaille les implications de cette décision historique et fournit des recommandations concrètes pour s'y adapter.
Apple est à l'origine de cette proposition de réduction, poursuivant une stratégie entamée dès 2020 lorsque l'entreprise avait unilatéralement décidé que ses logiciels, principalement Safari, n'accepteraient plus les nouveaux certificats HTTPS expirant plus de 13 mois après leur création.
Le chiffre spécifique de 47 jours n'est pas arbitraire. Cette durée résulte d'un calcul précis :
47 jours = 1 mois maximal (31 jours) + 1/2 mois de 30 jours (15 jours) + 1 jour de marge
Cette durée permet une gestion mensuelle des certificats tout en incluant une marge de sécurité.
Amélioration de la sécurité : Des certificats de courte durée limitent la période pendant laquelle des informations obsolètes restent valides
Limitation des conséquences en cas de compromission : Un certificat compromis ou volé ne pourra être exploité que pendant quelques jours ou semaines au maximum avant d'expirer, au lieu de plusieurs mois
Renouvellement plus fréquent des clés cryptographiques : Réduisant les risques liés à leur utilisation prolongée
Intégration plus rapide des nouveaux standards de sécurité : Les nouvelles versions des protocoles d'authentification peuvent être déployées plus rapidement
Une analyse de l'ANSSI soulignait déjà l'importance d'une gestion automatisée de la durée de vie des certificats comme élément clé d'une politique de sécurité robuste, particulièrement dans un contexte où les menaces évoluent rapidement.
La transition vers des certificats à durée réduite suivra un calendrier progressif :
| Période | Durée de validité | Durée de validité (alternatif) |
|---|---|---|
| Aujourd'hui - 15 mars 2026 | 398 jours | 398 jours |
| 15 mars 2026 - 15 mars 2027 | 200 jours | 200 jours |
| 15 mars 2027 - 15 mars 2029 | 100 jours | 100 jours |
| À partir du 15 mars 2029 | 47 jours | 10 jours |
Ce calendrier échelonné sur plusieurs années donne aux organisations le temps de s'adapter progressivement, mais il est important de commencer les préparatifs dès maintenant. Chaque étape augmente la pression sur les équipes qui gèrent manuellement leurs certificats.
Selon une étude de Gartner, cette évolution fait partie d'une tendance plus large vers une "hyper-automatisation" des processus de sécurité, nécessaire pour faire face à la complexité croissante des environnements numériques.
Les protocoles d'authentification modernes exigent une vérification rigoureuse de l'identité du demandeur pour maintenir la confiance dans l'écosystème numérique. Cette évolution vers des certificats à durée de vie plus courte s'inscrit dans cette logique.
Les conséquences de cette évolution seront importantes pour toutes les organisations utilisant des certificats TLS. Prenons l'exemple d'une entreprise gérant 500 certificats :
Aujourd'hui : avec des certificats valables 398 jours, l'organisation gère environ 460 renouvellements par an.
En 2029 : avec des certificats valables 47 jours, elle devra traiter plus de 3 900 renouvellements par an.
Validation de domaine : elle devra réaliser environ 18 250 validations de domaine annuelles (500 domaines × 365 jours ÷ 10 jours).
Ces chiffres montrent clairement pourquoi la gestion manuelle deviendra pratiquement impossible. Les risques d'une gestion inadaptée incluent :
Interruptions de service non planifiées
Erosion de la confiance des clients confrontés à des messages d'erreur de sécurité
Failles de sécurité résultant de certificats expirés remplacés dans l'urgence
Atteinte à la réputation et dégradation de l'expérience utilisateur
Les équipes informatiques passeront un temps disproportionné sur ces tâches répétitives au détriment d'activités créatrices de valeur.
Dans ce nouveau contexte, l'automatisation du cycle de vie des certificats devient une nécessité technique et non plus une simple optimisation. La diminution progressive de la durée des certificats rend les processus manuels de moins en moins viables.
Cette transition rappelle l'évolution historique de la gestion des adresses IP, passée des configurations manuelles aux allocations dynamiques (DHCP) avec la complexification des réseaux.
Diminution des incidents liés aux expirations imprévues
Optimisation des ressources humaines et financières
Renforcement de la posture de sécurité globale
Recentrage des équipes informatiques sur des projets innovants
Adaptation continue aux évolutions des standards de sécurité
Pour répondre à cette nouvelle réalité, plusieurs approches d'automatisation existent, mais certains critères méritent une attention particulière lors du choix d'une solution :
1. L'intégration RA/CLM : une approche complète
La plupart des solutions de gestion du cycle de vie des certificats (CLM) opèrent séparément des autorités d'enregistrement (RA). Cette séparation crée des discontinuités et des points de vulnérabilité potentiels.
Une approche intégrée, telle que celle développée par Evertrust, réunit ces deux composantes essentielles :
La vérification des identités avant l'émission des certificats (fonction RA)
La gestion du cycle de vie complet des certificats (fonction CLM)
Cette intégration assure une sécurité renforcée et une fluidité dans l'automatisation.
La gestion sécurisée des clés publiques contenues dans les certificats constitue un élément central de toute solution d'automatisation robuste. Les versions les plus récentes des solutions d'automatisation intègrent des mécanismes avancés pour assurer l'intégrité de ces clés tout au long du cycle de vie des certificats.
2. La souveraineté numérique : une considération stratégique
Dans un environnement où la maîtrise des infrastructures numériques constitue un enjeu de souveraineté, le choix d'une solution conçue en Europe présente des avantages notables.
Une PKI européenne, comme celle proposée par Evertrust, garantit :
Une maîtrise complète des données
Une autonomie vis-à-vis des législations extra-européennes
Une conformité intégrée avec le RGPD et autres réglementations européennes
3. Les capacités essentielles d'une solution performante
Pour répondre efficacement aux enjeux des certificats à courte durée, une solution d'automatisation doit proposer plusieurs fonctionnalités clés :
Inventaire automatique des certificats existants, quelle que soit l'autorité émettrice
Console centralisée offrant une visibilité sur l'ensemble du parc de certificats
Programmation du renouvellement pour prévenir toute interruption de service
Compatibilité multi-PKI avec différentes autorités de certification
Options de déploiement en SaaS ou sur site selon les besoins
Tableau de bord et notifications pour une supervision optimale
Qu'est-ce qu'un certificat TLS et pourquoi est-il important ?
Un certificat TLS (Transport Layer Security) est un document numérique qui authentifie l'identité d'un site web et permet une connexion chiffrée. Il joue un rôle central dans la sécurisation des communications en ligne, la protection des données utilisateurs et l'établissement de la confiance numérique. Le certificat TLS permet l'affichage du cadenas dans votre navigateur, indiquant une connexion sécurisée.
La réduction de la durée des certificats s'applique-t-elle à tous les types de certificats ?
Cette décision du CA/Browser Forum concerne principalement les certificats TLS/SSL publics utilisés pour sécuriser les sites web et services en ligne accessibles publiquement. Les certificats internes ou privés ne sont pas directement concernés par cette réglementation, mais l'alignement de leurs durées de vie est recommandé pour maintenir une cohérence dans les pratiques de sécurité.
Comment fonctionne la validation de domaine et pourquoi sa durée est-elle réduite à 10 jours ?
La validation de domaine (DCV - Domain Control Validation) est le processus par lequel une autorité de certification vérifie que le demandeur d'un certificat contrôle effectivement le domaine concerné. Cette validation peut s'effectuer par email, par la création d'un fichier spécifique sur le serveur web, ou par l'ajout d'un enregistrement DNS particulier.
La réduction de la période de réutilisation à 10 jours vise à garantir une vérification très régulière du contrôle du domaine, limitant les risques liés à un changement de propriétaire ou à une compromission non détectée.
Lorsqu'un certificat expire sans renouvellement, les navigateurs web affichent des avertissements de sécurité aux utilisateurs, signalant une connexion non sécurisée. Ces alertes dissuadent généralement les utilisateurs de poursuivre leur navigation sur le site. Par ailleurs, certaines applications et API refusent systématiquement de se connecter à un service dont le certificat a expiré, causant des interruptions techniques.
Non, la durée de validité d'un certificat n'influence ni les performances de chiffrement ni la vitesse des connexions sécurisées. Le seul paramètre impacté est la fréquence de renouvellement et de déploiement des certificats, d'où l'importance de l'automatisation.
Existe-t-il des alternatives aux certificats à 47 jours ?
Pour certains usages spécifiques, des alternatives comme les certificats à durée très courte (short-lived certificates) existent avec une validité de quelques heures ou jours seulement, sans nécessiter de révocation via CRL ou OCSP. Cependant, ces alternatives exigent également une automatisation complète et ne conviennent pas à tous les contextes d'utilisation.
Comment sélectionner la solution d'automatisation adaptée à mon organisation ?
Le choix d'une solution d'automatisation dépend de plusieurs critères :
La taille de votre infrastructure : Nombre de certificats à administrer
L'architecture de votre environnement : Multi-cloud, hybride, conteneurisé, etc.
Vos obligations réglementaires : RGPD, eIDAS, etc.
Vos exigences de souveraineté : préférence pour des solutions européennes par exemple
Vos paramètres budgétaires : SaaS vs. On-premises
La réduction de la durée des certificats à 47 jours modifie fondamentalement la gestion de la sécurité numérique. Les organisations qui anticipent cette évolution et adoptent des solutions d'automatisation appropriées transformeront cette nouvelle exigence technique en avantage opérationnel.
L'automatisation du cycle de vie des certificats devient un élément central de la sécurité et de la continuité des services numériques. En optant pour une solution intégrée et souveraine, les organisations peuvent non seulement respecter les nouvelles règles, mais aussi consolider leur architecture de sécurité.
Les préparatifs pour l'échéance 2029 commencent maintenant. Les organisations qui s'équipent dès aujourd'hui seront mieux préparées pour cette nouvelle phase de la gestion des certificats numériques.
Evertrust est un éditeur européen de logiciels PKI et CLM avec plus de 20 ans d'expertise combinée. Nos solutions souveraines intègrent la gestion du cycle de vie des certificats (CLM) et l'autorité d'enregistrement (RA) au sein d'une PKI 100% européenne, permettant aux organisations de toutes tailles d'optimiser leur sécurité numérique. Près de 25% des entreprises du CAC-40 nous font confiance pour sécuriser leur infrastructure numérique.
Product Marketing and Content
evertrust.io
