Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Part 5 · Real-World Challenges Intermediate 9 min read

Réduction de la durée de vie des certificats

L'ère des certificats TLS pluriannuels est révolue. L'industrie se dirige rapidement vers des périodes de validité plus courtes, avec des certificats de 47 jours à l'horizon. Cette évolution va transformer en profondeur la gestion des parcs de certificats.

En bref

Type
Educational
Niveau
Intermediate
Chapitre
22 sur 25
Suivant
Construire une stratégie CLM

Vue d'ensemble

Pendant des années, les certificats TLS pouvaient être valides trois, quatre, voire cinq ans. Les administrateurs demandaient un certificat, l'installaient et l'oubliaient largement jusqu'au prochain cycle de renouvellement. Cette époque touche à sa fin.

La trajectoire est sans équivoque : les durées de validité des certificats se sont réduites de manière constante, et le rythme s'accélère. En 2024, la durée maximale de validité des certificats TLS publiquement approuvés est de 398 jours (environ 13 mois). D'ici 2029, cette fenêtre se réduira à seulement 47 jours. Cela signifie que les organisations qui renouvelaient autrefois un certificat une fois par an devront bientôt le renouveler environ huit fois par an, par certificat.

Cette évolution n'est pas arbitraire. Elle reflète un consensus croissant parmi les éditeurs de navigateurs, les chercheurs en sécurité et les organismes de normalisation : des durées de vie plus courtes réduisent considérablement les risques. Mais pour les équipes informatiques qui s'appuient encore sur des processus manuels ou des feuilles de calcul, les implications opérationnelles sont colossales.

Étapes clés

1

Avant 2015 : jusqu'à 5 ans

Aux débuts du TLS commercial, les certificats pouvaient être achetés avec des périodes de validité de trois à cinq ans. Les renouvellements étaient peu fréquents, et la gestion des certificats relevait largement d'un processus manuel et ponctuel pris en charge par un petit nombre d'administrateurs.

2

2018 : le maximum de 2 ans

Le CA/Browser Forum a voté un plafond de validité des certificats TLS à 825 jours (environ deux ans). C'était la première réduction majeure et elle marquait la direction prise par l'industrie. Les organisations disposant de parcs de certificats importants ont commencé à ressentir la pression opérationnelle.

3

2020 : le maximum de 1 an (398 jours)

Apple a annoncé unilatéralement que Safari rejetterait les certificats dont la validité dépasserait 398 jours. Google et Mozilla ont suivi. Le CA/Browser Forum avait débattu de ce changement sans parvenir à un consensus ; les éditeurs de navigateurs ont imposé la décision. C'est ce standard qui prévaut aujourd'hui.

4

2024 : la poussée des 90 jours

Google a plaidé publiquement pour une durée de validité maximale de 90 jours, en s'appuyant sur le succès de Let's Encrypt (qui émet par défaut des certificats de 90 jours). La proposition a recueilli un large soutien des éditeurs de navigateurs et des chercheurs en sécurité, ouvrant la voie à la prochaine réduction formelle.

5

Tout inventorier

Commencez par une découverte complète de l'ensemble des certificats présents dans votre infrastructure : serveurs, équilibreurs de charge, environnements cloud, CDN, appareils IoT et services internes. Vous devez savoir exactement combien de certificats vous gérez et où ils résident.

6

Identifier les lacunes d'automatisation

Pour chaque certificat, déterminez si le processus de renouvellement et de déploiement peut être automatisé. Les certificats sur des systèmes hérités, des équipements sans support ACME ou des infrastructures gérées manuellement nécessiteront une attention particulière et, parfois, des intégrations sur mesure.

7

Déployer des protocoles d'automatisation

Implémentez ACME, EST ou SCEP dans votre environnement. Priorisez d'abord les systèmes à fort volume (serveurs web, équilibreurs de charge, clusters Kubernetes), puis étendez progressivement aux cas particuliers. Testez minutieusement les workflows de renouvellement avant les échéances.

8

Raccourcir proactivement les durées de vie

N'attendez pas les obligations. Commencez dès maintenant à émettre des certificats de 90 jours, partout où c'est possible, pour éprouver vos pipelines d'automatisation et vos workflows opérationnels. Les organisations qui ont déjà adopté des certificats à courte durée de vie via Let's Encrypt ou des CA internes sont bien placées pour la suite.

9

Mettre en place surveillance et alertes

Même avec de l'automatisation, des défaillances surviennent. Mettez en œuvre une surveillance en temps réel du statut des certificats, des taux de succès des renouvellements et de la santé des déploiements. Configurez des alertes bien en amont de l'expiration afin que les échecs soient détectés et résolus avant qu'ils ne provoquent des interruptions.

Comment nous aidons

Evertrust & Réduction de la durée de vie des certificats

Découverte sur l'ensemble du parcEvertrust CLM scanne en continu l'intégralité de votre infrastructure, identifiant chaque certificat indépendamment de son émetteur, de son emplacement ou de son propriétaire. Vous disposez d'une source unique de vérité avant de commencer à automatiser.

Automatisation native des protocolesEvertrust PKI prend en charge nativement ACME, EST, SCEP et CMP, permettant un enrôlement, un renouvellement et un déploiement entièrement automatisés, sans intervention manuelle. Que vous deviez renouveler tous les 90 jours ou tous les 47 jours, le processus reste identique.

Alertes proactivesDes politiques d'alerte configurables notifient les bonnes équipes au bon moment, qu'il s'agisse de 30 jours, 14 jours ou 7 jours avant l'expiration. Les chemins d'escalade garantissent qu'aucun renouvellement ne passe à travers les mailles du filet.

Tableaux de bord de préparationVisualisez d'un coup d'œil quels certificats sont déjà automatisés, lesquels nécessitent encore une intervention manuelle et où se trouvent vos lacunes. Suivez votre progression vers une préparation complète aux 47 jours pour toute l'organisation.

Parler à un expert Découvrir CLM
Crypto-agilité et post-quantique Construire une stratégie CLM