Une décision importante a été prise par le Forum CA/Browser : réduire drastiquement la durée de vie des certificats SSL/TLS ! En 2029, un certificat sera valide seulement 47 jours. Voici ce que vous devez savoir.

Vers des certificats TLS de plus en plus éphémères…

Commençons par quelques mots sur le CA/Browser Forum. Derrière ce nom se cache en réalité des autorités de certification comme DigiCert ou GlobalSign et des éditeurs de logiciels, dont ceux qui développent des navigateurs tels que Google, Apple, Mozilla et Microsoft. Très récemment, ils ont voté à l’unanimité pour une réduction progressive de la durée de vie des certificats SSL/TLS…

Pour rappel, nous utilisons ces certificats pour naviguer sur Internet sur tous les sites où la connexion est établie en HTTPS. Grâce à ce mécanisme de sécurité, les données sont chiffrées, ce qui est très intéressant pour protéger des données sensibles comme les mots de passe ou les opérations de paiement en ligne.

Cette initiative, portée initialement par Apple et soutenue notamment par Sectigo, l’équipe de Google Chrome et Mozilla, répond à un besoin en matière de cybersécurité. Plusieurs avantages sont évoqués, parmi lesquels : la durée de validité plus courte facilite une transition rapide vers de nouveaux algorithmes en cas de faille dans ceux existants.

Actuellement fixée à 398 jours, la validité des certificats TLS tombera à 47 jours en mars 2029. Pour être plus précis, cette transition sera effectuée de façon progressive pendant les prochaines années. Voici le calendrier voté et validé :

• 15 mars 2026 : durée de vie des certificats réduite à 200 jours
• 15 mars 2027 : nouvelle baisse à 100 jours
• 15 mars 2029 : durée de vie ramenée à 47 jours, et la validation de contrôle de domaine (DCV) à seulement 10 jours

Vers plus d’automatisation avec ACME

Avec ces nouvelles règles, les entreprises devront se tourner vers l’automatisation pour faire face à la fréquence accrue des renouvellements. Sinon, ce sera ingérable et très chronophage pour les administrateurs… Notamment pour les entreprises avec de nombreux domaines.

L’automatisation du renouvellement des certificats va donc rendre ce changement “transparent”, tout en ayant les bénéfices attendus en matière de sécurité. Nous avons déjà un principe similaire avec Let’s Encrypt, dont les certificats sont gratuits et à renouveler tous les 90 jours : ce n’est pas une contrainte, car tout peut être automatisé. Le protocole ACME, qui permet la gestion automatisée des certificats, devrait prendre encore un peu plus d’épaisseur avec cette annonce.

Qu’en pensez-vous ?