Nous en avons parlé l’an dernier : les règles régissant la durée de vie des certificats SSL évoluent. Au cas où vous ne l’auriez pas suivi, voici l’essentiel : en avril 2025, le CA/Browser Forum a approuvé à l’unanimité le Ballot SC-081v3, une mesure qui réduira progressivement la durée maximale des certificats, passant de 398 jours aujourd’hui à seulement 47 jours d’ici mars 2029. 

Pour les entreprises qui gèrent des infrastructures numériques, il s’agit de l’un des changements les plus importants en matière de gestion des certificats depuis plus d’une décennie. 

Ces évolutions seront déployées par étapes, avec une première échéance fixée au 15 mars 2026. Et si les bénéfices en matière de sécurité sont considérables, les implications opérationnelles le sont tout autant. Les organisations qui s’appuient sur une gestion manuelle des certificats devront repenser leur approche, tandis que celles qui utilisent déjà l’automatisation devront s’assurer que leurs systèmes sont prêts à gérer une fréquence de renouvellement accrue. 

Dans ce guide, nous allons expliquer ce qui change, pourquoi cela compte et comment votre entreprise peut s’y préparer sans perturbation.  

Ce qui change concernant la durée de vie des certificats SSL 

Le Ballot SC-081v3 du CA/Browser Forum introduit une réduction progressive à la fois de la durée de validité des certificats et de la période de réutilisation de la validation de contrôle de domaine (DCV). Voici le calendrier : 

Périodes de validité des certificats 

• Maintenant jusqu’au 14 mars 2026 : maximum 398 jours 

• 15 mars 2026 : maximum réduit à 200 jours* 

• 15 mars 2027 : maximum réduit à 100 jours 

• 15 mars 2029 : maximum réduit à 47 jours 

*Remarque : DigiCert réduira la durée de validité à 199 jours à compter du 24 février, tandis que Sectigo passera à 199 jours le 12 mars. 

Périodes de réutilisation de la validation de domaine (DCV) 

Parallèlement à la durée de vie des certificats, la période pendant laquelle la validation de domaine peut être réutilisée diminue également : 

• Maintenant jusqu’au 14 mars 2026 : 398 jours 

• 15 mars 2026 : 200 jours* 

• 15 mars 2027 : 100 jours 

• 15 mars 2029 : 10 jours 

*Remarque : DigiCert réduira cette durée à partir du 24 février, tandis que Sectigo passera à 199 jours le 12 mars. 

Ce second changement a un impact opérationnel important. D’ici 2029, les organisations devront revalider la propriété du domaine environ tous les dix jours, et pas seulement lors du renouvellement des certificats. Si votre entreprise gère un grand portefeuille de certificats, cela ajoute une couche supplémentaire d’opération de validation à prendre en compte dans la planification. 

Informations d’identité du sujet (SII) pour les certificats OV et EV 

Un autre changement concerne les certificats Organisation Validated (OV) et Extended Validation (EV). À partir du 15 mars 2026, la période de réutilisation des informations d’identité de l’organisation — comme le nom de l’entreprise et d’autres détails — passera de 825 jours à 398 jours. 

Cela signifie des vérifications plus fréquentes des informations de l’entreprise, avec une charge administrative supplémentaire pour les organisations utilisant des certificats à plus haut niveau d’assurance. 

Pourquoi ces changements ont lieu 

Le CA/Browser Forum n’a pas pris cette décision au hasard. Le vote s’appuie sur des justifications en matière de sécurité et d’exploitation qui s’accumulent depuis des années. Les principaux arguments sont les suivants : 

Réduire la fenêtre d’exposition 

Lorsqu’une clé privée est compromise, l’ampleur des dégâts dépend directement de la durée de validité du certificat. Un certificat valable 398 jours donne potentiellement aux attaquants plus d’un an pour exploiter une faille. Avec des certificats de 47 jours, cette fenêtre se réduit considérablement. 

Selon le Forum, des durées plus courtes diminuent « la période pendant laquelle des informations inexactes peuvent rester dans un certificat valide, indépendamment de toute action supplémentaire des parties concernées ». En d’autres termes, même sans intervention, l’impact d’une compromission est limité dans le temps. 

Répondre aux limites de la révocation des certificats 

En théorie, un certificat compromis peut être révoqué avant son expiration. En pratique, les systèmes de révocation présentent des limites importantes. Les arguments du Forum sont clairs : des technologies comme les CRL et l’OCSP « ne protègent pas suffisamment les parties utilisatrices à l’échelle actuelle d’Internet ». 

De nombreux navigateurs ont déjà réduit les vérifications en temps réel du statut de révocation, car elles ralentissent les connexions et ne sont pas toujours fiables. Des certificats à durée plus courte contournent ce problème en expirant plus rapidement, rendant la révocation moins critique. 

Améliorer l’agilité cryptographique 

Le paysage de la sécurité évolue constamment. Les algorithmes considérés comme sûrs aujourd’hui pourraient être compromis demain. Remplacer d’anciens standards cryptographiques est un processus complexe, mais des certificats à durée plus courte facilitent la transition vers de nouveaux standards à l’échelle mondiale. 

Cela est particulièrement pertinent à l’approche de la cryptographie post-quantique. Les ordinateurs quantiques représentent une menace théorique pour les méthodes de chiffrement actuelles, et les organisations disposant d’une automatisation mature seront mieux positionnées pour migrer vers des algorithmes résistants au quantique. 

Encourager de meilleures pratiques 

Il existe aussi un aspect pratique : des durées plus courtes obligent les organisations à mettre en place des systèmes de gestion des certificats efficaces. Le CA/Browser Forum reconnaît que des renouvellements plus fréquents favoriseront l’adoption de l’automatisation, ce qui améliore généralement l’hygiène de sécurité globale. 

En quoi cela diffère des précédentes réductions 

Ce n’est pas la première fois que la durée de vie des certificats est raccourcie. 

À l’origine, les certificats SSL pouvaient durer jusqu’à huit ans. Progressivement, cette durée est passée à cinq ans, puis trois ans, puis deux ans. En 2020, Apple a accéléré le mouvement en annonçant que Safari ne ferait plus confiance aux certificats valides plus de 398 jours, une décision rapidement suivie par les autres navigateurs. 

Mais le passage à 47 jours est d’une tout autre ampleur. Les réductions précédentes divisaient généralement les durées par deux. Cette fois, la baisse finale représente une réduction de plus de 88 % par rapport à la norme actuelle. 

On passe d’un renouvellement annuel à des renouvellements quasi mensuels. Il ne s’agit plus d’un simple ajustement, mais d’un changement fondamental dans la façon dont les certificats doivent être gérés. 

Impacts opérationnels et de sécurité 

L’impact dépendra de votre infrastructure et de vos pratiques actuelles. 

Augmentation de la fréquence des renouvellements 

Aujourd’hui, le renouvellement des certificats est souvent une tâche occasionnelle. Avec le modèle des 47 jours, la dynamique change complètement. 

Au lieu de renouveler une fois par an, chaque certificat devra être renouvelé en continu. La gestion des certificats ne sera plus une tâche planifiée, mais un processus permanent en arrière-plan. 

Pour les petites entreprises avec peu de certificats, cela peut sembler gérable. Pour celles qui en gèrent des dizaines ou des centaines, cela représente un changement majeur. La question ne sera plus « qui s’en charge ? » mais « quel système garantit que cela se fait automatiquement ? ». 

Risque accru de pannes 

Vous pourriez ne pas remarquer qu’un certificat expire, mais vos utilisateurs, eux, le verront immédiatement. 

Des alertes de sécurité apparaîtront sur votre site, les API cesseront de fonctionner, les paiements échoueront et des services internes pourront tomber en panne. Les coûts financiers et réputationnels peuvent être importants. 

Avec des certificats plus courts, la marge d’erreur disparaît. Vous aurez besoin de systèmes capables de surveiller et de renouveler automatiquement les certificats. 

Complexité accrue de la validation de domaine 

La réduction de la période de réutilisation du DCV ajoute une complexité supplémentaire. D’ici 2029, la propriété du domaine devra être revalidée tous les dix jours. 

Si votre configuration DNS est simple, cela peut être automatisé. Mais si votre infrastructure est complexe, répartie entre plusieurs équipes ou dépend de tiers, cela exigera plus de coordination. 

Impact selon les types de certificats 

Tous les certificats publics SSL/TLS sont concernés : DV, OV et EV. 

Cependant, les certificats OV et EV impliquent une charge administrative plus importante, car les vérifications d’identité devront être effectuées plus souvent. 

Point important: les certificats de PKI privée utilisés uniquement en interne ne sont pas soumis aux règles du CA/Browser Forum. Vous pouvez continuer à utiliser des durées plus longues pour les services internes si vous le souhaitez. 

Comment préparer votre entreprise 

La première échéance arrive en mars 2026, mais il est encore temps de s’y préparer. 

Réaliser un inventaire des certificats 

Vous devez identifier tous les certificats : sites web, environnements de test, API, serveurs de messagerie, outils internes et services tiers. 

Cela inclut leur emplacement, leur date d’expiration, leur responsable et leur type. 

Évaluer votre gestion actuelle 

Si vous utilisez des feuilles Excel, des rappels calendrier ou des processus manuels, cela ne sera pas viable à long terme. 

Posez-vous cette question : si la personne responsable quittait l’entreprise demain, les renouvellements continueraient-ils sans interruption ? 

Prioriser l’automatisation 

Le CA/Browser Forum pousse clairement vers l’automatisation. Et pour cause: d’ici 2029, elle sera indispensable. 

L’automatisation gère l’émission, le renouvellement et l’installation des certificats sans intervention humaine, réduisant les risques d’erreur et d’oubli. 

Examiner votre hébergement et votre DNS 

Votre capacité à automatiser dépendra de votre infrastructure. Certains hébergeurs prennent en charge ACME automatiquement, d’autres non. 

Votre configuration DNS peut également créer des obstacles si des validations doivent être approuvées manuellement. 

Anticiper la charge OV/EV 

Si vous utilisez des certificats OV ou EV, préparez-vous à des vérifications plus fréquentes. Vous pouvez aussi évaluer si certains certificats pourraient passer en DV. 

Comment BrandShelter peut vous aider 

La transition vers des certificats à durée plus courte ne doit pas être compliquée. 

BrandShelter propose une gestion centralisée des certificats via un tableau de bord unique, offrant une visibilité complète sur votre portefeuille. Grâce à des workflows de renouvellement automatisés et à une surveillance proactive des expirations, vous pouvez garantir que vos certificats sont renouvelés à temps, sans dépendre de processus manuels. 

Nous prenons en charge tous les types de certificats — DV, OV et EV — provenant d’autorités reconnues telles que DigiCert, Sectigo, GeoTrust, Thawte et RapidSSL. 

Que vous gériez quelques certificats ou plusieurs centaines sur différents domaines, notre équipe peut vous aider à mettre en place une gestion adaptée aux nouvelles exigences. 

Vos domaines sont des actifs critiques. Vos certificats SSL méritent le même niveau d’expertise. 

Prêt à discuter de vos besoins ? Contactez notre équipe via notre page Contact.

Questions fréquentes 

Est-ce obligatoire ? 

Oui, pour les certificats publics. Le CA/Browser Forum fixe les règles de base que toutes les autorités de certification doivent suivre. Si elles ne s’y conforment pas, les navigateurs ne feront plus confiance à leurs certificats. 

Les certificats internes de PKI privée ne sont pas concernés. 

Les prix vont-ils augmenter ? 

En général, non. Le coût des certificats ne devrait pas augmenter directement. De nombreux fournisseurs proposent des abonnements pluriannuels avec réémissions illimitées. 

Cependant, la gestion manuelle peut entraîner des coûts opérationnels supplémentaires. 

Cela concerne-t-il tous les certificats ? 

Oui, tous les certificats publics SSL/TLS : DV, OV et EV. 

Les certificats de signature de code et S/MIME ne sont pas concernés. 

Que se passe-t-il si je ne me prépare pas ? 

Le principal risque est la panne de service: sites inaccessibles, API bloquées, paiements interrompus, perte de confiance des clients. 

Puis-je continuer à gérer cela manuellement ? 

Techniquement oui, mais cela deviendra rapidement impraticable. 

Les certificats de 200 jours en 2026 peuvent encore être gérés manuellement. 

Ceux de 100 jours en 2027 mettront les processus à rude épreuve. 

En 2029, avec 47 jours et des validations tous les 10 jours, la gestion manuelle deviendra un risque majeur. 

Share article