Il fut un temps où le renouvellement d’un certificat SSL était une corvée annuelle. Vous le faisiez une fois, vous le classiez dans la catégorie des ” choses qui peuvent attendre ” et vous poursuiviez votre année. Votre fournisseur vous le rappelait peut-être. Vous aviez peut-être programmé un rappel sur votre calendrier. Peut-être ne l’avez-vous pas fait, et vous l’avez appris à vos dépens lorsqu’un navigateur a envoyé un avertissement de sécurité pleine page à vos clients.

Cette époque est révolue. Non pas parce que quelqu’un l’a demandé, mais parce que les autorités de certification et les éditeurs de navigateurs qui fixent les règles ont décidé qu’il était plus sûr de raccourcir les délais. Et ils ont raison. Ils sont également sur le point de fatiguer beaucoup d’équipes opérationnelles.

Un certificat que vous renouveliez une fois par an devra bientôt être renouvelé toutes les six semaines environ. Et c’est beaucoup plus. La même tâche, effectuée huit fois plus souvent, pour un portefeuille qui peut atteindre des centaines ou des milliers de domaines. Le suivi manuel n’est pas à la hauteur. Rien de ce qui est manuel ne peut l’être.

C’est pourquoi nous lançons aujourd’hui l’API SSL de BrandShelter avec le support du protocole ACME. C’est notre réponse à un problème auquel l’ensemble du secteur est confronté : la gestion des certificats n’est plus une tâche que l’on accomplit, mais un processus que l’on exécute. C’est un processus que vous exécutez. Et les processus qui s’exécutent en continu doivent être automatisés, sinon ils se cassent la figure.

La gestion des certificats SSL évolue

Pendant la majeure partie de la dernière décennie, un certificat TLS pouvait durer plus d’un an. Le maximum était de 398 jours, ce qui, dans la pratique, signifiait un renouvellement annuel et peu de réflexion entre les deux. Confortable. Prévisible. Facile à ignorer.

Ce chiffre est désormais sur une pente descendante, et le calendrier est déjà public :

• En mars 2026, la durée de vie maximale des certificats est tombée à 200 jours.

• En mars 2027, elle tombe à nouveau à 100 jours.

• En mars 2029, elle sera de 47 jours.

Quarante-sept jours. D’une tâche annuelle, on passe à une tâche à effectuer toutes les six semaines environ. Et ce n’est pas seulement le certificat lui-même qui se renouvelle plus souvent. La validation du contrôle du domaine, le processus qui prouve que vous possédez réellement le domaine que vous sécurisez, doit également être plus fréquente. Plus de renouvellements, plus de validations, plus de chances que quelque chose se glisse dans une fissure.

La raison de ce changement est parfaitement sensée. Les certificats à durée de vie plus courte limitent les dommages qu’un certificat compromis peut causer et réduisent la dépendance à l’égard des systèmes de révocation qui n’ont jamais fonctionné aussi bien qu’on l’espérait. La sécurité s’améliore. En contrepartie, la charge opérationnelle repose entièrement sur les personnes qui gèrent les certificats. C’est-à-dire vous. Et nous.

Le problème est le suivant : un système conçu pour un événement annuel ne survit pas lorsque cet événement se produit désormais huit fois par an. Il faut faire une croix sur quelque chose. En général, il s’agit d’un certificat, à deux heures du matin, pour le domaine dont vous avez oublié qu’il faisait partie du portefeuille.

Le coût opérationnel caché de la gestion manuelle des certificats

Si vous avez suivi le mouvement, vous ne serez pas surpris par le “coût caché”.

Lorsque les certificats sont renouvelés une fois par an, la gestion manuelle est ennuyeuse, mais on peut y survivre. Une feuille de calcul, quelques rappels de calendrier, une personne qui “possède” les certificats et qui se souvient le plus souvent d’agir. C’est fragile, mais ça tient. La plupart des organisations ont fonctionné exactement de cette manière pendant des années sans jamais y réfléchir à deux fois.

Si l’on raccourcit la durée de vie, cette fragilité se transforme en problème. La même feuille de calcul doit désormais être mise à jour en permanence. La personne qui détient les certificats devient un point de défaillance unique qui ne peut pas prendre de vacances. Les renouvellements, qui étaient autrefois un après-midi tranquille, deviennent une corvée mensuelle, et il arrive que tout le monde manque des corvées.

Les coûts s’accumulent et il est facile de les sous-estimer :

• La complexité du renouvellement se multiplie. Chaque certificat a son propre calendrier, ses propres exigences de validation et ses propres particularités. Le suivi d’un certificat est simple. En suivre huit cents, chacun renouvelé toutes les six semaines, est un travail à plein temps pour lequel personne n’a été embauché.

• Fragments de visibilité. Les certificats sont émis par différentes équipes, par différents fournisseurs, pour différentes parties de l’infrastructure. Personne ne dispose d’une vue d’ensemble, ce qui signifie que personne ne peut vous dire avec certitude quel sera le prochain certificat à expirer.

• Les frais généraux opérationnels augmentent sans que personne ne l’ait décidé. Le travail s’étend jusqu’à consommer du temps d’ingénierie réel qui devrait être utilisé à des fins plus utiles.

• Le risque d’interruption de service augmente. Un certificat expiré n’est pas une défaillance légère. Il s’agit d’une panne difficile, visible et orientée vers le client, accompagnée d’un avertissement alarmant dans le navigateur qui tue la confiance en quelques secondes. Plus vous jonglez manuellement avec les renouvellements, plus il est probable que l’un d’entre eux soit abandonné.

• Les charges de travail liées à la validation augmentent en même temps que tout le reste. Des DCV plus fréquents signifient plus d’enregistrements à publier, plus de vérifications à effectuer et plus de possibilités pour un renouvellement de s’arrêter à mi-chemin.

Aucun de ces problèmes n’est dramatique en soi. Il s’agit de problèmes lents. Ils s’accumulent jusqu’à ce qu’un renouvellement manqué entraîne la fermeture d’une page de paiement lors d’une vente, et que la gestion des certificats devienne soudain la chose la plus importante dans le bâtiment. Parce que les dommages à la réputation peuvent être catastrophiques, à la fois pour votre marque et pour vous lorsque les équipes techniques vous demandent de commenter une panne prolongée.

Nous préférerions que ce jour n’arrive jamais.

La gestion moderne des certificats nécessite une automatisation

Si le véritable défi est que la gestion des certificats est devenue un processus continu, alors la solution consiste à cesser de la considérer comme une succession de tâches ponctuelles et à commencer à la traiter comme une composante de votre infrastructure. Une infrastructure capable de se gérer elle-même.

Ce cadre se compose de plusieurs éléments.

Le premier est le flux de travail piloté par l’API. Lorsque les opérations relatives aux certificats sont gérées par une API, elles cessent d’être effectuées à la main par un humain et deviennent quelque chose que vos systèmes font en votre nom. Commander, renouveler, révoquer, vérifier le statut : tout cela devient un appel que votre infrastructure peut effectuer automatiquement, dans les délais, sans qu’une personne dans la boucle ne se souvienne de le faire.

Le second est la gestion continue du cycle de vie. Au lieu de réagir à l’approche des dates d’expiration qui se profilent, l’automatisation suit la vie entière d’un certificat, de la demande au retrait, et agit toujours au bon moment. Pas de rappels. Pas de feuille de calcul.

Le troisième est la résilience opérationnelle, qui est en fait l’objectif principal. Les systèmes automatisés n’oublient pas. Ils ne prennent pas de congé. Ils ne perdent pas la trace de l’obscur sous-domaine qui sert tranquillement de trafic depuis que nous savons ce que sont les influenceurs. Un pipeline d’automatisation bien conçu transforme la réduction de la durée de vie des certificats d’une menace croissante en un non-événement, ce qui est exactement ce qu’il devrait être.

Ici, l’automatisation n’est pas une fonction de luxe réservé aux équipes qui aiment multiplier les outils. Avec une durée de vie de 47 jours, c’est la seule approche qui tienne la route. L’alternative est d’embaucher des personnes dont l’unique travail consiste à renouveler les certificats, et personne n’a le budget pour cela.

Présentation de l’API SSL de BrandShelter

C’est là qu’intervient notre nouvelle API SSL. Nous l’avons conçue pour vous décharger de la gestion des certificats et la confier à votre infrastructure, comme il se doit.

L’API couvre l’ensemble du cycle de vie des certificats. Vous pouvez commander des certificats, les valider, les renouveler, les réémettre, les révoquer et mettre à jour leurs métadonnées, le tout de manière programmatique. Elle prend en charge les certificats Domain Validation (DV), Organization Validation (OV) et Extended Validation (EV) des marques auxquelles vous faites déjà confiance : DigiCert, Sectigo, GeoTrust, Thawte, PositiveSSL, InstantSSL et RapidSSL. Quel que soit le niveau de validation dont un domaine donné a besoin, l’API gère la commande et le cycle de vie.

Quelques capacités méritent d’être soulignées.

La validation DNS automatique est intégrée pour les zones DNS gérées par BrandShelter. Si nous hébergeons votre DNS, les enregistrements de validation sont publiés pour vous. Pas besoin de copier de longues chaînes de caractères dans un panneau de contrôle, pas besoin d’attendre de découvrir que vous avez mal collé une chaîne. La validation se fait toute seule.

La gestion automatisée du cycle de vie couvre les parties qui nécessitaient auparavant l’attention d’un humain. Les renouvellements, les réémissions, les révocations et les mises à jour des métadonnées peuvent tous être exécutés de manière autonome, déclenchés par vos systèmes plutôt que par votre mémoire.

Les informations et l’état des certificats sont disponibles à la demande, de sorte que vous savez toujours exactement où en est chaque certificat. Le problème de visibilité évoqué plus haut, celui où personne n’a une vue d’ensemble ? Voici ce qui le résout.

Et tout cela s’intègre à vos systèmes internes existants et à vos flux de travail opérationnels. L’API est un bloc de construction, pas un jardin clos. Elle est conçue pour s’intégrer à votre façon de travailler plutôt que de vous demander de reconstruire autour d’elle.

Le résultat est simple. Le travail qui occupe aujourd’hui l’après-midi d’une personne, mais qui prendra bientôt toute sa vie, devient une tâche que votre infrastructure gère discrètement en arrière-plan. N’est-ce pas agréable quand la technologie est la solution, et pas seulement le problème ?

Support ACME pour l’infrastructure existante

Bien sûr, si vous êtes en avance et que vous avez déjà commencé à investir dans l’automatisation des certificats, nous avons également un support pour vous.

Outre l’API SSL, BrandShelter prend désormais en charge le protocole ACME. ACME est le standard ouvert autour duquel la gestion automatisée des certificats s’est regroupée, et les outils qui en découlent sont omniprésents. Si vous avez utilisé Certbot, acme.sh, lego, win-acme, Caddy ou Traefik, vous avez utilisé ACME, même si vous n’y avez jamais pensé.

Voici ce que cela signifie en pratique : vous n’avez pas à reconstruire quoi que ce soit.

Si votre infrastructure parle déjà ACME, elle peut parler à BrandShelter. Orientez votre client ACME existant vers notre service et les certificats peuvent être demandés, validés, émis, déployés, renouvelés et révoqués par le biais des flux de travail automatisés que vous avez déjà construits et testés. Pas de nouveau client à apprendre. Pas de pipeline à démanteler et à réassembler. L’automatisation à laquelle vous faites confiance continue de fonctionner, avec BrandShelter derrière elle.

L’approche ACME est conçu pour des certificats compatibles avec l’automatisation, c’est-à-dire des certificats de validation de domaine : mono-domaine, multi-SAN, wildcard et wildcard-SAN. Ce sont les certificats qui se prêtent le mieux à une émission sans intervention, et c’est sur eux que fonctionnent la plupart des infrastructures à fort volume et à évolution rapide.

Pour les certificats Organization Validation et Extended Validation, pour lesquels un être humain et un processus de vérification font partie de l’accord, vous devrez utiliser les flux de travail de l’API SSL standard. OV et EV ne sont pas des citoyens de seconde zone. Ils sont entièrement pris en charge par l’API. Ils vivent simplement sur le chemin construit pour eux plutôt que sur le chemin construit pour une émission entièrement automatisée et sans validation. Les deux approches sont complémentaires : ACME pour les certificats DV à volume élevé qui devraient être renouvelés sans que personne ne les surveille, l’API pour les certificats à assurance plus élevée qui impliquent une étape de vérification qu’aucun protocole ne peut ignorer.

Mais l’essentiel n’est pas le protocole lui-même. C’est ce qu’il vous permet d’obtenir. Les heures que vous passiez à suivre les renouvellements et à courir après les validations restent dans votre semaine. Les pipelines que vous avez déjà construits et auxquels vous faites confiance continuent de fonctionner, sans qu’il soit nécessaire de les reconstruire en bloc et à grands frais. Et le travail de maintien de la validité des certificats, qui était sur le point d’être multiplié par huit, disparaît tranquillement dans l’automatisation, sans que vous n’ayez à y penser.

Se préparer à un avenir où la durée de vie des certificats sera plus courte

Revenons à notre point de départ. La corvée annuelle de certificats, le rappel du calendrier, l’année tranquille entre les deux.

Ce monde a disparu et ne reviendra pas. La durée de vie tombe à 200 jours, puis à 100, puis à 47, et aucun souhait ne permettra de la ramener à 398. Les organisations qui traverseront cette évolution avec succès ne seront pas nécessairement celles qui disposent du tableur le mieux tenu. Ce seront celles qui ont cessé de considérer la gestion des certificats comme une tâche et qui ont commencé à la considérer comme une infrastructure automatisée, bien avant que les 47 jours n’imposent le problème.

C’est la raison d’être de l’API SSL de BrandShelter et du support ACME. Que vous souhaitiez disposer d’une API complète pour intégrer l’automatisation des certificats dans vos propres systèmes ou que vous souhaitiez simplement orienter votre outil ACME existant vers un service qui s’occupe du reste, le chemin qui mène à l’abandon de la gestion manuelle des certificats est désormais beaucoup plus court que les certificats eux-mêmes ne sont sur le point de le devenir.

Le passage à des durées de vie plus courtes va prendre de nombreuses équipes au dépourvu. Il n’est pas nécessaire qu’elle prenne la vôtre au dépourvu.

Discutez avec nous de la possibilité d’intégrer la gestion de vos certificats à l’API SSL de BrandShelter, et laissez votre infrastructure gérer les renouvellements pendant que vous reprenez le travail pour lequel vous avez été embauché. Cliquez ici pour commencer

Share article