Si aujourd’hui il semble déjà fastidieux de suivre l’expiration des certificats SSL/TLS, ce qui vient de 2029 est un autre niveau: La durée de vie maximale passera à seulement 47 jours. Il ne s’agit pas d’une rumeur ou d’une idée folle d’une entreprise spécifique, mais d’une décision approuvée dans le Forum CA/navigateurle « club » où siègent les principales autorités de certification et les grands navigateurs.
L’idée officielle est de renforcer la sécurité, mais le changement va obliger de nombreuses entreprises à revoir de fond en comble la manière dont elles gèrent leurs certificats.
D’où vient le changement et que recherche-t-on ?
Nous ne parlons pas ici d’une nouvelle loi ou d’une imposition gouvernementale. Cette décision vient du CA/Browser Forum, le groupe dans lequel le gros climatiseurs (DigiCert, GlobalSign, Sectigo, etc.) aux côtés des équipes Chrome, Firefox, Safari ou Edge.
C’est Apple qui a lancé le bal en proposant de raccourcir drastiquement la validité des certificats. Puis d’autres voix du secteur se sont jointes jusqu’à ce que le vote ait lieu, sans opposition directe.
Sur le papier, les objectifs sont tout à fait raisonnables :
- Réduisez le temps pendant lequel les données des certificats peuvent devenir obsolètes.
- Réduisez la fenêtre dans laquelle un certificat compromis reste valide.
- Poussez l’industrie vers l’automatisation et réduisez les erreurs typiques du type « notre certificat a expiré et personne ne l’a remarqué ».
La théorie correspond: certificats plus courts, moins d’exposition. Une autre chose est de savoir comment cela arrive dans les organisations comptant des centaines de services et d’équipes différents.
Le nouveau calendrier : de l’année longue au mois et demi
Jusqu’à présent, la limite des certificats de serveurs publics était d’environ 398 jours. Ce n’est pas une jeunesse éternelle, mais cela laisse une certaine marge pour planifier sereinement les rénovations.
Une fois l’accord approuvé, une période de transition est entrée avec plusieurs dates clés :
- 15 mars 2026 – Durée de vie maximale du certificat : 200 jours – Validité de la vérification du contrôle de domaine (DCV) : 200 jours.
- 15 mars 2027 – Durée de vie maximale : 100 jours – DCV : 100 jours.
- 15 mars 2029 – Durée de vie maximale : 47 jours – DCV : 10 jours.
En pratique, Ça veut dire qu’on est passé d’un peu plus d’un an à un peu plus d’un mois et demi. Et, de plus, la preuve que vous contrôlez réellement le domaine devra être renouvelée à une fréquence ridicule vu le modèle actuel.
Plus de sécurité, oui ; plus de pression de service également
Sur un petit site Web hébergé par un fournisseur qui automatise déjà les certificats, l’utilisateur le remarquera à peine. Mais le film change quand on parle de :
- Entreprises avec de nombreux domaines et sous-domaines distribués sur Internet.
- Environnements hybrides dans lequel se trouvent des certificats sur les serveurs Web, les équilibreurs, les pare-feu, les appareils de messagerie, les API internes, les passerelles de paiement, etc.
Aujourd’hui, nous voyons déjà des certificats expirés sur les pages des organismes publics, des banques ou des grandes entreprises. Avec une validité de 47 jours, continuer à utiliser les renouvellements manuels, les emails de notification et les tableurs, c’est jouer avec le feu.
L’automatisation n’est plus une option
Le message sous-jacent du changement est assez clair: Le modèle « quelqu’un écrit la date sur le calendrier et s’occupe » est mort.
Pour survivre dans un monde de certificats éphémères, il vous faut :
- Utilisez des protocoles d’automatisation comme ACMEpopularisé par Let’s Encrypt et déjà supporté par de nombreuses autorités de certification commerciales.
- Profitez des services cloud qui intègrent l’émission et le renouvellement automatique des ressources qu’ils hébergent.
- Adopter des plateformes de gestion centralisée des certificatsdécouvrez les actifs perdus, surveillez les expirations et orchestrez les renouvellements sans passer manuellement serveur par serveur.
Que devriez-vous commencer à faire maintenant ?
Bien que la date de la grande coupure soit 2029, la première coupure aura lieu en 2026. Trois ans semblent longs, mais pour une grande organisation, c’est demain matin. Il est logique de préparer le terrain avec des étapes très précises :
Faites un véritable inventaire
Sachez combien il existe de certificats, qui les délivre, où ils sont installés et quand ils expirent. Ce que vous ne voyez pas, vous ne pouvez pas l’automatiser.
Réduire la dispersion des fournisseurs
Moins il y a d’émetteurs différents, moins il y a de variations à gérer et moins de surprises dans les processus de renouvellement.
Commencez à essayer ACME et similaires
Vous n’avez pas besoin de tout migrer en même temps, mais vous devez commencer par des services moins critiques pour garantir que l’ensemble du cycle d’émission et de renouvellement fonctionne sans intervention manuelle constante.
Revoir les processus de changement internes
Si chaque certificat doit passer par un comité de changement qui se réunit une fois par mois, le modèle actuel n’est pas viable avec des durées aussi courtes. Des procédures plus agiles et, en même temps, bien documentées seront nécessaires.
Mettre le suivi en conditions
Alertes automatiques, panneaux centralisés et notifications avec possibilité de réaction. Avec des fenêtres de plusieurs semaines, cela ne vaut pas la peine de faire confiance à quelqu’un pour s’en souvenir.
Un malaise nécessaire… et une opportunité
Du point de vue de la sécurité, cette décision est logique: Si quelque chose se brise ou est compromis, il est préférable que le certificat ait une courte durée de vie. Du point de vue des affaires quotidiennes, cela représente un casse-tête supplémentaire qui vous obligera à investir du temps, de l’argent et des efforts dans des outils et des processus.
L’avantage, c’est que cela peut servir de prétexte pour mettre de l’ordre dans un domaine que de nombreuses organisations ont improvisé à la volée. Celui qui profitera de ce changement pour nettoyer, unifier et automatiser en ressortira plus fort. Quiconque continue de s’appuyer sur des tâches manuelles et des notifications par courrier électronique découvrira rapidement que 47 jours de production s’écoulent en un éclair.
