bg-blog-articles

De 398 jours à 47 : ce que signifient les nouvelles durées de vie des certificats SSL

La validité des certificats SSL est en train de changer, et cette transition a déjà commencé. Le secteur s’éloigne des certificats à longue durée de vie pour adopter des durées beaucoup plus courtes, ce qui impose une approche différente dans la gestion de vos SSL/TLS.

Il ne s’agit pas d’une mise à jour mineure. La réduction de la validité SSL augmente la fréquence à laquelle vous émettez des certificats, validez des domaines et gérez les renouvellements. Les processus qui fonctionnaient sur des cycles annuels ne tiennent plus dans des délais plus contraignants.

Cet article explique ce qui a changé, pourquoi le secteur a fait ce choix, et ce que cela signifie concrètement. Vous apprendrez également comment naviguer dans ce changement grâce à des outils spécifiquement conçus pour la nouvelle ère de l’automatisation SSL.


Table des matières

  1. Chronologie de la validité des certificats SSL : ce qui a changé
  2. Pourquoi les durées de vie des certificats SSL raccourcissent
  3. Ce que signifie concrètement une validité SSL réduite
  4. Des durées de vie plus courtes arrivent aussi pour la signature de code
  5. Comment se préparer aux prochains changements de validité SSL

Chronologie de la validité des certificats SSL : ce qui a changé

Le CA/Browser Forum a défini un calendrier fixe qui réduit la période de validité maximale des certificats SSL/TLS.

  • Jusqu’au 14 mars 2026 : La validité maximale était d’environ 398 jours
  • À partir du 15 mars 2026 : La validité maximale est de 200 jours
  • À partir du 15 mars 2027 : La validité maximale devient 100 jours
  • À partir du 15 mars 2029 : La validité maximale devient 47 jours

Ces limites s’appliquent à tous les certificats émis par des autorités de certification (CA) publiques.

Les périodes de réutilisation de la validation changent également

Les périodes de réutilisation de la validation définissent la durée pendant laquelle une CA peut s’appuyer sur une validation de domaine précédemment effectuée lors de l’émission d’un nouveau certificat SSL. En termes simples, la validité contrôle la durée pendant laquelle un certificat reste actif, tandis que la réutilisation de la validation contrôle la durée pendant laquelle la preuve de propriété du domaine reste acceptable pour l’émission de nouveaux certificats. Ce sont deux couches distinctes du processus.

En vertu des nouvelles règles du CA/Browser Forum, les périodes de réutilisation de la validation diminuent parallèlement aux durées de vie des certificats. Cela signifie que les CA doivent revérifier le contrôle des domaines plus fréquemment au lieu de s’appuyer sur d’anciens enregistrements de validation. D’ici 2029, les périodes de réutilisation tomberont à seulement 10 jours, ce qui oblige à effectuer une validation presque à chaque émission de certificat.

  • À partir du 15 mars 2026 : La réutilisation de la validation est limitée à 200 jours
  • À partir du 15 mars 2027 : Réduite à 100 jours
  • À partir du 15 mars 2029 : Réduite à 10 jours

Vous devez renouveler les certificats plus souvent et revalider les domaines plus fréquemment.


Pourquoi les durées de vie des certificats SSL raccourcissent

Le secteur limite la validité SSL pour refléter la rapidité des changements dans les infrastructures modernes. Les certificats ne restent plus sur des serveurs statiques pendant des années. Les domaines changent de fournisseurs, les configurations se mettent à jour, et la propriété ou le contrôle peuvent évoluer bien plus vite qu’auparavant.

Dans le même temps, le web s’appuie sur les certificats comme source de confiance. Si cette confiance repose sur des informations obsolètes, elle devient moins fiable. Des durées de vie de certificats plus courtes et des périodes de réutilisation de la validation plus réduites maintiennent les données des certificats plus proches des conditions réelles, réduisent le temps d’exposition aux risques et orientent la gestion des certificats vers des processus plus rapides et mieux contrôlés.

  • Les certificats sont un instantané dans le temps — Les certificats SSL capturent la propriété du domaine, l’infrastructure et les coordonnées qui étaient exactes au moment de l’émission, mais qui peuvent évoluer avec le temps. Des durées de vie plus courtes signifient que les informations obsolètes restent fiables moins longtemps.
  • Les données de validation doivent rester à jour — Les CA ont besoin d’enregistrements de propriété de domaine actualisés pour émettre des certificats avec précision. La réutilisation d’anciennes données de validation augmente le risque d’émettre des certificats basés sur des informations qui ne sont plus exactes, c’est pourquoi des vérifications plus fréquentes maintiennent l’intégrité du processus.
  • Des durées de vie plus courtes limitent l’exposition aux risques de sécurité — Tout certificat mal émis ou toute clé privée compromise ne peut causer des dommages que pendant la durée de sa validité. Des cycles de renouvellement rapides réduisent cette fenêtre, limitant les conséquences d’incidents souvent impossibles à prévenir entièrement.
  • La gestion manuelle ne passe pas à l’échelle — Lorsque les certificats expirent toutes les quelques semaines ou quelques mois, les processus de renouvellement manuels ne peuvent tout simplement pas suivre. L’automatisation cesse d’être optionnelle — elle devient le seul moyen réaliste de gérer le cycle de manière cohérente.

Ce que signifie concrètement une validité SSL réduite

Les nouveaux délais de certificats révèlent les points faibles dans la façon dont les certificats sont suivis, émis et déployés dans une infrastructure réelle.

Les renouvellements deviennent une charge opérationnelle

Un seul certificat nécessitait autrefois une attention une fois par an. Désormais, ce même certificat nécessitera une intervention trois, six, voire dix fois au cours de la même période.

Prenons une configuration type :

  • un certificat sur le domaine principal
  • un sur l’API
  • un sur l’environnement de staging
  • un sur les services internes

Cela représente déjà 4 certificats ou plus. Avec des durées de vie plus courtes, vous aurez 20 à 40 événements de renouvellement, chacun comprenant des étapes d’émission, de validation et de déploiement. C’est là que les calculs commencent à jouer contre vous.

La validation exigera plus d’attention

Voici à quoi ressemblera un renouvellement type lorsque les nouvelles règles entreront en vigueur :

  • Le renouvellement se déclenche en s’attendant à une émission automatique
  • La CA exige une nouvelle validation du domaine
  • Les enregistrements de validation DNS ou HTTP doivent être mis à jour
  • Le pipeline de déploiement est bloqué jusqu’à ce que la validation soit effectuée

Multipliez cela sur des dizaines de domaines et plusieurs environnements, et les renouvellements cessent d’être routiniers. Ils deviennent imprévisibles, et dans les configurations basées sur des pipelines CI/CD, des déploiements automatisés ou de l’infrastructure-as-code, une seule étape de validation non automatisée peut tout bloquer.

Le suivi manuel s’effondre sous les chevauchements

Les feuilles de calcul, les rappels de calendrier et les processus temporaires deviennent de plus en plus difficiles à maintenir à mesure que la fréquence des renouvellements augmente.

Exemple :

  • Le certificat A expire dans 60 jours
  • Le certificat B expire dans 45 jours
  • Le certificat C expire dans 30 jours

Répétez cela sur des dizaines de certificats. Les rappels s’accumulent. Les échéances se chevauchent. Et, avant même de vous en rendre compte, vous commencez à réagir au lieu de gérer. Lorsque de nombreux événements se concurrencent en même temps, il est très probable de manquer une échéance de certificat.

Les certificats commencent à échapper à la visibilité

La plupart des équipes sous-estiment le nombre de certificats qu’elles gèrent réellement. Un environnement réel comprend souvent :

  • Un certificat CDN (edge)
  • Un certificat de load balancer
  • Un certificat de serveur d’origine
  • Des certificats de services internes
  • Des intégrations tierces

Chacun a son propre cycle de vie. Sans découverte ni inventaire, vous perdez la visibilité. Cela conduit à un schéma d’échec courant :

  • « Le site principal fonctionne, mais l’API génère des erreurs SSL ».
  • « Le frontend est correct, le certificat du backend a expiré ».

Les lacunes de déploiement créent une fausse confiance

Un certificat peut être émis avec succès et ne jamais atteindre le bon endroit. Un script de déploiement s’exécute partiellement, le load balancer se met à jour mais pas le serveur d’origine, et soudainement l’expérience devient incohérente. Certains utilisateurs se connectent sans problème tandis que d’autres rencontrent des erreurs de certificat. Ces pannes sont parmi les plus difficiles à déboguer car elles ne se manifestent pas de manière uniforme.

Au-delà d’une certaine échelle, la gestion des certificats ne peut plus tenir dans une liste de contrôle. Elle nécessite un inventaire pour suivre ce qui existe, une surveillance pour détecter ce qui expire, une automatisation pour gérer les renouvellements, et un déploiement fiable pour s’assurer que les certificats atteignent les bons endroits.


Economisez 10% sur les certificats SSL en commandant chez SSL Dragon aujourd’hui !

Délivrance rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon : SAVE10

Image détaillée d'un dragon en vol

Des durées de vie plus courtes arrivent aussi pour la signature de code

Les certificats de signature de code évoluent dans la même direction que SSL : des périodes de validité plus courtes et des contrôles plus stricts sur la façon dont les clés privées sont stockées et gérées.

DigiCert et GoGetSSL émettent désormais des certificats de signature de code pour une durée d’un an seulement, les clients utilisant soit leur propre module de sécurité matériel, soit commandant un token physique.

Sectigo suit un modèle similaire — un an si vous utilisez un token, mais des options d’un, deux ou trois ans deviennent disponibles si vous gérez les clés via votre propre HSM, comme une YubiKey.

Le schéma est cohérent : une validité plus longue est directement liée à un contrôle plus strict des clés. Plus les exigences de stockage sont strictes, plus le client dispose de flexibilité sur la durée. Cela reflète la même logique qui guide les changements SSL. Des durées de vie plus courtes et une meilleure gestion des clés réduisent la fenêtre d’exposition et renforcent la confiance dans les logiciels signés dans l’ensemble.


Comment se préparer aux prochains changements de validité SSL

Une validité de certificat plus courte nécessite des processus structurés. La bonne approche dépend de l’échelle et de la complexité.

ACME : idéal pour l’automatisation continue

ACME (Automated Certificate Management Environment) est un protocole standardisé qui permet aux serveurs et aux applications de demander, valider, émettre et renouveler des certificats SSL/TLS automatiquement. Au lieu de s’appuyer sur des étapes manuelles comme la génération de CSR, les approbations par e-mail ou les téléchargements de fichiers, les systèmes interagissent directement avec une CA via des flux de travail pilotés par API.

En pratique, les certificats ACME gèrent l’intégralité du cycle de vie. Ils prouvent le contrôle du domaine via des challenges HTTP ou DNS, récupèrent le certificat, l’installent et le renouvellent avant expiration sans intervention humaine.

Il convient le mieux aux environnements où :

  • l’infrastructure change fréquemment (cloud, conteneurs, microservices)
  • les déploiements s’exécutent via des pipelines CI/CD
  • plusieurs domaines ou services nécessitent des mises à jour continues des certificats

RapidSSL AutoInstall : automatisation simplifiée pour les configurations serveur standard

AutoInstall SSL simplifie la gestion des certificats dans les environnements basés sur des serveurs. Au lieu d’exiger des téléchargements manuels, des modifications de configuration et des étapes d’installation répétées, il s’intègre directement aux panneaux d’hébergement pour gérer le déploiement automatiquement.

En pratique, il fonctionne au sein de plateformes comme cPanel, Plesk et des panneaux d’hébergement similaires où les certificats sont gérés au niveau du serveur. Une fois configuré, il peut gérer l’émission et le renouvellement tout en s’assurant que les certificats sont correctement installés et appliqués sans intervention manuelle à chaque cycle.

Il convient le mieux aux configurations où :

  • les serveurs s’appuient sur des panneaux de contrôle ou des stacks d’hébergement gérés
  • la gestion des certificats s’effectue au niveau du serveur plutôt que via une infrastructure personnalisée
  • les équipes souhaitent réduire les tâches de configuration répétitives sans reconstruire leur flux de travail autour d’une automatisation pilotée par API.

DigiCert CertCentral TLS Manager : idéal pour les équipes en croissance

CertCentral TLS Manager est une plateforme centralisée pour gérer le cycle de vie complet des certificats SSL au sein d’une organisation. Elle vous offre une interface unique pour émettre, suivre, renouveler et remplacer des certificats depuis un seul endroit.

Vous pouvez surveiller les dates d’expiration, détecter les certificats déjà déployés dans l’infrastructure et gérer les renouvellements. Elle prend également en charge l’automatisation via des API et des intégrations ACME, permettant d’émettre et de renouveler des certificats sans intervention manuelle tout en maintenant un contrôle centralisé.

Il convient le mieux aux environnements où :

  • plusieurs équipes ou systèmes demandent et gèrent des certificats
  • l’inventaire des certificats n’est plus entièrement visible
  • les cycles de renouvellement commencent à se chevaucher entre différents services
  • le suivi centralisé et le contrôle des politiques deviennent nécessaires

CertCentral ne remplace pas l’automatisation au niveau de l’infrastructure comme ACME. Il ajoute plutôt une couche de contrôle par-dessus.

DigiCert Trust Lifecycle Manager : idéal pour les entreprises à grande échelle

Trust Lifecycle Manager étend la gestion des certificats au-delà du SSL/TLS public et la transforme en un système unifié pour gérer la confiance au sein d’une organisation entière. Au lieu de gérer les certificats dans des outils isolés, il regroupe les certificats publics, la PKI privée et les identités internes dans un cadre contrôlé unique.

Il s’intègre également à l’infrastructure d’entreprise telle que les systèmes d’identité, les plateformes cloud et les pipelines DevOps, de sorte que les opérations sur les certificats s’intègrent dans les flux de travail existants plutôt que de constituer un processus séparé.

Il convient le mieux aux environnements où :

  • l’utilisation des certificats s’étend aux systèmes publics et privés
  • plusieurs équipes ou départements gèrent leurs propres certificats
  • l’infrastructure comprend des configurations cloud, on-prem et hybrides
  • la gouvernance, la conformité et les exigences d’audit sont importantes

À cette échelle, le défi n’est pas seulement le renouvellement, mais la visibilité, le contrôle et la cohérence sur des centaines ou des milliers de certificats.


Réflexions finales

L’ère du « configurez et oubliez » pour la sécurité web est officiellement révolue. Nous passons de certificats qui durent des années à un monde où ils expirent en quelques semaines seulement.

Le compte à rebours a déjà commencé. Les entreprises qui tentent encore de gérer ces mises à jour manuellement vont ressentir la pression à mesure que les échéances s’accumulent. À l’inverse, les équipes qui adoptent une façon de travailler plus fluide et plus automatisée remarqueront à peine le changement. Des durées de vie plus courtes sont la nouvelle réalité, et la seule voie à suivre est d’arrêter de réagir et de commencer à rationaliser.

SSL Dragon propose des solutions d’automatisation adaptées à chaque configuration, des environnements serveur simples aux infrastructures complexes à grande échelle. Que vous ayez besoin d’une automatisation basée sur le protocole ACME, d’un déploiement simplifié ou d’une gestion complète du cycle de vie, vous pouvez choisir l’approche qui correspond à vos besoins et garder vos certificats sous contrôle à mesure que les cycles de renouvellement s’accélèrent.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Image détaillée d'un dragon en vol
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.