Le CA/Browser Forum a officiellement voté la modification des standards de base TLS afin de définir un calendrier pour réduire à la fois la durée de vie des certificats TLS et la réutilisation des informations validées par la CA dans les certificats. Les premiers effets du scrutin sur les utilisateurs auront lieu en mars 2026.

Le scrutin a été longuement débattu dans le CA/Browser Forum et a fait l’objet de plusieurs versions, intégrant les retours d’information des autorités de certification et de leurs clients. La période de vote s’est terminée le 11 avril 2025, fermant une page très controversée et permettant au monde des certificats de préparer l’avenir.

Le nouveau calendrier de durée de vie des certificats TLS

Le nouveau scrutin prévoit une validité des certificats de 47 jours, ce qui rend l’automatisation indispensable. Avant cette proposition d’Apple, Google préconisait une durée de vie maximale de 90 jours, mais a voté en faveur de la proposition d’Apple presque immédiatement après le début de la période de vote.

Voici le calendrier :

• La durée de vie maximale des certificats diminue :

  • À partir d’aujourd’hui et jusqu’au 15 mars 2026, la durée de vie maximale d’un certificat TLS est de 398 jours.
  • À compter du 15 mars 2026, la durée de vie maximale d’un certificat TLS sera de 200 jours.
  • À compter du 15 mars 2027, la durée de vie maximale d’un certificat TLS sera de 100 jours.
  • À compter du 15 mars 2029, la durée de vie maximale d’un certificat TLS sera de 47 jours.

   

• La période maximale pendant laquelle les informations de validation de domaines et des adresses IP peuvent être réutilisées diminue :

  • À partir d’aujourd’hui et jusqu’au 15 mars 2026, la période maximale pendant laquelle les informations de validation de domaines peuvent être réutilisées est de 398 jours.
  • À compter du 15 mars 2026, la période maximale pendant laquelle les informations de validation de domaines peuvent être réutilisées est de 200 jours.
  • À compter du 15 mars 2027, la période maximale pendant laquelle les informations de validation de domaines peuvent être réutilisées est de 100 jours.
  • À compter du 15 mars 2029, la période maximale pendant laquelle les informations de validation de domaines peuvent être réutilisées est de 10 jours.

• À compter du 15 mars 2026, les validations des informations sur l’identité du sujet (IIS) ne peuvent être réutilisées que pendant 398 jours, contre 825 auparavant. IIS est le nom de la société et les autres informations figurant dans un certificat OV (Validation d’organisation) ou EV (Validation étendue), c’est-à-dire tout ce qui n’est pas le nom de domaine ou l’adresse IP protégé par le certificat. Cela n’affecte pas les certificats DV (Validation de domaine), qui n’ont pas de IIS.

   

Pourquoi 47 jours ?

47 jours peut sembler un chiffre arbitraire, mais il s’agit d’une simple cascade :

• 200 jours = 6 mois maximum (184 jours) + 0,5 mois de 30 jours (15 jours) + 1 jour de marge de manœuvre
• 100 jours = 3 mois maximum (92 jours) + ~0,25 mois de 30 jours (7 jours) + 1 jour de marge de manœuvre
• 47 jours = 1 mois maximum (31 jours) + 0,5 mois de 30 jours (15 jours) + 1 jour de marge de manœuvre

Justification de la modification par Apple

Dans le scrutin, Apple présente de nombreux arguments en faveur de ces changements, dont l’un mérite d’être souligné. Il affirme que le CA/Browser Forum, en réduisant régulièrement les durées de vie maximales, a répété depuis des années que l’automatisation est essentiellement obligatoire pour une gestion efficace du cycle de vie des certificats.

Le scrutin affirme que des durées de vie plus courtes sont nécessaires pour de nombreuses raisons, dont la plus importante est la suivante : Les informations contenues dans les certificats deviennent de moins en moins fiables au fil du temps, un problème qui ne peut être atténué que par une revalidation fréquente des informations.

Le scrutin soutient également que le système de révocation basé sur les listes de révocation de certificats (CRL) et le protocole OCSP est peu fiable. En effet, les navigateurs ignorent souvent ces fonctionnalités. Le scrutin comporte une longue section sur les défaillances du système de révocation des certificats. Des durées de vie plus courtes atténuent les effets de l’utilisation de certificats potentiellement révoqués. En 2023, le CA/Browser Forum a franchi une étape supplémentaire en approuvant les certificats de courte durée, qui expirent dans les 7 jours et qui ne nécessitent pas de support de listes de révocations de certificats ou d’OCSP.

Pour dissiper toute confusion sur les nouvelles règles

Deux points de la nouvelle réglementation sont susceptibles de créer une certaine confusion :

1. Les trois années pour lesquelles les règles ont été modifiées sont 2026, 2027 et 2029, mais l’écart entre la deuxième série d’années est de deux ans.
2. À partir du 15 mars 2029, la durée de vie maximale d’un certificat TLS sera de 47 jours, mais la période maximale pendant laquelle les informations de validation du domaine peuvent être réutilisées n’est que de 10 jours. La revalidation manuelle reste techniquement possible, mais elle serait source d’échecs et de pannes.

En tant qu’autorité de certification, l’une des questions les plus fréquentes que nous posent les clients est de savoir si le remplacement plus fréquent des certificats leur coûtera plus cher. La réponse est non. Le coût est basé sur un abonnement annuel, et l’expérience montre qu’une fois que les utilisateurs adoptent l’automatisation, ils s’orientent souvent volontairement vers des cycles de remplacement de certificats plus rapides.

Pour cette raison, et parce que même les modifications apportées en 2027 aux certificats de 100 jours rendront les procédures manuelles intenables, nous prévoyons une adoption rapide de l’automatisation bien avant les modifications de 2029.

La déclaration d’Apple sur la gestion automatisée du cycle de vie des certificats est incontestable, mais nous nous y préparons depuis longtemps. DigiCert propose plusieurs solutions d’automatisation par le biais de Trust Lifecycle Manager et de CertCentral, y compris la prise en charge de l’ACME. L’ACME de DigiCert permet l’automatisation des certificats DV, OV et EV et comprend la prise en charge de l’ARI (ACME Renewal Information).

N’hésitez pas à nous contacter pour découvrir comment vous pouvez tirer le meilleur parti de l’automatisation.

Confiance numérique : le point sur l’actualité et les innovations

Vous souhaitez en savoir plus sur des sujets tels que la gestion des certificats, l’automatisation et TLS/SSL ? Abonnez-vous au blog DigiCert pour découvrir nos derniers articles sur toutes ces thématiques.