Go DSI
DSI Externalisé à Temps Partagé pour TPE/PME
Secrets
My GO DSI

🔐 Réduction progressive de la durée de validité des certificats SSL/TLS

La durée de validité des certificats SSL/TLS va fortement diminuer d'ici 2029 et ça commence ... maintenant ! Anticipez les impacts sur votre PME et sécurisez vos services web.
certificat ssl/tls validité
Patrice Bonhomme
avril 23, 2025
Sécurité et Menaces

La durée de validité des certificats numériques, en particulier les certificats SSL/TLS, est en train de connaître une réduction majeure, portée par les grandes autorités de certification et les éditeurs de navigateurs (Apple, Google, Mozilla, etc.). L’objectif affiché est de renforcer la sécurité numérique, d’accélérer la réactivité en cas de faille et de favoriser l’automatisation de la gestion des certificats. On parle globalement de passer de 398 jours de validité actuellement pour les certificats publics à ... 47 jours en Mars 2029 avec des étapes intermédiaires.

Quand on sait la rigueur nécessaire pour émettre, gérer et déployer ces certificats, cette réduction de validité implique donc des changements drastiques dans la gouvernance des certificats.

1. Contexte général

Les certificats SSL/TLS permettent de sécuriser les communications entre un navigateur et un site web via le protocole HTTPS mais aussi les échanges de données sur des protocoles SFTP par exemple. Valable à l'origine 2 ans une fois émis, la durée de validité des certificats a déjà été progressivement réduite ces dernières années pour renforcer la sécurité du web.

Je ne parle ici que des certificats publics, émis par une autorité de certificat (CA) et il en existe des dizaines dont certaines sont très connus et réputées (GlobalSign, ChamberSign, GeoTrust/DigiCert, RapidSSL, ...). Cet article ne concerne pas les certificats auto-émis à usage interne. Et je ne parle pas non plus des certificats à validation individuelle (IV).

Il existe différent type de certificats selon les usages et la sensibilité des données manipulées. C'est la méthode de vérification des données utilisées pour définir et générer le certificat qui va définir (1) le temps pour émettre le certificat (de quasi instantanée à plusieurs jours), (2) la garantie financière associée (de 0€ à plusieurs centaines de milliers d'euros) et (3) le prix d'achat du certificat (de 0€ à plusieurs milliers d'euros par an).

On va commencer par décrire les certificats classiques à validation de domaine (les DV pour Domain Validation) puis les certificats à validation d'entreprise (les OV pour Organization Validation) et enfin les certificats à validation étendue (les EV pour Extended Validation) sans oublier les certificats gratuits de type Lets Encrypt (LE).

DV (Domain Validation) – 🔎 Validation du domaine

⚙️ C'est le minimum syndical pour sécuriser un site web :

  • Ce certificat vérifie uniquement que vous êtes bien le propriétaire ou gestionnaire du nom de domaine en question.
  • 1 seul élément de contrôle : L'autorité émettrice va vous demander d'ajouter un enregistrement TXT associé à une clé unique dans la zone DNS du nom de domaine à certifier.
  • Il ne permet pas de vérification de l’identité de l’entreprise.
  • Sa délivrance est rapide, souvent en quelques minutes.
  • Il nécessite la production d'un fichier de demande de certificat (le fameux CSR) signé par une clé privée que vous garderez bien au chaud car elle sera utile pour déployer le certificat sur votre ou vos serveurs. C'est cette clé privée (secrète) qui permet de s'assurer que c'est le bon certificat qui protège votre nom de domaine.

C’est aussi ce que propose Let's Encrypt (certificat gratuit, renouvelable tous les 90 jours) mais sans la clé privée ni le fichier CSR...

✅ Avantages :

  • Assez simple, rapide et souvent automatisé.
  • Largement suffisant pour des blogs, des sites vitrines ou des tests. Discutable pour des sites e-commerce.
  • Cout annuel de 50€ à 250€ selon l'autorité de certification (sa réputation) et la garantie associée.

❌ Limites :

  • Pas de preuve d'identité : L’utilisateur final ne sait pas qui est derrière le site.
  • Ne convient pas à des usages critiques ou transactionnels (banque, e-commerce)

OV (Organization Validation) – 🏢 Validation de l’entreprise

🔐 C'est le certificat "à usage professionnel" pour données sensibles notamment :

  • 8 à 9 éléments de contrôle : L'autorité de certificat vérifie le nom de domaine et l’existence légale de l’organisation via les documents officiels de l'entreprise (KBIS et carte d'identité du représentant légal) et suivi d'un appel téléphonique à partir des données des pages jaunes par exemple. Là, il faut bien briefer le standard téléphonique qu'ils vont recevoir un appel téléphonique (peut-être en anglais !) et vérifier que l'entreprise est bien à l'origine de la demande d'un certificat OV.
  • Le certificat affiche le nom de l’entreprise dans les détails du certificat.
  • Le délai de délivrance est souvent de quelques jours, jamais en dessous de 2 jours.

✅ Avantages :

  • Une crédibilité renforcée (même si il est très difficile pour un utilisateur lambda de faire la différence entre un certificat DV ou OV).
  • Un certificat adapté aux PME, portails clients, extranets, sites e-commerce, ERP, solutions cloud ou SaaS, etc.
  • Une garantie financière très élevée (plusieurs dizaines voir centaines de milliers d'euros) en cas de fraude.

❌ Limites :

  • Un coût d'émission supérieur à un certificat DV, rarement en dessous de 1.000€ / an.
  • Nécessite des justificatifs (Kbis, carte d'identité du dirigeant, une page jaune à jour, une preuve d'activité…).

EV (Extended Validation) – 🛡️ Validation étendue

🏛️ Le niveau le plus exigeant — et le plus rassurant

  • Jusqu'à 16 éléments de contrôle : L'autorité de certification vérifie le nom de domaine + l'existence juridique + l'identité + la ou les activités + les personnes habilitées, le nombre de contrôle est 2x supérieur au nombre de contrôle pour un certificat OV avec notamment des contrôles sur la sécurité et authenticité du site web.
  • L’entreprise est clairement affichée dans la barre d'adresse (selon le navigateur).
  • Le délai de vérification et donc d'émission est plus long (5 à 10 jours).

✅ Avantages :

  • Gage de confiance maximal pour les clients
  • Recommandé pour les sites de paiement, banques, portails sensibles
  • Couts d'émission beaucoup plus élevés.

❌ Limites :

  • Coûteux
  • Processus de vérification très strict, impossible à court-circuiter.

Remarque sur le prix d’un certificat

Même si ce n'est pas l'objet de l'article, le cout d'un certificat dépend du type de certificat (DV, OV ou EV), de la réputation de l'autorité émettrice, mais aussi du ou des noms de domaine à protéger :

  • Prix de base avec un certificat strict comme mondomaine.fr, le www.mondomaine.fr étant compris la plupart du temps ;
  • Prix plus élevé avec un wildcard comme *.mondomaine.fr pour protéger mondomaine.fr mais aussi tous les sous-domaines www.mondomaine.fr, www2.mondomaine.fr, test.mondomaine.fr mais pas www.test.mondomaine.fr) ;
  • Prix encore plus élevé avec du multi-SAN comme mondomaine.fr, mesdomaines.com, mavitrine.fr, etc.

💡 Et Let’s Encrypt dans tout ça ?

Let's Encrypt fournit des certificats DV :

  • Ils sont 100% gratuits ;
  • Ils sont renouvelables automatiquement tous les 90 jours via une API ou des outils tiers à installer sur les serveurs les hébergeant ;
  • Ils sont idéal pour les sites simples, des API sans données personnelles, des projets open source ou en développement.

👍 Parfait si vous avez automatisé la gestion (avec Certbot, par exemple)
👎 Insuffisant si vous devez inspirer la confiance, notamment en B2B ou e-commerce

2. Changements annoncés

Maintenant que vous savez tout (ou presque) sur les certificats (on n'a pas parlé des formats ?), revenons à la durée de validité de ces derniers.

En fait, ce qu'il faut bien comprendre, c'est qu'il y a globalement deux changements de durée de validité qui vont s'opérer :

  • La durée de validité du certificat lui même : Lorsque vous affichez les données de validité d'un certificat, vous verrez toujours une date d'émission du certificat mais aussi une date de validité.
  • La durée de validité des données qui ont servi à émettre et que vous avez transmises à l'autorité de certification, ce qu'on appelle les données d'enregistrement (identité du demandeur, clé TXT du nom du domaine, etc.

🔐 Réduction progressive de la durée de validité des certificats SSL

Le CA/Browser Forum a adopté une réduction progressive de la durée de validité des certificats SSL, avec les échéances suivantes :​

Date d'émission du certificatDurée de validité du certificat
Jusqu'au 15 mars 2026Validité maximale de 398 jours (règle actuelle)
Du 15 mars 2026 au 15 mars 2027200 jours
Du 15 mars 2027 au 15 mars 2029100 jours
Après le 15 mars 202945-47 jours selon les acteurs

Ces changements visent à renforcer la sécurité en limitant la durée pendant laquelle un certificat compromis pourrait être exploité. Certaines autorités de certification, comme Certigna, ont déjà réduit la validité à 90 jours pour certains types de certificats depuis novembre 2024.

🔁 Réduction de la durée de réutilisation des données d’enregistrement (DCV)

Parallèlement, la durée pendant laquelle les données validées à l'enregistrement d'un certificat peuvent être réutilisées sera également réduite :

Date d'enregistrement des données DCVDonnées relatives aux personnesDonnées relatives aux noms de domaine
Jusqu'au 15 mars 2026Réutilisation maximale pendant 825 jours (règle actuelle)Réutilisation maximale pendant 398 jours (règle actuelle)
Du 15 mars 2026 au 15 mars 2027398 jours200 jours
Du 15 mars 2027 au 15 mars 2029398 jours100 jours
Après le 15 mars 2029368 jours10 jours

Ces mesures visent à garantir que les informations associées aux certificats restent à jour et fiables, obligeant à prouver plus fréquemment le contrôle du domaine lors de chaque émission ou renouvellement de certificat.

3. Objectifs et implications

L'objectif principal de cette initiative est de renforcer la sécurité en réduisant la fenêtre d'exploitation potentielle des certificats compromis, via notamment l'exposition des clés privées nécessitant la révocation de tous les certificats signés avec une clé privée compromise.

Elle encourage surtout l'automatisation de la gestion des certificats, rendant les processus de renouvellement plus efficaces et moins sujets aux erreurs humaines.​

Des entreprises telles qu'Apple, Google ou Cisco soutiennent cette démarche, y voyant un moyen d'améliorer la fiabilité des certificats tout en stimulant l'adoption de solutions automatisées.​

Cependant, certaines entités comme MOIS, IdenTrust, JPRS et TWCA ont exprimé des réserves, notamment concernant la faisabilité de la mise en œuvre et les implications pour la continuité de service.​

4. Recommandations pour les entreprises

On va donc voir la fréquence de renouvellement des certificat s'accroitre jusqu'à un point ou les opérations manuelles ne seront plus possibles. Il faudra donc envisager une automatisation pour éviter des oublis ou des échecs dans la chaine de renouvellement pour provoquer une indisponibilité des services concernés

Les TPE/PME/ETI doivent donc dès maintenant réaliser ces actions :

  1. Faire un audit des certificats SSL/TLS en place : inventaire des certificats et ou sont déployés ces certificats (un certificat pouvant être déployés sur plusieurs serveurs ou sites).
  2. Mettre en place une supervision automatisée des certificats avec alerte sous 10 jours, 5 jours puis en cas de certificat périmé (solution simple via RobotUptime par exemple, à partir de 8€/mois).
  3. Prévoir une stratégie de gestion des certificats intégrée à la politique de sécurité du SI (PSSI).
  4. Sensibiliser les équipes techniques (internes et prestataires) sur ce nouveau rythme et renégocier le cas échéant les couts de renouvellement avec les infogéreurs.

Pour conclure

La gestion des certificats restent un sujet complexe, très technique où il n'est pas possible d'improviser ni de se tromper. C'est une composante essentielle de la sécurité du SI qu'il vaut mieux laisser entre les mains des spécialistes comme un DSI Externalisé à Temps Partagé qui saura vous conseiller.

La réduction de la durée de validité des certificats SSL à 47 jours est un mouvement stratégique vers un web plus sécurisé, décision actée et mise en œuvre progressivement jusqu'en 2029 mais dores et déjà impactantes. Pour les PME, ce bouleversement impose un renforcement des pratiques de gestion des certificats et une montée en maturité en cybersécurité. L’automatisation devient la norme.

Pour une PME, il est recommandé d’opter pour une plateforme de gestion centralisée (GlobalSign Managed SSL, DigiCert CertCentral, Sectigo Certificate Manager, ManageEngine Key Manager Plus, Cloudflare Universal SSL) ou d’intégrer un client ACME (Certbot, etc.) afin d’automatiser le cycle de vie des certificats SSL/TLS. J'ai notamment déjà mis en place la solution Certificate as a Service (basée sur le protocole ACME) de Networking4all qui est une plateforme de reventes de certificats pluri-émetteurs.

Dirigeant de PME, vous n'êtes pas seul face à la complexité du digital. En tant que DSI Externalisé à Temps Partagé, je vous accompagne pour structurer, piloter et sécuriser votre transformation. Réservez en ligne votre créneau pour un appel découverte de 30mn gratuit et sans engagement.

Nouveau
Questionnaire découverte
Dirigeant PME : Faites le point sur votre informatique… en 12 minutes chrono ?

J’ai conçu un questionnaire express pour faire le tour de vos outils, pratiques, et priorités SI.

Lien vers le questionnaire

Partager l'article sur :

Facebook
Email