En 2029, la durée de vie des certificats TLS / SSL sera réduite à 47 jours !
Une décision importante a été prise par le Forum CA/Browser : réduire drastiquement la durée de vie des certificats SSL/TLS ! En 2029, un certificat sera valide seulement 47 jours. Voici ce que vous devez savoir.
Vers des certificats TLS de plus en plus éphémères...
Commençons par quelques mots sur le CA/Browser Forum. Derrière ce nom se cache en réalité des autorités de certification comme DigiCert ou GlobalSign et des éditeurs de logiciels, dont ceux qui développent des navigateurs tels que Google, Apple, Mozilla et Microsoft. Très récemment, ils ont voté à l’unanimité pour une réduction progressive de la durée de vie des certificats SSL/TLS...
Pour rappel, nous utilisons ces certificats pour naviguer sur Internet sur tous les sites où la connexion est établie en HTTPS. Grâce à ce mécanisme de sécurité, les données sont chiffrées, ce qui est très intéressant pour protéger des données sensibles comme les mots de passe ou les opérations de paiement en ligne.
Cette initiative, portée initialement par Apple et soutenue notamment par Sectigo, l'équipe de Google Chrome et Mozilla, répond à un besoin en matière de cybersécurité. Plusieurs avantages sont évoqués, parmi lesquels : la durée de validité plus courte facilite une transition rapide vers de nouveaux algorithmes en cas de faille dans ceux existants.
Actuellement fixée à 398 jours, la validité des certificats TLS tombera à 47 jours en mars 2029. Pour être plus précis, cette transition sera effectuée de façon progressive pendant les prochaines années. Voici le calendrier voté et validé :
- 15 mars 2026 : durée de vie des certificats réduite à 200 jours
- 15 mars 2027 : nouvelle baisse à 100 jours
- 15 mars 2029 : durée de vie ramenée à 47 jours, et la validation de contrôle de domaine (DCV) à seulement 10 jours
Vers plus d'automatisation avec ACME
Avec ces nouvelles règles, les entreprises devront se tourner vers l’automatisation pour faire face à la fréquence accrue des renouvellements. Sinon, ce sera ingérable et très chronophage pour les administrateurs... Notamment pour les entreprises avec de nombreux domaines.
L’automatisation du renouvellement des certificats va donc rendre ce changement "transparent", tout en ayant les bénéfices attendus en matière de sécurité. Nous avons déjà un principe similaire avec Let's Encrypt, dont les certificats sont gratuits et à renouveler tous les 90 jours : ce n'est pas une contrainte, car tout peut être automatisé. Le protocole ACME, qui permet la gestion automatisée des certificats, devrait prendre encore un peu plus d'épaisseur avec cette annonce.
Qu'en pensez-vous ?
Bonjour,
Est-ce que IIS et apache/tomcat prendra en charge le protocole ACME et notamment la PKI de Microsoft ?
Merci.
C’est déjà pris en charge pour iis et apache
Pour tomcat je ne sais pas, suffit de chercher
ils se tirent pas une balle dans le pied les autorités de certifications? J’ai tout passé en Let’s Encrypt depuis pas mal de temps, personnellement je ne vois plus d’intérêt d’acheter des certificats, j’ai raté qlq chose?
pour l’interne j’ai une pki avec distribution de mon ca donc si il faut distribuer un nouveau certificat parce que l’appli client le demande ça sera possible mais même pas sur que l’on soit obligé de respecter ça sur une pki privée le client lui vérifie juste la date de validité pas si il a plus de x jours/mois/année?
en tout cas je comprend l’idée et ça me semble une bonne chose.
Comment vous gérez les certificats wildcard avec parfois 20 sous-domaines ? Vous faites autant de let’s encrypt que de sous-domaines ?
Je fais que des wildcards, comme j’ai quasiment rien de publique, certbot avec plugin multi-dns, marche très bien chez Infomaniak et ovh, pas testé d’autres mais pas de raison que ça marche pas.
Bonjour,
C’est bien cela que je redoute, la PKi Microsoft interne (on premise) avec la compatibilité d’ACME. il vas surement falloir passer par des outils tierce, car les navigateurs vont surement intégrer très rapidement cette norme.
J’espère que Microsoft vas développer un outils rapidement.
Avec une PKI interne, vous faites ce que vous voulez. Vous pouvez générer des certificats valables 10 ans, si ça vous chante. Tant que le besoin est interne, c’est à vous de décider.
La règle des 47 jours ne va concerner que les certificats utilisé pour des sites web publics (sur internet) et validés par une Autorité de Certification « marchande » comme Sectigo ou DigiCert.