Se connecter
La durée de validité des certificats SSL à nouveau réduite
Le CA/Browser Forum a adopté le principe d'une réduction progressive de la durée de validité des certificats SSL et des infos d'enregistrement associées.
C'est désormais acté : la durée de validité des certificats SSL va progressivement se réduire.
Après des années de débats émaillés de plusieurs propositions rejetées*, les membres du CA/Browser Forum ont adopté, à la majorité, un calendrier.
| Certificat émis après le | Certificat émis avant le | Durée de validité maximale |
| 15 mars 2026 | 398 jours | |
| 15 mars 2026 | 15 mars 2027 | 200 jours |
| 15 mars 2027 | 15 mars 2029 | 100 jours |
| 15 mars 2029 | 47 jours |
Une deuxième feuille de route a été définie. Elle concerne la durée pendant laquelle les données validées à l'enregistrement d'un certificat pourront être réutilisées.
Pour les données relatives aux personnes :
| Certificat émis après le | Certificat émis avant le | Durée de réutilisation maximale |
| 15 mars 2026 | 825 jours | |
| 15 mars 2026 | 398 jours |
Pour les noms de domaine et les adresses IP :
| Certificat émis après le | Certificat émis avant le | Durée de réutilisation maximale |
| 15 mars 2026 | 398 jours | |
| 15 mars 2026 | 15 mars 2027 | 200 jours |
| 15 mars 2027 | 15 mars 2029 | 100 jours |
| 15 mars 2029 | 10 jours |
Ces éléments entreront dans les standards ("exigences de base") du CA/B Forum. Toutes les autorités de certification publiques sont censées les respecter.
Un pari sur l'automatisation
Apple et Google font partie des principaux porteurs de l'initiative. Ils y voient un moyen d'améliorer la fiabilité des certificats tout en réduisant les risques d'usage abusif (exploitation de noms de domaine orphelins, par exemple). Mais aussi, "accessoirement", de stimuler la gestion automatisée de leur cycle de vie. Et de pallier ainsi, notamment, les limites des services de révocation de certificats, "débordés" à l'échelle actuelle du Web.
Si les membres du CA/B Forum admettent globalement que l'automatisation est "inéluctable", ils ne manquent pas de poser la question des coûts. Certains rétorquent, success stories à l'appui, que la transition aura un effet positif en la matière. Autant en éliminant les coûts directs de gestion que ceux, indirects, liés aux pannes.
Cisco fait partie des membres du CA/B Forum à avoir voté pour. Son représentant aura souligné la nécessité de définir un agenda clair pour la transition. Qui devra, de son avis, impliquer des phases :
- De découverte de l'existant
- D'analyse des risques (comment l'automatisation s'aligne-t-elle sur les politiques internes, les réglementations et les exigences de contrôle du changement ?)
- De planification budgétaire
- D'examen des systèmes non compatibles
Aucun membre n'a voté contre, mais quelques-uns se sont abstenus. Parmi eux :
- MOIS, qui craint une réduction de la continuité de service
- IdenTrust, pas convaincu des bénéfices en matière de sécurité pour certains types de certificats
- JPRS, incertain de la faisabilité de la démarche
- TWCA, qui juge trop drastique une validité de 47 jours (il n'y a pas actuellement, estime-t-il, de moyen de démontrer les avantages par rapport à une validité de 100 jours)
* En 2023, Google avait proposé, sans succès, de réduire la validité des certificats à 90 jours. La proposition à 47 jours provient d'Apple, qui l'avait formulée en 2024.
À l'origine, les certificats électroniques étaient valables pour 8 à 10 ans. En 2012, leur durée de vie était passée à 5 ans.
Illustration © Mopic - Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité
Par Clément Bohic
3 min.Par Philippe Leroy
Par Clément Bohic
Par La rédaction
Par Philippe Leroy
