Tout ce qu’il faut savoir sur la nouvelle durée de vie des certificats de 47 jours

En août 2024, Apple a formulé une proposition (vote SC-081v3 du CA/Browser Forum) pour raccourcir nettement la durée de vie des certificats. La mesure a été adoptée par de grands éditeurs de navigateur Web et autorités de certification (CA). Après des mois de discussions, la mesure est maintenant officielle. Le CA/B Forum a voté à l’unanimité pour réduire la durée de vie des certificats de 398 à 47 jours d’ici 2029, avec des modifications majeures à partir de mars 2026.

Points clés de cette annonce

La mesure vise à renforcer le système WebPKI en réduisant beaucoup la validité de tous les certificats émis par des autorités de certification publiques et encourager l’adoption d’une gestion des certificats automatisée.

Dès mars 2026, les entreprises devront graduellement adopter des certificats à durée de vie courte dans leurs workflows. Outre la validité des certificats réduite, la validation de contrôle du domaine (DCV) verra sa période de réutilisation passer de 398 à 10 jours d’ici 2029.

Voici un aperçu des modifications et du calendrier applicable :

Durée de validité maximale des certificats SSL/TLS

Portée de cette annonce

Bien que cela semble un changement radical, il était en préparation depuis un moment. Google a proposé une durée de vie des certificats de 90 jours dès 2023, la proposition récente d’Apple allant seulement plus loin. Néanmoins, les entreprises doivent à présent faire face à la réalité et la portée de cette mesure. Quelles évolutions donc ?

Préparation de fréquents renouvellements

Ce qui n’était encore qu’une réflexion il y a quelques semaine devient un impératif. Dès le 15 mars 2026, chaque entreprise doit se préparer à renouveler ses certificats au moins deux fois par an, et cela ne fera que devenir de plus en plus difficile. Pour donner une perspective, elle devra renouveler ses certificats au moins huit fois par an d’ici le 15 mars 2029.

Adoption de l’automatisation

Outre cette modification, la période de réutilisation DCV se réduira aussi à seulement 10 jours d’ici le 15 mars 2029. L’entreprise devra donc passer par tout le processus de validation de son domaine ou adresse IP bien plus souvent. Étant donné la fréquence de renouvellement accrue et la durée de vie réduite des certificats TLS, l’automatisation deviendra encore plus cruciale pour bien les gérer et éviter les interruptions.

Aucun effet sur les coûts

Malgré la fréquence de renouvellement accrue, le coût des certificats devrait rester identique. Plusieurs autorités de certification offrent une validité des certificats annuelle ou pluriannuelle et les renouvellent (réémettent) sans surcoût. On ne paie donc que pour la période de validité.

Calendrier des propositions et votes clés en matière de validité SSL/TLS

Raisons de réduire la validité des certificats

En cas de questions sur les raisons à l’origine même de la mesure, elle vise à protéger le système WebPKI et encourager l’automatisation pour rendre tout le processus efficace et fluide.

Sécurité renforcée

L’objectif premier de cette mesure consiste à renforcer la sécurité en ligne en limitant la possibilité pour des auteurs de menaces d’exploiter des certificats et des clés privées compromis. La durée de vie raccourcie des certificats limite la période pendant laquelle on peut utiliser une clé privée compromise pour des attaques par manipulation, atténuant les dommages potentiels.

Adoption de bonnes pratiques

Pour s’adapter à la nouvelle norme de huit renouvellements des certificats par an, l’entreprise doit utiliser le protocole ACME pour automatiser la gestion, réduire l’erreur humaine et éviter les interruptions. La transition rendra la tâche plus facile tout en généralisant l’adoption de bonnes pratiques.

Recours minimal à des mécanismes de révocation

Les contrôles de révocation par défaut posent des problèmes intrinsèques : retard de mise à jour des listes de révocation de certificats ou des réponses OCSP, application incohérente où des clients peuvent passer outre et accepter des certificats malgré l’échec du contrôle, blocage réseau empêchant d’accéder aux serveurs de révocation, etc. Une validité raccourcie évite de devoir se fier uniquement à ces mécanismes et offre une option de sécurité fiable.

Revalidation fréquente

Le CA/B Forum soutient que le contenu des certificats devient moins fiable avec le temps, une revalidation plus fréquente s’avérant nécessaire pour qu’il reste exact. En réduisant la durée de vie maximale des certificats à 47 jours, les exigences de base obligent inévitablement les abonnés à subir ce processus de validation plus souvent, renforçant la garantie pour les parties utilisatrices que l’entité présentant le certificat contrôle actuellement le domaine.

Évolution vers la crypto-agilité

Une gestion des certificats manuelle deviendra bientôt caduque étant donné leur fréquence de mise à jour. L’entreprise renforçant ses systèmes d’automatisation et ces solutions se généralisant, l’écosystème gagnera en agilité pour répondre aux vulnérabilités de chiffrement à venir. La crypto-agilité permet un passage fréquent et facile à de nouveaux algorithmes, une rotation des clés rapide et une meilleure gestion, conditions vitales à l’ère post-quantique.

Impact de l’adoption d’une durée de vie raccourcie des certificats

Cette mesure aura logiquement un impact majeur sur les entreprises, surtout celles utilisant des pratiques de gestion des certificats manuelles.

Surcroît de travail

Les diverses équipes (DSI, sécurité, infrastructure à clés publiques, DevOps, applications et autres) gérant des certificats connaîtront un surcroît de travail notable.

Incidents imprévus

Une entreprise ayant un grand nombre de sites Web ouverts au public et de systèmes utilisant des certificats TLS présentera un risque accru d’interruptions de service et d’incidents imprévus.

Effets sur la gestion des modifications

Il faudra adapter les processus de gestion des modifications actuels pour gérer un nombre et un rythme des renouvellements de certificats bien supérieurs.

Préparation d’une validité des certificats de 47 jours

La réduction de la validité des certificats TLS à 47 jours d’ici 2029 représente pour le moins une évolution majeure. L’entreprise doit l’engager dès à présent et prévoir et déployer des stratégies d’automatisation pour bien gérer le processus.

01. Établissement de stratégies

La première étape consiste à établir des stratégies PKI claires. Sans clarté interne, toute évolution technologique vire au chaos. En s’appropriant bien pleinement le contrôle des certificats numériques et de leur cycle de vie, on peut affecter des rôles et des mesures en conséquence dans l’entreprise.

02. Audit de l’environnement

Le passage à des certificats à durée de vie raccourcie peut tourner au cauchemar si on ne connaît pas tous les certificats TLS/SSL qu’utilise l’entreprise. Il faut commencer par recenser chaque certificat géré dans l’entreprise et les centraliser dans un dépôt.

03. Alertes et contrôle

Adoptez un contrôle en temps réel pour vérifier l’expiration des certificats et veillez à établir des alertes rapides. Cela s’avère tout aussi crucial que l’inventaire des certificats.

04. Automatisation à l’appui

Même avec deux renouvellements par an dès mars 2026, le risque d’incidents et de surcharge administrative augmentera. Préparez l’évolution maintenant en adoptant des solutions de gestion du cycle de vie des certificats. Elles automatisent chaque étape de la gestion des PKI, de la recherche et l’émission au renouvellement et l’affectation.

05. Utilisation du protocole ACME

Bien que des lacunes puissent exister, le protocole ACME (Automated Certificate Management Environment). permet une gestion des certificats automatisée. Adoptez le protocole ACME pour simplifier l’émission et le renouvellement des certificats de diverses autorités.

06. Intégration à l’écosystème

Généralisez l’automatisation et intégrez la gestion des certificats aux pipelines DevOps pour garantir un processus efficace dans le cadre du développement et du déploiement de logiciels.

07. Implication de chacun

Rien de tel que l’implication de chacun pour respecter le nouvel impératif. Les efforts de chaque équipe (DSI, sécurité, infrastructure à clés publiques, DevOps, applications et autres) sont vitaux. Sensibilisez le personnel à l’importance de la mesure pour faciliter la transition.