Naviguer sur SwissID

Updates du CA/Browser Forum

Le CA/B Forum prend continuellement de nouvelles décisions qui adaptent les exigences de base pour les certificats TLS/SSL, S/MIME ou la signature de code, entre autres. Ces modifications ont des répercussions directes sur les Autorités de Certifications (AC, ou Certificate Authorities, CA) et les utilisateurs de certificats.

Sur cette page, vous trouverez:

  • Une explication claire de toutes les décisions du CA/B Forum pertinentes pour la Suisse et l'Europe

  • Des recommandations concrètes pour les responsables de la sécurité informatique

  • Le calendrier des échéances importantes

Les échéances importantes en un coup d’œil

Date limite

Titre

Sont concernés

Juillet 2026

Validation DNS réutilisable prévue pour les certificats SwissSign

TLS/SSL + S/MIME

15 mars 2027

SwissSign: sera annoncé

Réduction de la durée maximale à 100 jours

SwissSign: 98 jours

Certificats TLS/SSL

15 mars 2027

SwissSign: sera annoncé

Ne plus utiliser la finalité «Authentification client» pour les certificats SSL/TLS publics

Certificats TLS/SSL

15 mars 2029

SwissSign: sera annoncé

Réduction de la durée maximale à 47 jours

SwissSign: 45 days

Certificats TLS/SSL

Pertinence élevée pour les utilisateurs de certificats

Durée de validité de 47 jours pour SSL/TLS, 10 jours pour les validations de domaine

Ballot SC-094

Pertinence pour les utilisateurs de certificats : ★★★★★ (5/5)

Utilisateurs concernés: toutes les organisations disposant de certificats TLS/SSL publics

Types de certificats concernés: TLS/SSL (DV, OV, EV)

Effort de mise en œuvre: ★★★★★ (5/5) – Automatisation impérative (ACME, REST API, solution CLM)

Statut du CA/B Forum: ballot SC-094 – Adopté le 4 avril 2025. Mise en œuvre progressive : 200 jours (mars 2026) → 100 jours (mars 2027) → 47 jours (mars 2029)

Statut SwissSign: passage à une durée de validité en jours à partir de janvier 2026, réduction à 200 jours prévue le 09 mars 2026

Date limite pour les utilisateurs de certificat: 15 mars 2026 (première réduction à 200 jours)

Tous les détails

L’authentification client dans les certificats SSL/TLS ne sera plus prise en charge à partir de 2027

Google Chrome Root Program Policy

Pertinence pour les utilisateurs de certificats: ★★★★☆ (4/5)

Utilisateurs concernés: organisations utilisant des certificats TLS publics pour l’authentification client

Types de certificats concernés: certificats de serveur TLS publics avec Extended Key Usage «Client Authentication»

Effort de mise en œuvre: ★★★☆☆ (3/5) – Utilisation de certificats privés ou S/MIME

Statut du CA/B Forum: Google Chrome Root Program Policy – Entrée en vigueur le 15 mars 2027

Statut SwissSign: mise en œuvre pour les certificats SSL/TLS sera annoncé

Date limite pour les utilisateurs de certificat: 15 mars 2027

Tous les détails

Pertinence moyenne pour les utilisateurs de certificats

Les Autorités de Certification valident DNSSEC

Ballot SC-085v2 et SMC014

Pertinence pour les utilisateurs de certificats: ★★☆☆☆ (2/5)

Utilisateurs concernés: organisations possédant des domaines avec des zones signées DNSSEC (TLS : recherches CAA + DCV, S/MIME : recherches CAA)

Types de certificats concernés: certificats TLS (DV, OV, EV) et S/MIME

Effort de mise en œuvre: ★★☆☆☆ (2/5) – Aucun effort si DNSSEC est déjà correctement configuré ; effort moyen en cas de nouvelle configuration ou de correction de DNSSEC

Statut SwissSign: go-live prévu pour début mars 2026

Date limite pour les utilisateurs de certificat: si disponible – vérifiez la configuration DNSSEC d’ici le 15 mars 2026 au plus tard

Tous les détails

Validation DNS réutilisable

Ballot CA/B Forum SC-088v3 (TLS)

Pertinence pour les utilisateurs de certificats: ★★☆☆☆ (2/5) – passera à ★★★★☆ (4/5) d'ici 2029

Utilisateurs concernés: Organisations avec émission automatisée de certificats (MPKI, plateformes CLM) – particulièrement pertinent à partir de 2029

Types de certificats concernés: Tous les certificats TLS/SSL et S/MIME – chacun nécessite une validation de domaine

Effort de mise en œuvre: ★★☆☆☆ (2/5) – configuration DNS unique par domaine, revalidation au moins tous les 10 jours (prêt pour 2029)

Statut CA/B Forum: SC-088v3 (Server Certificate) adopté le 9 octobre 2025, en vigueur le 11 novembre 2025

Statut SwissSign: Mise en production prévue pour l'été 2026, revalidation tous les 8 jours

Échéance pour les utilisateurs de certificats: Aucune (méthode optionnelle)

Liens vers les ballots:

Tous les détails

À partir de septembre 2025, les Autorités de Certification valideront les domaines à partir de plusieurs emplacements réseau

CA/B Forum ballots SC-067 (TLS) et SMC-010 (S/MIME)

Pertinence pour les utilisateurs de certificats: ★★★☆☆ (3/5)

Utilisateurs concernés: organisations avec des règles de pare-feu restrictives, des résolutions DNS limitées géographiquement ou des listes blanches d’IP pour les serveurs de validation

Types de certificats concernés: certificats TLS/SSL, certificats S/MIME (tous deux pour des certificats publics de confiance)

Effort de mise en œuvre: ★★☆☆☆ (2/5) – Faible pour la plupart des organisations ; moyen à élevé uniquement en cas de configurations réseau restrictives (pare-feu, géo-blocage, listes blanches d’IP)

Statut du CA/B Forum:

  • SC-067 (TLS) : adopté le 5 août 2024, entrée en vigueur le 15 septembre 2025

  • SMC-010 (S/MIME) : adopté le 22 décembre 2024, date de conformité le 15 mai 2025, mise en œuvre complète le 15 septembre 2025

  • Augmentation progressive : mars 2026 (3 perspectives), juin 2026 (4 perspectives), décembre 2026 (5 perspectives)

Statut SwissSign: introduction en février 2025; augmentation progressive jusqu’en décembre 2026

Date limite pour les utilisateurs de certificat : aucune adaptation nécessaire

Tous les détails

Bon à savoir pour les utilisateurs de certificats

EUID, le nouvel identifiant international unique des organisations

Ballot SMC011

Pertinence pour les utilisateurs de certificats: ★★☆☆☆ (2/5)

Utilisateurs concernés: organisations allemandes inscrites au registre du commerce (numéros RC ambigus), certificats OV/EV

Types de certificats concernés: OV et EV SSL/TLS, S/MIME avec OrganizationIdentifier

Effort de mise en œuvre: ★☆☆☆☆ (1/5) – Aucune action requise (implémentation automatique côté CA)

Statut du CA/B Forum: ballot SMC011 (S/MIME BR) – Adopté le 31 mars 2025, entrée en vigueur le 14 mai 2025

Statut SwissSign: déjà implémenté

Date limite pour les utilisateurs de certificat: aucune (modification côté CA)

Tous les détails

Gestion des certificats 2026: webinaire sur les meilleures pratiques PKI pour les moyennes et grandes organisations

De la réduction progressive des durées de validité aux défis croissants posés par les certificats privés et la cryptographie post-quantique: rejoignez notre responsable des services de certification, Alain Favre, pour une session consacrée aux meilleures pratiques en matière de gestion des infrastructures à clé publique en 2026 (en anglais):

  • Défis: réduction de la durée de validité des certificats, cryptographie post-quantique, souveraineté numérique

  • Les trois piliers de la gestion de votre infrastructure PKI en 2026: découverte, gouvernance, automatisation

  • Démonstration du Certificate Lifecycle Management de SwissSign, powered by Evertrust

  • Implementation et conseils pratiques

Jeudi 21 mai, de 11 h à 12 h

Notre webinaire s'adresse principalement aux organisations issues de secteurs réglementés, tels que le secteur bancaire, les assurances, le secteur public ou les infrastructures critiques, ainsi qu'aux entreprises qui travaillent avec ces organisations.

(En vous inscrivant au webinaire, vous acceptez que SwissSign AG traite vos données afin de vous contacter et/ou à des fins publicitaires. Pour en savoir plus, rendez-vous sur www.swisssign.com/webinar-privacy.)

S'inscrire maintenant

Questions fréquemment posées (FAQ)

Le CA/Browser Forum est une organisation bénévole de Certificate Authorities (CA) et d’éditeurs de navigateurs (p. ex. Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari), qui définit les normes pour les certificats TLS/SSL et S/MIME publics de confiance, ainsi que les règles que doivent respecter les Certificate Authorities pour être reconnues comme fiables par les navigateurs.

Les Certificate Authorities doivent respecter les Baseline Requirements pour rester dans les Root Stores de navigateurs. Les utilisateurs de certificats sont indirectement concernés lorsque des modifications nécessitent de nouvelles méthodes de validation ou que la durée de validité des certificats est réduite.

Au cours des deux dernières années, le CA/B Forum a adopté 15 à 20 ballots par an, la plupart concernant les certificats TLS/SSL.

Tous les ballots officiels sont disponibles sur le site cabforum.org. SwissSign vous présente les principaux ballots en langue française, accompagnés de recommandations pratiques.

Les documents du CA/B Forum sont techniquement complexes et ne sont disponibles qu’en anglais. SwissSign ne se contente pas de traduire les modifications pertinentes, elle les explique de manière pratique aux responsables de la sécurité informatique en Suisse et en Europe.

À propos de cette page

Objectif: SwissSign documente tous les ballots pertinents du CA/B Forum qui ont une répercussion sur les utilisateurs de certificats en Suisse et en Europe. Nous nous concentrons sur les changements pertinents dans la pratique avec des recommandations d’action concrètes.

Critères de sélection:

  • Ballots ayant une pertinence opérationnelle directe pour les utilisateurs

  • Modifications internes aux CA pouvant avoir des répercussions sur les utilisateurs

  • Focalisation sur les certificats TLS/SSL et S/MIME

Sources:

  • Site web officiel du CA/B Forum (cabforum.org) + documentation sur GitHub

  • L’équipe SwissSign

SwissSign

Ressources

Connaissances

Support