Naviguer sur SwissID

Une spécialiste de la Poste Suisse pour la sécurité des données

Updates du CA/Browser Forum

Le CA/B Forum prend continuellement de nouvelles décisions qui adaptent les exigences de base pour les certificats TLS/SSL, S/MIME ou la signature de code, entre autres. Ces modifications ont des répercussions directes sur les Autorités de Certifications (AC, ou Certificate Authorities, CA) et les utilisateurs de certificats.

Sur cette page, vous trouverez:

  • Une explication claire de toutes les décisions du CA/B Forum pertinentes pour la Suisse et l'Europe

  • Des recommandations concrètes pour les responsables de la sécurité informatique

  • Le calendrier des échéances importantes

Les échéances importantes en un coup d’œil

Date limite

Titre

Sont concernés

15 mars 2026

Si disponible – vérifiez la configuration DNSSEC d’ici le 15 mars 2026 au plus tard

Certificats TLS/SSL

15 mars 2026

Réduction de la durée maximale à 200 jours

Certificats TLS/SSL

15 juin 2026

Ne plus utiliser la finalité «Authentification client» pour les certificats SSL/TLS publics

Certificats TLS/SSL

15 mars 2027

Réduction de la durée maximale à 100 jours

Certificats TLS/SSL

15 mars 2029

Réduction de la durée maximale à 47 jours

Certificats TLS/SSL

Pertinence élevée pour les utilisateurs de certificats

Durée de validité de 47 jours pour SSL/TLS, 10 jours pour les validations de domaine

Ballot SC-094

Pertinence pour les utilisateurs de certificats : ★★★★★ (5/5)

Utilisateurs concernés: toutes les organisations disposant de certificats TLS/SSL publics

Types de certificats concernés: TLS/SSL (DV, OV, EV)

Effort de mise en œuvre: ★★★★★ (5/5) – Automatisation impérative (ACME, REST API, solution CLM)

Statut du CA/B Forum: ballot SC-094 – Adopté le 4 avril 2025. Mise en œuvre progressive : 200 jours (mars 2026) → 100 jours (mars 2027) → 47 jours (mars 2029)

Statut SwissSign: passage à une durée de validité en jours à partir de janvier 2026, réduction à 200 jours prévue pour la mi-mars. D’autres échéances suivront.

Date limite pour les utilisateurs de certificat: 15 mars 2026 (première réduction à 200 jours)

Tous les détails

L’authentification client dans les certificats SSL/TLS ne sera plus prise en charge à partir de 2026

Google Chrome Root Program Policy

Pertinence pour les utilisateurs de certificats: ★★★★☆ (4/5)

Utilisateurs concernés: organisations utilisant des certificats TLS publics pour l’authentification client (Mutual TLS)

Types de certificats concernés: certificats de serveur TLS publics avec Extended Key Usage «Client Authentication»

Effort de mise en œuvre: ★★★☆☆ (3/5) – Utilisation de certificats privés ou S/MIME

Statut du CA/B Forum: Google Chrome Root Program Policy – Entrée en vigueur le 15 juin 2026

Statut SwissSign: mise en œuvre pour les certificats SSL/TLS au T2–2026

Date limite pour les utilisateurs de certificat: 15 juin 2026

Tous les détails

Pertinence moyenne pour les utilisateurs de certificats

Les Autorités de Certification valident DNSSEC

Ballot SC-085v2 et SMC014

Pertinence pour les utilisateurs de certificats: ★★☆☆☆ (2/5)

Utilisateurs concernés: organisations possédant des domaines avec des zones signées DNSSEC (TLS : recherches CAA + DCV, S/MIME : recherches CAA)

Types de certificats concernés: certificats TLS (DV, OV, EV) et S/MIME

Effort de mise en œuvre: ★★☆☆☆ (2/5) – Aucun effort si DNSSEC est déjà correctement configuré ; effort moyen en cas de nouvelle configuration ou de correction de DNSSEC

Statut SwissSign: go-live prévu pour mi-février 2026

Date limite pour les utilisateurs de certificat: si disponible – vérifiez la configuration DNSSEC d’ici le 15 mars 2026 au plus tard

Tous les détails

À partir de septembre 2025, les Autorités de Certification valideront les domaines à partir de plusieurs emplacements réseau

CA/B Forum ballots SC-067 (TLS) et SMC-010 (S/MIME)

Pertinence pour les utilisateurs de certificats: ★★★☆☆ (3/5)

Utilisateurs concernés: organisations avec des règles de pare-feu restrictives, des résolutions DNS limitées géographiquement ou des listes blanches d’IP pour les serveurs de validation

Types de certificats concernés: certificats TLS/SSL, certificats S/MIME (tous deux pour des certificats publics de confiance)

Effort de mise en œuvre: ★★☆☆☆ (2/5) – Faible pour la plupart des organisations ; moyen à élevé uniquement en cas de configurations réseau restrictives (pare-feu, géo-blocage, listes blanches d’IP)

Statut du CA/B Forum:

  • SC-067 (TLS) : adopté le 5 août 2024, entrée en vigueur le 15 septembre 2025

  • SMC-010 (S/MIME) : adopté le 22 décembre 2024, date de conformité le 15 mai 2025, mise en œuvre complète le 15 septembre 2025

  • Augmentation progressive : mars 2026 (3 perspectives), juin 2026 (4 perspectives), décembre 2026 (5 perspectives)

Statut SwissSign: introduction en février 2025; augmentation progressive jusqu’en décembre 2026

Date limite pour les utilisateurs de certificat : aucune adaptation nécessaire

Tous les détails

Bon à savoir pour les utilisateurs de certificats

EUID, le nouvel identifiant international unique des organisations

Ballot SMC011

Pertinence pour les utilisateurs de certificats: ★★☆☆☆ (2/5)

Utilisateurs concernés: organisations allemandes inscrites au registre du commerce (numéros RC ambigus), certificats OV/EV

Types de certificats concernés: OV et EV SSL/TLS, S/MIME avec OrganizationIdentifier

Effort de mise en œuvre: ★☆☆☆☆ (1/5) – Aucune action requise (implémentation automatique côté CA)

Statut du CA/B Forum: ballot SMC011 (S/MIME BR) – Adopté le 31 mars 2025, entrée en vigueur le 14 mai 2025

Statut SwissSign: déjà implémenté

Date limite pour les utilisateurs de certificat: aucune (modification côté CA)

Tous les détails

Questions fréquemment posées (FAQ)

Le CA/Browser Forum est une organisation bénévole de Certificate Authorities (CA) et d’éditeurs de navigateurs (p. ex. Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari), qui définit les normes pour les certificats TLS/SSL et S/MIME publics de confiance, ainsi que les règles que doivent respecter les Certificate Authorities pour être reconnues comme fiables par les navigateurs.

Les Certificate Authorities doivent respecter les Baseline Requirements pour rester dans les Root Stores de navigateurs. Les utilisateurs de certificats sont indirectement concernés lorsque des modifications nécessitent de nouvelles méthodes de validation ou que la durée de validité des certificats est réduite.

Au cours des deux dernières années, le CA/B Forum a adopté 15 à 20 ballots par an, la plupart concernant les certificats TLS/SSL.

Tous les ballots officiels sont disponibles sur le site cabforum.org. SwissSign vous présente les principaux ballots en langue française, accompagnés de recommandations pratiques.

Les documents du CA/B Forum sont techniquement complexes et ne sont disponibles qu’en anglais. SwissSign ne se contente pas de traduire les modifications pertinentes, elle les explique de manière pratique aux responsables de la sécurité informatique en Suisse et en Europe.

À propos de cette page

Objectif: SwissSign documente tous les ballots pertinents du CA/B Forum qui ont une répercussion sur les utilisateurs de certificats en Suisse et en Europe. Nous nous concentrons sur les changements pertinents dans la pratique avec des recommandations d’action concrètes.

Critères de sélection:

  • Ballots ayant une pertinence opérationnelle directe pour les utilisateurs

  • Modifications internes aux CA pouvant avoir des répercussions sur les utilisateurs

  • Focalisation sur les certificats TLS/SSL et S/MIME

Sources:

  • Site web officiel du CA/B Forum (cabforum.org) + documentation sur GitHub

  • L’équipe SwissSign

SwissSign

Ressources

Connaissances

Support

Une spécialiste de la Poste Suisse pour la sécurité des données

Logo de «La Poste», vous accédez au site de «La Poste».