Section générale
TLS/SSL: transition planifiée des racines pour les certificats SwissSign en avril 2026
«SwissSign Gold CA - G2» est retirée de Chrome et de Mozilla. Pour la quasi-totalité des clients SwissSign, aucune action n'est requise, car la racine SwissSign «SwissSign RSA TLS Root CA 2022 - 1» reste valide. Les deux éditeurs de navigateurs retirent leur confiance à la racine historique dans le cadre de leur nettoyage annuel des anciennes racines TLS publiques.
|
|
|
|---|---|
|
Pertinence pour les utilisateurs de certificats |
★★☆☆☆ (2/5) |
|
Utilisateurs concernés |
Titulaires de certificats serveur TLS publics SwissSign avec des configurations de validation non standard (certificate pinning vers les stores de Chrome ou de Mozilla, ou validateurs hérités à parcours strict de la chaîne). Les configurations standard ne sont pas concernées. |
|
Types de certificats concernés |
Certificats serveur TLS publics (S/MIME et autres certificats non concernés)
|
|
Effort de mise en œuvre |
★☆☆☆☆ (1/5) pour les configurations standard (aucune action requise) ; ★★★☆☆ (3/5) pour le pinning ou les validateurs hérités |
|
Statut des programmes de racines des navigateurs |
Chrome retire SwissSign Gold CA – G2 (n° de série BB:40:1C:43:F5:5E:4F:B0) de son root store ; Mozilla retire le trust bit web (TLS).
|
|
Statut SwissSign |
La racine de remplacement SwissSign RSA TLS Root CA 2022 – 1 est déjà incluse dans les root stores de Chrome et de Mozilla.
|
|
Échéance pour les utilisateurs de certificats |
5 avril 2026 (action requise uniquement pour les configurations non standard)
|
|
Liens |
Chrome Root Program Policy | Mozilla Root Store Policy |
Ce qui change le 15 avril 2026
Chrome retire SwissSign Gold CA – G2 de son root store dans son intégralité. Le root store de Chrome étant exclusivement dédié au TLS, aucun autre usage de certificat n'est concerné.
Mozilla retire uniquement le trust bit web (TLS) pour SwissSign Gold CA – G2. Les autres trust bits détenus côté Mozilla ne sont pas concernés par cette modification.
En résumé, le retrait concerne uniquement les certificats TLS publics. S/MIME, signatures de documents et tous les autres types de certificats issus d'autres hiérarchies ne sont pas concernés. Les autres root stores, notamment celui d'Apple, ne sont pas non plus concernés par cette action.
Calendrier et propagation
Bien que la date d'effet soit le 15 avril 2026, le changement ne devient visible sur les appareils des utilisateurs finaux qu'au fur et à mesure de la propagation des mises à jour :
-
Chrome avec mises à jour de composants activées : en général de quelques heures à quelques jours, sans garantie d'une limite supérieure stricte.
-
Chrome sans mises à jour de composants et tous les navigateurs Firefox : lors de la prochaine mise à jour du navigateur.
-
Autres systèmes utilisant le root store NSS de Mozilla : le délai dépend de la manière dont le trust store est distribué et mis à jour dans chaque environnement. Voir la Mozilla Root Store Policy et la documentation du root store NSS pour plus de détails.
Ce que SwissSign a fait
SwissSign a créé la racine de remplacement SwissSign RSA TLS Root CA 2022 – 1 bien à l'avance et a sécurisé son inclusion dans les principaux trust stores. Elle est déjà présente dans les root stores de Chrome, de Mozilla et de Microsoft.
SwissSign continue par ailleurs à servir une chaîne compatible avec l'existant, sous la forme Leaf → ICA → Cross-signed Root → Gold G2, afin de couvrir également le root store d'Apple, dans lequel l'inclusion de la nouvelle racine est encore en attente. Cette chaîne :
-
maximise la compatibilité avec Apple et les systèmes plus anciens qui font encore confiance à Gold G2, et
-
évite des pannes de grande ampleur durant la transition.
L'objectif à long terme reste une chaîne unique se terminant sur SwissSign RSA TLS Root CA 2022 – 1, reconnue par l'ensemble des principaux root stores.
Ce que vous devez faire
Configurations standard: aucune action requise
Si vous exploitez des serveurs web publics avec des certificats TLS SwissSign et que vous vous appuyez sur le comportement par défaut des navigateurs et des bibliothèques TLS modernes, vous n'avez rien à faire. Chrome, Edge et Firefox font déjà confiance à la racine de 2022, la validation continuera donc de réussir. Les utilisateurs finaux ne verront ni avertissement ni erreur. La seule différence technique est que le nombre de chemins valides passe de deux (l'un se terminant sur Gold G2, l'autre sur la racine de 2022) à un.
Configurations non standard: vérifiez votre configuration
Seule une minorité de configurations peut être concernée. Les cas typiques sont :
-
Certificate pinning vers Gold G2: les applications qui pinnent la racine Gold G2 ou un intermédiaire en dessous, et qui valident en plus contre le trust store de Chrome ou de Mozilla, peuvent échouer. Pour l'éviter : retirez le pin ou, si le pinning est incontournable, pinnez vers le successeur correct et planifiez une stratégie de rotation.
-
Validateurs hérités à parcours strict: les systèmes de validation non standard qui ne s'arrêtent pas au premier point d'ancrage de confiance mais continuent à parcourir la chaîne (par exemple via AIA fetching) peuvent encore tenter de terminer sur Gold G2. Une mise à jour de la bibliothèque, du framework ou de la logique de validation résout le problème.
Bonnes pratiques pour une transition fluide
-
Évitez le certificate pinning. S'il est imposé pour des raisons de conformité ou de modèle de menace, assurez-vous qu'un processus documenté est en place pour les cas où des racines ou des intermédiaires sont rotés.
-
Servez correctement la chaîne fournie. Incluez le certificat intermédiaire émetteur (et, le cas échéant, la racine cross-signée), mais n'incluez pas la racine auto-signée dans la chaîne servie par le serveur.
-
Maintenez à jour les logiciels liés aux certificats : navigateurs, bibliothèques TLS (OpenSSL, BoringSSL, GnuTLS, Schannel) et frameworks applicatifs.
-
Testez votre configuration sur plusieurs clients et plateformes, avec au moins une version récente de Chrome, Firefox et Safari, avant et après le 15 avril 2026.
Contexte : pourquoi les navigateurs retirent les anciennes racines
Chrome et Mozilla retirent les anciennes générations de racines TLS publiques de leurs stores selon un rythme annuel et progressif. L'objectif est de réduire le risque à long terme lié à des matériels cryptographiques et à des pratiques de gestion des clés très anciens dans le tissu de confiance du web, et d'inciter les CA et les utilisateurs de certificats à migrer vers des hiérarchies plus actuelles dotées de contrôles modernes. SwissSign Gold CA – G2 fait partie de la prochaine vague de retraits planifiés. Il s'agit d'une opération de maintenance de routine, à l'initiative des éditeurs. Ce n'est pas un ballot du CA/B Forum, et elle ne reflète aucune constatation de non-conformité.
Questions fréquemment posées (FAQ)
Non. Les certificats émis dans la hiérarchie SwissSign actuelle se chaînent jusqu'à SwissSign RSA TLS Root CA 2022 – 1, déjà reconnue par Chrome et Mozilla. Aucune réémission n'est nécessaire en raison de ce changement.
Dans les configurations de navigateurs standard, non. La transition supprime simplement l'un des deux chemins précédemment valides. Seules les configurations de validation non standard (pinning, validateurs hérités à parcours strict) peuvent générer des avertissements, et uniquement si elles étaient spécifiquement liées à Gold G2.
Non. Le retrait se limite au trust bit TLS. Les autres services de certificats SwissSign ne sont pas concernés par cette action.
Non. Le root store d'Apple est indépendant de ceux de Chrome et de Mozilla et fait toujours confiance à Gold G2. L'inclusion de SwissSign RSA TLS Root CA 2022 – 1 dans le root store d'Apple a été demandée et reste en attente; aucun calendrier confirmé n'est disponible. Microsoft et son navigateur (Edge) font déjà confiance à la racine de 2022.
