Les certificats TLS ne seront bientôt plus valables que 47 jours | SwissSign

Naviguer sur SwissID

Une spécialiste de la Poste Suisse pour la sécurité des données
Adrian Müller • 09.05.2025

47 jours, 10 jours – une durée de validité nettement plus courte pour les certificats TLS/SSL et la validation de domaine

Classification et prochaines étapes de SwissSign. Le CA/Browser Forum a décidé de réduire progressivement la durée de validité des certificats TLS/SSL et la durée de validité de la vérification de domaine, avec des conséquences importantes pour les équipes informatiques du monde entier. Voici un bref résumé de la situation et de la manière dont SwissSign continuera à vous soutenir.

Le 4 avril 2025, le CA/Browser Forum a pris une décision radicale: la durée maximale des certificats TLS publics sera progressivement réduite à 47 jours. Les domaines ou adresses IP devront être vérifiés tous les 10 jours, ce qui représente un changement considérable pour de nombreuses entreprises qui géraient jusqu’à présent leurs certificats sur un cycle annuel. 

Dans cet article, nous faisons le point sur la situation actuelle, vous présentons les développements à venir et indiquons ce à quoi la clientèle SwissSign peut s’attendre concrètement.

Calendrier de réduction de la durée de validité

Les membres du CA/Browser Forum ont décidé à une large majorité de réduire à 47 jours la durée de validité maximale des certificats TLS/SSL publics de confiance. La durée autorisée sera progressivement réduite sur plusieurs années:

  • Au 15 mars 2026: 200 jours maximum,

  • Au 15 mars 2027: 100 jours maximum,

  • Au 15 mars 2029: 47 jours maximum. 

Dans le même temps, les délais de réutilisation des informations de validation de domaine seront eux-mêmes considérablement réduits.

  • Au 15 mars 2026, la réutilisabilité maximale sera réduite à 200 jours,

  • Au 15 mars 2027: à 100 jours,

  • Au 15 mars 2029: à 10 jours. 

En outre, la validité des vérifications d’identité dans le cadre de certificats OV sera également limitée:

  • À compter du 15 mars 2026, les validations des Subject Identity Information (SII) – c’est-à-dire les informations relatives à l’organisation comme le nom de l’entreprise – ne pourront plus être réutilisées que pendant 398 jours (au lieu de 825 jours actuellement). Ces modifications ne concernent que les certificats OV. Les certificats Domain Validated (DV) ne sont pas concernés, car ils ne contiennent pas de SII. 

Avec ces modifications, le CA/Browser Forum entend limiter les risques liés aux certificats compromis ou émis à tort, accélérer la mise en œuvre généralisée de changements, renforcer la pression en faveur de l’automatisation et aligner le cycle de vie des certificats sur les bonnes pratiques. L’objectif est de rendre l’infrastructure PKI Web plus résistante et d’améliorer la cybersécurité dans son ensemble. 

Résumé: Les certificats TLS ne seront bientôt plus valables que 47 jours 

Contexte: Ballot Vote du CA/Browser Forum sur GitHub

Ce qui n’est pas concerné

  • Le coût de votre SwissSign Managed PKI reste inchangé. Le modèle tarifaire ne tient pas compte du fait que vous obteniez un certificat pour votre adresse (web) une ou douze fois par an.

  • Certificats internes (non publics) (p. ex. pour les serveurs internes, les VPN ou les appareils): la réglementation ne s’applique qu’aux certificats publics de confiance.

  • Certificats existants: aucune rétroactivité n’est prévue pour les certificats déjà émis.

  • Signature de code, S/MIME, signatures de documents: celles-ci ne font pas partie de la norme concernée (voici notre blog sur des changement concernant S/MIME).

Conséquences pour votre entreprise ou votre organisation

Les conséquences peuvent varier en fonction de la configuration et du degré de maturité de la gestion des certificats:

  • Les processus manuels (renouvellement via ticket, téléchargement, installation manuelle) ne sont plus adaptés à la pratique avec des certificats valables 47 jours.

  • L’automatisation devient donc inévitable, p. ex. via le protocole ACME ou des plateformes basées sur des API, ou encore au moyen d’un logiciel de gestion des certificats ou d’une solution Certificate Lifecycle Management (CLM).

  • La transparence et le suivi des certificats doivent être renforcés et resserrés (y compris les mécanismes d’alerte et d’escalade), également à l’aide d’une solution CLM. 

Les entreprises qui procédaient jusqu’à présent à un «nettoyage» annuel ou semestriel devront désormais passer à une orchestration continue.

Comment SwissSign va adapter ses processus

En tant que CA suisse bien établie, nous travaillons en permanence au développement de nos services existants, notamment sur les points suivants:

  • Validation de domaine pour nos certificats

  • Processus de renouvellement des certificats dans le cadre de notre Managed PKI

  • Collaboration avec d’autres partenaires pour encore plus d’options d’automatisation

Prochaines étapes

Nous préparons actuellement un guide détaillé qui vous aidera à déterminer le type d’automatisation adapté à votre entreprise.

Nous contacter

Ce que nous vous recommandons – dès maintenant

Commencez l’automatisation dès à présent – l’année prochaine, il faudra aller beaucoup plus vite qu’aujourd’hui! Commencez par vous poser les questions fondamentales suivantes:

  • Inventaire: quels certificats sont utilisés dans votre entreprise, où et à quelles fins, et lesquels sont des certificats Internet publics de confiance?

  • Révision des processus: comment se déroule actuellement le renouvellement – manuellement, de manière semi-automatisée ou entièrement automatisée?

  • Si vous utilisez encore des certificats individuels: simplifiez la gestion de vos certificats (TLS/SSL et e-mail): avec notre Managed PKI (MPKI), vous pouvez gérer de manière autonome et individuelle les certificats de vos collaborateurs, clients et partenaires en fonction de vos besoins et vous économisez par rapport à l’achat de certificats individuels. Commander une MPKI dès maintenant

  • Préparation technique: Utilisez-vous déjà une solution CLM et quelles sont les exigences liées à une telle solution? Faites-vous conseiller sur la manière d’optimiser et de préparer votre configuration PKI et sur les possibilités d’automatisation qui vous conviendraient au-delà d’une MPKI. Nous contacter maintenant

  • Planification pour une fréquence plus élevée: adapter la surveillance, les audits, les alertes 

Si vous avez trouvé cet article instructif, envoyez-le à d’autres personnes de votre organisation, enregistrez le lien pour plus tard ou partagez-le sur LinkedIn 👇

Vers l'aperçu

Cela pourrait aussi vous intéresser

Adrian Mueller • 07.04.2025

Qu’est-ce qu’une Certificate Authority, et pourquoi est-elle indispensable dans le quotidien numérique?

Sites web sécurisés, e-mails chiffrés, signatures électroniques – derrière chaque identité numérique de confiance se trouve une Certificate Authority. Elle vérifie, confirme et protège les identités sur internet, jouant un rôle clé dans la communication numérique sécurisée, tant pour les entreprises que pour les administrations et les citoyens.
Cybersécurité Certificats
Adrian Mueller • 21.11.2024

PKI – Qu’est-ce qu’une infrastructure à clés publiques?

Qu’est-ce qu’une PKI? La base des certificats SSL ou encore des signatures numériques – pour la sécurité et l’efficacité numériques dans les entreprises
Cybersécurité Certificats
Adrian Mueller • 28.04.2025

Comment SwissSign rend vos certificats e-mail encore plus fiables grâce au nouvel identifiant international unique de l’organisation

Le protocole de sécurité «Transport Layer Security» (TLS) pour le chiffrement et l’authentification de la communication avec des serveurs Web ainsi que ses prédécesseurs ont été remaniés à plusieurs reprises au cours des trente dernières années. Il en est actuellement à la version 1.3 – nous vous expliquons ses avantages à le prendre en charge.
Cybersécurité Certificats

SwissSign

Ressources

Connaissances

Support

Une spécialiste de la Poste Suisse pour la sécurité des données

Logo de «La Poste», vous accédez au site de «La Poste».