Le 4 avril 2025, le CA/Browser Forum a pris une décision radicale: la durée maximale des certificats TLS publics sera progressivement réduite à 47 jours. Les domaines ou adresses IP devront être vérifiés tous les 10 jours, ce qui représente un changement considérable pour de nombreuses entreprises qui géraient jusqu’à présent leurs certificats sur un cycle annuel. 

Dans cet article, nous faisons le point sur la situation actuelle, vous présentons les développements à venir et indiquons ce à quoi la clientèle SwissSign peut s’attendre concrètement.

Calendrier de réduction de la durée de validité

Les membres du CA/Browser Forum ont décidé à une large majorité de réduire à 47 jours la durée de validité maximale des certificats TLS/SSL publics de confiance. La durée autorisée sera progressivement réduite sur plusieurs années:

• Au 15 mars 2026: 200 jours maximum (implémentation par SwissSign le 09 mars 2026, maximum 198 jours),

• Au 15 mars 2027: 100 jours maximum (SwissSign 98 jours),

• Au 15 mars 2029: 47 jours maximum (SwissSign 45 jours). 

Dans le même temps, les délais de réutilisation des informations de validation de domaine seront eux-mêmes considérablement réduits.

• Au 15 mars 2026, la réutilisabilité maximale sera réduite à 200 jours (implémentation par SwissSign le 09 mars 2026, maximum 198 jours),

• Au 15 mars 2027: à 100 jours,

• Au 15 mars 2029: à 10 jours. 

En outre, la validité des vérifications d’identité dans le cadre de certificats OV sera également limitée:

• À compter du 15 mars 2026, les validations des Subject Identity Information (SII) – c’est-à-dire les informations relatives à l’organisation comme le nom de l’entreprise – ne pourront plus être réutilisées que pendant 398 jours ou 13 mois (au lieu de 825 jours ou 25 mois actuellement). Ces modifications ne concernent que les certificats OV. Les certificats Domain Validated (DV) ne sont pas concernés, car ils ne contiennent pas de SII. 

Avec ces modifications, le CA/Browser Forum entend limiter les risques liés aux certificats compromis ou émis à tort, accélérer la mise en œuvre généralisée de changements, renforcer la pression en faveur de l’automatisation et aligner le cycle de vie des certificats sur les bonnes pratiques. L’objectif est de rendre l’infrastructure PKI Web plus résistante et d’améliorer la cybersécurité dans son ensemble. 

Résumé: Les certificats TLS ne seront bientôt plus valables que 47 jours 

Contexte: Ballot Vote du CA/Browser Forum sur GitHub

Ce qui n’est pas concerné

• Le coût de votre SwissSign Managed PKI reste inchangé. Le modèle tarifaire ne tient pas compte du fait que vous obteniez un certificat pour votre adresse (web) une ou douze fois par an.

• Certificats internes (non publics) (p. ex. pour les serveurs internes, les VPN ou les appareils): la réglementation ne s’applique qu’aux certificats publics de confiance.

• Certificats existants: aucune rétroactivité n’est prévue pour les certificats déjà émis.

• Signature de code, S/MIME, signatures de documents: celles-ci ne font pas partie de la norme concernée (voici notre blog sur des changement concernant S/MIME).

Conséquences pour votre entreprise ou votre organisation

Les conséquences peuvent varier en fonction de la configuration et du degré de maturité de la gestion des certificats:

• Les processus manuels (renouvellement via ticket, téléchargement, installation manuelle) ne sont plus adaptés à la pratique avec des certificats valables 47 jours.

• L’automatisation devient donc inévitable, p. ex. via le protocole ACME ou des plateformes basées sur des API, ou encore au moyen d’un logiciel de gestion des certificats ou d’une solution Certificate Lifecycle Management (CLM). Un CLM orchestre automatiquement l'ensemble du cycle de vie des certificats, de la commande au renouvellement, en passant par la distribution et l'installation. Au lieu de processus manuels, une plateforme CLM prend en charge la surveillance, envoie des avertissements en temps utile avant l'expiration, renouvelle automatiquement les certificats et garantit qu'aucun système critique ne tombe en panne en raison de certificats expirés. Avec des cycles de 47 jours, une solution CLM n'est plus une option, mais une nécessité.

• La transparence et le suivi des certificats doivent être renforcés et resserrés (y compris les mécanismes d’alerte et d’escalade), également à l’aide d’une solution CLM. 

Les entreprises qui procédaient jusqu’à présent à un «nettoyage» annuel ou semestriel devront désormais passer à une orchestration continue.

SwissSign Certificate Lifecycle Management – powered by Evertrust

Afin de vous préparer de manière optimale aux nouvelles exigences, SwissSign propose, en partenariat avec Evertrust, une solution CLM performante. La plateforme permet une automatisation complète de la gestion de vos certificats, de l'inventaire aux renouvellements automatiques, en passant par l'intégration dans votre infrastructure informatique existante. Vous pouvez gérer tous vos certificats de manière centralisée en un seul endroit. La solution offre une surveillance complète, des mécanismes d'alerte automatiques et une intégration transparente via le protocole ACME ou l'API REST.

Comment SwissSign va adapter ses processus

En tant que CA suisse bien établie, nous travaillons en permanence au développement de nos services existants.

Nous élargissons notre collaboration avec nos partenaires afin d'offrir encore plus d'options d'automatisation, notamment grâce à notre partenariat stratégique avec Evertrust pour la gestion du cycle de vie des certificats.

Dans un premier temps, la durée de validité de nos certificats TLS/SSL sera convertie en jours à partir de janvier 2026, avec un maximum de 365 jours.

D'autres changements préparatoires seront mis en œuvre le 09 mars 2026 :

• La durée de validité maximale des certificats TLS/SSL sera réduite à 198 jours.

• La réutilisabilité maximale des informations de validation de domaine sera réduite à 198 jours.

• Les validations des informations d'identité du sujet (SII), telles que le nom de l'organisation, l'adresse et d'autres caractéristiques d'identification, ne pourront être réutilisées que pendant 12 mois (au lieu de 25 mois auparavant).

Ce que nous vous recommandons

Commencez l’automatisation dès à présent – l’année prochaine, il faudra aller beaucoup plus vite qu’aujourd’hui! Commencez par vous poser les questions fondamentales suivantes:

• Inventaire: quels certificats sont utilisés dans votre entreprise, où et à quelles fins, et lesquels sont des certificats Internet publics de confiance?

• Révision des processus: comment se déroule actuellement le renouvellement – manuellement, de manière semi-automatisée ou entièrement automatisée?

• Si vous utilisez encore des certificats individuels: simplifiez la gestion de vos certificats (TLS/SSL et e-mail): avec notre Managed PKI (MPKI), vous pouvez gérer de manière autonome et individuelle les certificats de vos collaborateurs, clients et partenaires en fonction de vos besoins et vous économisez par rapport à l’achat de certificats individuels. Commander une MPKI dès maintenant

• Préparation technique: Utilisez-vous déjà une solution CLM ? Si ce n'est pas le cas, SwissSign Certificate Lifecycle Management powered by Evertrust vous offre une plateforme pérenne pour la gestion entièrement automatisée des certificats. Demandez conseil pour optimiser votre configuration PKI et vous préparer aux nouvelles exigences. Nous contacter maintenant

• Planification pour une fréquence plus élevée: adapter la surveillance, les audits, les alertes