À partir du 12 mars 2026, les certificats SSL/TLS ne pourront plus être émis pour une durée supérieure à 199 jours. Ce changement fait suite à la décision du CA/Browser Forum, qui impose de nouvelles règles de sécurité à toutes les autorités de certification publiques.
Qu’est-ce que le CA/Browser Forum ?
Il s’agit d’un groupe composé d’autorités de certification (comme Sectigo, DigiCert, Let’s Encrypt…) et de fabricants de navigateurs (Apple, Google, Mozilla, Microsoft…). Ensemble, ils définissent les standards de sécurité pour l’émission et la gestion des certificats SSL/TLS afin d’assurer la confiance et la cohérence sur le web.
Pourquoi réduire la durée de validité ?
Une validité plus courte permet de :
- Limiter les dégâts en cas de compromission d’un certificat
- Encourager l’adoption plus rapide de nouvelles normes de sécurité
- Réduire les risques liés à des certificats mal émis ou obsolètes
L’objectif à long terme est de descendre progressivement jusqu’à 47 jours seulement. Le calendrier officiel est le suivant :
- Mars 2026 → Maximum 199 jours
- Mars 2027 → Maximum 100 jours
- Mars 2029 → Maximum 47 jours
À qui affectent ces changements ?
Pas seulement aux clients d’Amen, mais à tous les titulaires de certificats SSL. Ce changement s’applique à tous les certificats SSL/TLS émis par n’importe quelle Autorité de Certification publique. La décision a été prise par le CA/Browser Forum et constitue une exigence mondiale de l’industrie que tous les fournisseurs de certificats de confiance doivent respecter. Cela garantit des standards de sécurité uniformes sur tous les principaux navigateurs et autorités de certification.
Quand le changement entre-t-il en vigueur ?
Le CA/Browser Forum fixe comme délai maximal le 15 mars pour que les autorités de certification aient implémenté les nouveaux durées de validité dans leurs systèmes. Pour les clients d’Amen disposant de certificats SSL, la nouvelle validité de 199 jours entrera en vigueur à partir du 12 mars 2026. À partir de cette date, tout nouveau certificat émis respectera les durées maximales de validité conformément aux nouvelles exigences de l’industrie.
Que se passe-t-il avec les certificats que j’ai actuellement ?
Les certificats émis avant le 12 mars 2026 restent valables jusqu’à leur date d’expiration originale et n’ont pas besoin d’être remplacés uniquement en raison de ce changement de politique. Les nouvelles limites de validité s’appliquent uniquement aux certificats émis à partir de la date effective. Les certificats existants peuvent continuer à être utilisés normalement, sauf s’il y a une autre raison de les réémettre (problème de sécurité, changement de configuration, etc.).
Devrai-je payer le certificat tous les 6 mois à partir de maintenant ?
Non, les clients d’Amen n’auront pas à acheter un certificat tous les 6 mois. Le paiement du certificat vous donne droit à une « suscription » d’une durée de 12 mois. Pendant toute cette période de suscription, vous pourrez réémettre votre certificat SSL/TLS gratuitement autant de fois que nécessaire à l’approche de la date d’expiration. En termes simples : le certificat lui-même aura une durée de vie technique plus courte, mais la couverture du produit que vous avez souscrit reste d’un an.
Les caractéristiques des certificats changent-elles ?
Non. Les certificats conservent exactement les mêmes caractéristiques et niveaux de validation qu’auparavant (DV, OV, EV, SAN, wildcard, etc.). Le principal changement est opérationnel : les certificats devront être réémis plus fréquemment au cours de l’année pour respecter les nouvelles limites de validité de l’industrie. En pratique, cela signifie que vous devrez peut-être mettre à jour ou réinstaller les certificats plus souvent, mais le certificat en lui-même ne change pas.
Quand effectuer la réémission du certificat ?
Avec le nouveau modèle, vous achetez une « suscription » qui vous permet de réémettre votre certificat SSL/TLS autant de fois que nécessaire pendant la période de suscription. Chaque certificat individuel aura une validité maximale de 199 jours. Il n’y a pas de délai minimum strict pour demander la réémission. Cependant, pour minimiser le nombre d’installations par an, il est recommandé de demander la réémission le plus tard possible, c’est-à-dire le plus près possible de la date d’expiration du certificat. La meilleure pratique est de lancer le processus de renouvellement pas plus de 16 jours avant l’expiration. Si vous le faites trop tôt (par exemple 60 jours à l’avance), cela fonctionnera, mais vous devrez installer le certificat deux ou trois fois par an.
Comment réémettre un certificat
Sur ce point, rien ne change par rapport au processus actuel. Vous devrez accéder à votre panneau de contrôle et demander manuellement la réémission du certificat avant sa date d’expiration.
Si vous utilisez des services tiers (indépendants d’Amen) pour automatiser l’installation des certificats ou pour les intégrer à des plateformes d’hébergement ou à d’autres services externes, le processus dépendra du fournisseur ou de l’environnement spécifique. Dans ce cas, vous devrez vous renseigner directement auprès d’eux.
Expiration de la suscription vs expiration de la validité du certificat
Prochainement, dans le panneau de contrôle SSL, vous verrez deux colonnes distinctes :
- Une indiquant la date d’expiration de la suscription (celle que vous avez contractée, généralement 12 mois).
- Une autre indiquant la date d’expiration du certificat individuel émis dans le cadre de cette suscription.
Cette distinction vous permettra de comprendre clairement la différence entre la fin de votre contrat (suscription) et la durée de vie technique du certificat en cours.
Serai-je averti quand la date d’expiration de la validité approchera ?
Puisque l’avertissement d’expiration de la suscription ne coïncide plus avec la date d’expiration du certificat, nous travaillons actuellement à intégrer des notifications spécifiques pour éviter que vous ne laissiez passer la date d’expiration du certificat.
