Tous les guides de démarrage Premiers pas

Comment renouveler un certificat Let's Encrypt

Les certificats Let’s Encrypt sont valides pendant 90 jours. Vous devriez renouveler avant le jour 60 pour vous donner une marge de sécurité. Voici comment renouveler avec GetHTTPS (manuel) et Certbot (automatique).

Méthode 1 : Renouveler avec GetHTTPS (manuel)

Répétez les mêmes étapes que pour obtenir le certificat initial :

  1. Allez sur gethttps.com/app/setup
  2. Entrez le(s) même(s) domaine(s)
  3. Complétez une challenge HTTP-01 ou DNS-01 (comme avant)
  4. Téléchargez les nouveaux fichiers de certificat
  5. Remplacez les anciens fichiers sur votre serveur :
    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
    sudo systemctl reload nginx  # ou apache2/httpd

Durée : 2-3 minutes une fois que vous l’avez déjà fait.

Quand l’utiliser : Vous n’avez pas d’accès serveur pour installer Certbot, vous gérez un petit nombre de domaines, ou vous préférez ne pas installer de logiciel.

Méthode 2 : Renouvellement automatique avec Certbot

Si Certbot est installé sur votre serveur, les renouvellements se font automatiquement :

# Vérifier si le renouvellement automatique est configuré
sudo systemctl list-timers | grep certbot

# Test à sec manuel
sudo certbot renew --dry-run

# Forcer le renouvellement maintenant
sudo certbot renew

Le timer systemd (ou tâche cron) de Certbot s’exécute deux fois par jour et renouvelle les certificats dans les 30 jours avant expiration.

Quand l’utiliser : Vous avez un accès root au serveur et voulez des renouvellements sans intervention.

Comment vérifier quand votre certificat expire

# Vérifier depuis le serveur
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem

# Vérifier à distance
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate

Exemple de sortie : notAfter=Aug 5 12:00:00 2026 GMT

Définir un rappel

  • Jour 0 : Certificat émis (valide 90 jours)
  • Jour 60 : Renouveler (recommandé — 30 jours de marge de sécurité)
  • Jour 90 : Le certificat expire — le site affiche un avertissement de sécurité

Définissez un rappel dans votre calendrier pour le jour 60. Si vous gérez plusieurs domaines, utilisez un service de surveillance pour alerter sur les expirations à venir.

Étape par étape : renouvellement avec GetHTTPS

Voici le processus exact pour le renouvellement manuel :

  1. Vérifier l’expiration actuelle (optionnel mais bonne pratique) :

    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
  2. Allez sur gethttps.com/app/setup

  3. Entrez le(s) même(s) domaine(s) que le certificat original

  4. Complétez la challenge — comme la première fois :

    • HTTP-01 : placez le nouveau fichier de jeton sur votre serveur
    • DNS-01 : mettez à jour l’enregistrement TXT _acme-challenge avec la nouvelle valeur
  5. Téléchargez les nouveaux fichiers de certificat

  6. Remplacez sur votre serveur :

    sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem
    sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem
  7. Rechargez le serveur web (pas redémarrer — le rechargement applique les nouveaux fichiers sans couper les connexions existantes) :

    sudo systemctl reload nginx    # Nginx
    sudo systemctl reload apache2  # Apache/Debian
    sudo systemctl reload httpd    # Apache/CentOS
  8. Vérifiez que le nouveau certificat est actif :

    echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates

Durée totale : 2-3 minutes une fois que vous l’avez déjà fait.

Comparaison de renouvellement : manuel vs automatique

GetHTTPS (manuel)Certbot (automatique)
Effort par renouvellement2-3 minutesZéro (tâche cron)
Accès serveur requisUniquement pour le remplacement des fichiersAccès complet (root)
Détection des échecsVous le remarquez quand le site tombe en panneLogs Certbot + e-mail possible en cas d’échec
Idéal pour1-5 domaines, pas d’accès rootServeurs de production, nombreux domaines
Risque d’oubliMoyen (définissez des rappels !)Faible (automatisé)

Pour les serveurs de production avec accès root, configurez Certbot pour le renouvellement automatique. Pour les environnements sans accès root, le renouvellement manuel avec GetHTTPS est la seule option.

L’avenir des 47 jours

Le CA/Browser Forum a voté pour réduire la durée maximale de validité des certificats :

Date d’entrée en vigueurValidité maximale
Actuellement90 jours (Let’s Encrypt)
Mars 2026200 jours
Mars 2027100 jours
Mars 202947 jours

D’ici 2029, vous devrez renouveler environ tous les 30-35 jours. Cela rend le renouvellement automatique (Certbot) de plus en plus important. Pour les workflows manuels (GetHTTPS), envisagez de définir des rappels plus fréquents.

Questions fréquentes

Puis-je renouveler avant l’expiration du certificat ?

Oui. Let’s Encrypt permet le renouvellement à tout moment. Le nouveau certificat repart avec une nouvelle période de validité de 90 jours. Le renouvellement anticipé ne gaspille pas le temps restant — il remplace simplement l’ancien certificat.

Dois-je refaire la challenge à chaque fois ?

Oui. Chaque renouvellement nécessite une nouvelle challenge de validation de domaine. C’est une mesure de sécurité — elle confirme que vous contrôlez toujours le domaine.

Le renouvellement cause-t-il une interruption de service ?

Non, s’il est fait correctement. Déposez les nouveaux fichiers et rechargez (pas redémarrer) le serveur web. nginx -s reload et apachectl graceful appliquent les nouveaux certificats aux nouvelles connexions sans couper les existantes.

Puis-je utiliser GetHTTPS pour le premier certificat et Certbot pour les renouvellements ?

Oui. Les fichiers de certificat sont au format PEM standard. Vous pouvez générer le premier certificat avec GetHTTPS, puis installer Certbot pour le renouvellement automatique continu. Ils ne sont pas en conflit. Comparaison détaillée →

Que faire si j’ai raté la date de renouvellement et mon certificat a expiré ?

Votre site affiche un avertissement de sécurité dans le navigateur, mais la solution est simple : allez sur GetHTTPS, obtenez un nouveau certificat, remplacez les fichiers, rechargez le serveur. Ça prend 5 minutes. Il n’y a pas de pénalité de Let’s Encrypt pour avoir laissé un certificat expirer — prenez-en simplement un nouveau.

Dois-je utiliser la même paire de clés lors du renouvellement ?

Non. GetHTTPS génère une nouvelle paire de clés à chaque fois, ce qui est en fait une meilleure pratique de sécurité (rotation des clés). Le serveur ne se soucie pas si le nouveau certificat utilise une clé différente — remplacez simplement fullchain.pem et privkey.pem ensemble.

Comment renouveler un certificat wildcard ?

Même processus que l’émission initiale : visitez GetHTTPS, entrez *.example.com, ajoutez le nouvel enregistrement TXT _acme-challenge dans le DNS, vérifiez, téléchargez. Vous avez besoin d’un accès DNS à chaque fois car les certificats wildcard nécessitent DNS-01.

Articles connexes

Premiers pas 2026-05-08
Comment obtenir un certificat SSL gratuit (guide étape par étape)
Obtenez un certificat SSL gratuit de Let's Encrypt en 5 minutes — aucun logiciel à installer, aucun compte à créer. Guide complet couvrant 4 méthodes, les deux types de challenge, l'installation sur 6 plateformes et le dépannage.
Comparer 2026-05-08
GetHTTPS vs Certbot : quel outil SSL choisir ?
Comparaison detaillee de GetHTTPS et Certbot pour obtenir des certificats SSL gratuits de Let's Encrypt. Comparez l'installation, le workflow, la confidentialite, l'automatisation, le renouvellement et les cas d'utilisation.
Déploiement 2026-05-08
Comment installer un certificat SSL sur Nginx
Guide étape par étape pour installer un certificat SSL sur Nginx. Couvre l'upload des fichiers, la configuration complète du bloc serveur, les bonnes pratiques TLS, HTTP/2, HSTS, la configuration des redirections, les tests et le dépannage de 6 erreurs courantes.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat