Les certificats Let’s Encrypt sont valides pendant 90 jours. Vous devriez renouveler avant le jour 60 pour vous donner une marge de sécurité. Voici comment renouveler avec GetHTTPS (manuel) et Certbot (automatique).
Méthode 1 : Renouveler avec GetHTTPS (manuel)
Répétez les mêmes étapes que pour obtenir le certificat initial :
- Allez sur gethttps.com/app/setup
- Entrez le(s) même(s) domaine(s)
- Complétez une challenge HTTP-01 ou DNS-01 (comme avant)
- Téléchargez les nouveaux fichiers de certificat
- Remplacez les anciens fichiers sur votre serveur :
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem sudo systemctl reload nginx # ou apache2/httpd
Durée : 2-3 minutes une fois que vous l’avez déjà fait.
Quand l’utiliser : Vous n’avez pas d’accès serveur pour installer Certbot, vous gérez un petit nombre de domaines, ou vous préférez ne pas installer de logiciel.
Méthode 2 : Renouvellement automatique avec Certbot
Si Certbot est installé sur votre serveur, les renouvellements se font automatiquement :
# Vérifier si le renouvellement automatique est configuré
sudo systemctl list-timers | grep certbot
# Test à sec manuel
sudo certbot renew --dry-run
# Forcer le renouvellement maintenant
sudo certbot renew
Le timer systemd (ou tâche cron) de Certbot s’exécute deux fois par jour et renouvelle les certificats dans les 30 jours avant expiration.
Quand l’utiliser : Vous avez un accès root au serveur et voulez des renouvellements sans intervention.
Comment vérifier quand votre certificat expire
# Vérifier depuis le serveur
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem
# Vérifier à distance
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
Exemple de sortie : notAfter=Aug 5 12:00:00 2026 GMT
Définir un rappel
- Jour 0 : Certificat émis (valide 90 jours)
- Jour 60 : Renouveler (recommandé — 30 jours de marge de sécurité)
- Jour 90 : Le certificat expire — le site affiche un avertissement de sécurité
Définissez un rappel dans votre calendrier pour le jour 60. Si vous gérez plusieurs domaines, utilisez un service de surveillance pour alerter sur les expirations à venir.
Étape par étape : renouvellement avec GetHTTPS
Voici le processus exact pour le renouvellement manuel :
-
Vérifier l’expiration actuelle (optionnel mais bonne pratique) :
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate -
Allez sur gethttps.com/app/setup
-
Entrez le(s) même(s) domaine(s) que le certificat original
-
Complétez la challenge — comme la première fois :
- HTTP-01 : placez le nouveau fichier de jeton sur votre serveur
- DNS-01 : mettez à jour l’enregistrement TXT
_acme-challengeavec la nouvelle valeur
-
Téléchargez les nouveaux fichiers de certificat
-
Remplacez sur votre serveur :
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem -
Rechargez le serveur web (pas redémarrer — le rechargement applique les nouveaux fichiers sans couper les connexions existantes) :
sudo systemctl reload nginx # Nginx sudo systemctl reload apache2 # Apache/Debian sudo systemctl reload httpd # Apache/CentOS -
Vérifiez que le nouveau certificat est actif :
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
Durée totale : 2-3 minutes une fois que vous l’avez déjà fait.
Comparaison de renouvellement : manuel vs automatique
| GetHTTPS (manuel) | Certbot (automatique) | |
|---|---|---|
| Effort par renouvellement | 2-3 minutes | Zéro (tâche cron) |
| Accès serveur requis | Uniquement pour le remplacement des fichiers | Accès complet (root) |
| Détection des échecs | Vous le remarquez quand le site tombe en panne | Logs Certbot + e-mail possible en cas d’échec |
| Idéal pour | 1-5 domaines, pas d’accès root | Serveurs de production, nombreux domaines |
| Risque d’oubli | Moyen (définissez des rappels !) | Faible (automatisé) |
Pour les serveurs de production avec accès root, configurez Certbot pour le renouvellement automatique. Pour les environnements sans accès root, le renouvellement manuel avec GetHTTPS est la seule option.
L’avenir des 47 jours
Le CA/Browser Forum a voté pour réduire la durée maximale de validité des certificats :
| Date d’entrée en vigueur | Validité maximale |
|---|---|
| Actuellement | 90 jours (Let’s Encrypt) |
| Mars 2026 | 200 jours |
| Mars 2027 | 100 jours |
| Mars 2029 | 47 jours |
D’ici 2029, vous devrez renouveler environ tous les 30-35 jours. Cela rend le renouvellement automatique (Certbot) de plus en plus important. Pour les workflows manuels (GetHTTPS), envisagez de définir des rappels plus fréquents.
Questions fréquentes
Puis-je renouveler avant l’expiration du certificat ?
Oui. Let’s Encrypt permet le renouvellement à tout moment. Le nouveau certificat repart avec une nouvelle période de validité de 90 jours. Le renouvellement anticipé ne gaspille pas le temps restant — il remplace simplement l’ancien certificat.
Dois-je refaire la challenge à chaque fois ?
Oui. Chaque renouvellement nécessite une nouvelle challenge de validation de domaine. C’est une mesure de sécurité — elle confirme que vous contrôlez toujours le domaine.
Le renouvellement cause-t-il une interruption de service ?
Non, s’il est fait correctement. Déposez les nouveaux fichiers et rechargez (pas redémarrer) le serveur web. nginx -s reload et apachectl graceful appliquent les nouveaux certificats aux nouvelles connexions sans couper les existantes.
Puis-je utiliser GetHTTPS pour le premier certificat et Certbot pour les renouvellements ?
Oui. Les fichiers de certificat sont au format PEM standard. Vous pouvez générer le premier certificat avec GetHTTPS, puis installer Certbot pour le renouvellement automatique continu. Ils ne sont pas en conflit. Comparaison détaillée →
Que faire si j’ai raté la date de renouvellement et mon certificat a expiré ?
Votre site affiche un avertissement de sécurité dans le navigateur, mais la solution est simple : allez sur GetHTTPS, obtenez un nouveau certificat, remplacez les fichiers, rechargez le serveur. Ça prend 5 minutes. Il n’y a pas de pénalité de Let’s Encrypt pour avoir laissé un certificat expirer — prenez-en simplement un nouveau.
Dois-je utiliser la même paire de clés lors du renouvellement ?
Non. GetHTTPS génère une nouvelle paire de clés à chaque fois, ce qui est en fait une meilleure pratique de sécurité (rotation des clés). Le serveur ne se soucie pas si le nouveau certificat utilise une clé différente — remplacez simplement fullchain.pem et privkey.pem ensemble.
Comment renouveler un certificat wildcard ?
Même processus que l’émission initiale : visitez GetHTTPS, entrez *.example.com, ajoutez le nouvel enregistrement TXT _acme-challenge dans le DNS, vérifiez, téléchargez. Vous avez besoin d’un accès DNS à chaque fois car les certificats wildcard nécessitent DNS-01.