Tous les articles SSL SSL et certificats

Validité des certificats SSL : le passage à 47 jours expliqué

Le CA/Browser Forum (l’organisme du secteur qui définit les standards des certificats SSL) a voté en avril 2025 pour réduire progressivement la validité maximale des certificats de 398 jours à 47 jours d’ici mars 2029. Cela concerne toutes les Autorités de Certification — payantes et gratuites.

Le calendrier

Date d’entrée en vigueurValidité max.Réutilisation DCV max.Impact
Avant mars 2026398 jours (13 mois)398 joursÉtat actuel
15 mars 2026200 jours200 joursLes CA payantes doivent émettre des certificats plus courts
15 mars 2027100 jours100 joursApproche du modèle 90 jours de Let’s Encrypt
15 mars 202947 jours10 joursTous les certificats nécessitent un renouvellement fréquent

Réutilisation DCV = combien de temps un résultat de validation de domaine peut être réutilisé. D’ici 2029, le contrôle du domaine devra être re-vérifié tous les 10 jours, même si le certificat est valide pendant 47 jours.

Pourquoi ce changement

Les certificats à courte durée de vie sont plus sécurisés :

  • Fenêtre d’exposition réduite — si une clé est compromise, les dommages sont limités à la durée de validité restante
  • Révocation plus rapide — les mécanismes de révocation (CRL, OCSP) ne sont pas fiables ; une courte validité les rend moins critiques
  • Automatisation forcée — le renouvellement manuel ne passe pas à l’échelle à 47 jours, poussant l’industrie vers la gestion automatisée des certificats
  • Validation fraîche — une validation fréquente du contrôle de domaine détecte plus vite les DNS obsolètes, les domaines vendus ou les changements de propriété

Apple a proposé ce changement, et les quatre principaux éditeurs de navigateurs (Apple, Google, Mozilla, Microsoft) ont voté en faveur.

Ce que cela signifie pour vous

Si vous utilisez Let’s Encrypt (certificats 90 jours)

Pas grand-chose ne change immédiatement. Vous renouvelez déjà tous les 60-90 jours. D’ici 2029, votre cadence de renouvellement passera de tous les 60 jours à environ tous les ~30 jours.

Action requise : Assurez-vous d’avoir une automatisation de renouvellement fiable (cron Certbot, cron acme.sh) ou un processus manuel fiable (GetHTTPS avec des rappels dans le calendrier).

Si vous utilisez des certificats payants (certificats 1 an)

C’est un changement plus important. D’ici mars 2026, votre validité maximale tombe à 200 jours. D’ici 2029, elle tombe à 47 jours — identique au modèle de Let’s Encrypt.

Action requise : Commencez à planifier l’automatisation. L’avantage de coût des certificats payants (validité plus longue = moins de renouvellements) disparaît. De nombreuses organisations passeront aux certificats gratuits Let’s Encrypt avec renouvellement automatique.

Si vous gérez de nombreux certificats

Une validité de 47 jours sur des centaines de domaines signifie des milliers de renouvellements par an. La gestion manuelle devient impossible.

Action requise : Mettez en place une automatisation basée sur ACME (Certbot, acme.sh, ou une plateforme de gestion de certificats).

La fin du “configurer et oublier”

L’impact pratique le plus important : vous ne pouvez plus acheter un certificat d’un an et l’oublier. D’ici 2029, chaque site web aura besoin d’un pipeline de renouvellement automatisé ou de quelqu’un qui renouvelle manuellement chaque mois.

Cela met tout le monde sur un pied d’égalité entre les CA gratuites et payantes — quand tout le monde renouvelle tous les 47 jours, l’avantage de longue validité des certificats payants disparaît entièrement.

Changements de réutilisation DCV (souvent négligés)

Le même scrutin du CA/B Forum réduit aussi les périodes de réutilisation de la Domain Control Validation (DCV) :

DateRéutilisation DCV max.
Actuel398 jours
Mars 2026200 jours
Mars 2027100 jours
Mars 202910 jours

Réutilisation DCV = combien de temps une CA peut réutiliser un résultat de validation de domaine précédent. D’ici 2029, la CA devra re-vérifier votre contrôle de domaine tous les 10 jours — même si le certificat est valide pendant 47 jours. Cela signifie que la validation ne peut pas être un événement ponctuel ; elle doit être entièrement automatisée.

Pour les clients ACME (GetHTTPS, Certbot, acme.sh), c’est transparent — chaque renouvellement inclut un nouveau challenge. Pour les flux manuels avec des CA commerciales, cela ajoute une charge opérationnelle significative.

Comment se préparer dès maintenant

Si vous utilisez déjà Let’s Encrypt + Certbot/acme.sh

Vous êtes déjà sur des certificats de 90 jours avec renouvellement automatique. Aucune action nécessaire. Quand la validité passera à 47 jours, votre tâche cron s’en chargera — elle vérifie déjà deux fois par jour.

Si vous utilisez GetHTTPS (renouvellement manuel)

Actuellement, vous renouvelez environ tous les ~60 jours. Avec des certificats de 47 jours, ce sera environ tous les ~30 jours. Options :

  1. Continuer en manuel — programmer des rappels tous les 30 jours. Faisable pour 1-3 domaines.
  2. Approche hybride — utiliser GetHTTPS pour le premier certificat, puis installer Certbot pour le renouvellement automatique.
  3. Attendre et voir — la limite de 47 jours est en mars 2029. Vous avez le temps.

Si vous utilisez des certificats payants d’un an

Commencez à planifier maintenant :

  1. Évaluez Let’s Encrypt — d’ici 2029, les certificats payants et gratuits auront la même fréquence de renouvellement. Le premium en vaut-il la peine ?
  2. Implémentez l’automatisation ACME — même les CA commerciales supportent ACME (DigiCert, Sectigo)
  3. Budgétisez des outils d’automatisation — plateformes de gestion du cycle de vie des certificats si vous gérez 100+ certificats

Qui a voté pour ?

Le scrutin (SC-081) a été soutenu par les quatre principaux éditeurs de navigateurs :

  • Apple — a proposé le changement
  • Google — a voté en faveur
  • Mozilla — a voté en faveur
  • Microsoft — a voté en faveur

L’opposition des CA était mitigée, mais les éditeurs de navigateurs ont un droit de veto. Le changement arrive.

Questions fréquemment posées

Let’s Encrypt va-t-il changer sa validité de 90 jours ?

Let’s Encrypt pourrait réduire à 47 jours quand les nouvelles règles entreront en vigueur, ou garder 90 jours si c’est encore dans le maximum autorisé. Dans tous les cas, le processus de renouvellement reste inchangé — et la plupart des utilisateurs renouvellent déjà au jour 60.

Cela affecte-t-il les certificats existants ?

Non. Les certificats déjà émis restent valides jusqu’à leur date d’expiration indiquée. Les nouvelles règles s’appliquent aux certificats émis après les dates d’entrée en vigueur.

Devrais-je passer à Let’s Encrypt maintenant ?

Si vous payez pour des certificats d’un an, le rapport coût/bénéfice évolue rapidement. Le modèle 90 jours de Let’s Encrypt est déjà plus proche du futur à 47 jours, et l’écosystème (Certbot, acme.sh, GetHTTPS) est mature. Passer maintenant signifie que vous serez prêt quand le changement arrivera.

Cela va-t-il casser les anciens appareils ou navigateurs ?

Non. Le changement concerne la validité maximale, pas le format du certificat ni la version TLS. Les anciens appareils qui fonctionnent avec les certificats actuels fonctionneront avec des certificats à durée de vie plus courte. L’appareil ne sait pas et ne se soucie pas de la durée de validité du certificat — il vérifie seulement la date d’expiration.

Et les certificats internes/privés ?

Ce changement s’applique uniquement aux certificats de confiance publique (ceux dans les magasins de confiance des navigateurs). Les CA internes émettant des certificats pour les réseaux d’entreprise ne sont pas soumises aux règles du CA/B Forum.

Articles connexes

Premiers pas 2026-05-07
Comment renouveler un certificat Let's Encrypt
Les certificats Let's Encrypt expirent tous les 90 jours. Apprenez à renouveler avec GetHTTPS (manuel) ou Certbot (automatique), et préparez-vous pour la validité de 47 jours.
Comparer 2026-05-08
GetHTTPS vs Certbot : quel outil SSL choisir ?
Comparaison detaillee de GetHTTPS et Certbot pour obtenir des certificats SSL gratuits de Let's Encrypt. Comparez l'installation, le workflow, la confidentialite, l'automatisation, le renouvellement et les cas d'utilisation.
SSL et certificats 2026-05-07
Types de certificats SSL expliqués : DV, OV et EV
Comparez les certificats SSL Domain Validation (DV), Organization Validation (OV) et Extended Validation (EV). Découvrez les différences de vérification, de coût, et quand vous avez réellement besoin de chaque type.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat