Le CA/Browser Forum (l’organisme du secteur qui définit les standards des certificats SSL) a voté en avril 2025 pour réduire progressivement la validité maximale des certificats de 398 jours à 47 jours d’ici mars 2029. Cela concerne toutes les Autorités de Certification — payantes et gratuites.
Le calendrier
| Date d’entrée en vigueur | Validité max. | Réutilisation DCV max. | Impact |
|---|---|---|---|
| Avant mars 2026 | 398 jours (13 mois) | 398 jours | État actuel |
| 15 mars 2026 | 200 jours | 200 jours | Les CA payantes doivent émettre des certificats plus courts |
| 15 mars 2027 | 100 jours | 100 jours | Approche du modèle 90 jours de Let’s Encrypt |
| 15 mars 2029 | 47 jours | 10 jours | Tous les certificats nécessitent un renouvellement fréquent |
Réutilisation DCV = combien de temps un résultat de validation de domaine peut être réutilisé. D’ici 2029, le contrôle du domaine devra être re-vérifié tous les 10 jours, même si le certificat est valide pendant 47 jours.
Pourquoi ce changement
Les certificats à courte durée de vie sont plus sécurisés :
- Fenêtre d’exposition réduite — si une clé est compromise, les dommages sont limités à la durée de validité restante
- Révocation plus rapide — les mécanismes de révocation (CRL, OCSP) ne sont pas fiables ; une courte validité les rend moins critiques
- Automatisation forcée — le renouvellement manuel ne passe pas à l’échelle à 47 jours, poussant l’industrie vers la gestion automatisée des certificats
- Validation fraîche — une validation fréquente du contrôle de domaine détecte plus vite les DNS obsolètes, les domaines vendus ou les changements de propriété
Apple a proposé ce changement, et les quatre principaux éditeurs de navigateurs (Apple, Google, Mozilla, Microsoft) ont voté en faveur.
Ce que cela signifie pour vous
Si vous utilisez Let’s Encrypt (certificats 90 jours)
Pas grand-chose ne change immédiatement. Vous renouvelez déjà tous les 60-90 jours. D’ici 2029, votre cadence de renouvellement passera de tous les 60 jours à environ tous les ~30 jours.
Action requise : Assurez-vous d’avoir une automatisation de renouvellement fiable (cron Certbot, cron acme.sh) ou un processus manuel fiable (GetHTTPS avec des rappels dans le calendrier).
Si vous utilisez des certificats payants (certificats 1 an)
C’est un changement plus important. D’ici mars 2026, votre validité maximale tombe à 200 jours. D’ici 2029, elle tombe à 47 jours — identique au modèle de Let’s Encrypt.
Action requise : Commencez à planifier l’automatisation. L’avantage de coût des certificats payants (validité plus longue = moins de renouvellements) disparaît. De nombreuses organisations passeront aux certificats gratuits Let’s Encrypt avec renouvellement automatique.
Si vous gérez de nombreux certificats
Une validité de 47 jours sur des centaines de domaines signifie des milliers de renouvellements par an. La gestion manuelle devient impossible.
Action requise : Mettez en place une automatisation basée sur ACME (Certbot, acme.sh, ou une plateforme de gestion de certificats).
La fin du “configurer et oublier”
L’impact pratique le plus important : vous ne pouvez plus acheter un certificat d’un an et l’oublier. D’ici 2029, chaque site web aura besoin d’un pipeline de renouvellement automatisé ou de quelqu’un qui renouvelle manuellement chaque mois.
Cela met tout le monde sur un pied d’égalité entre les CA gratuites et payantes — quand tout le monde renouvelle tous les 47 jours, l’avantage de longue validité des certificats payants disparaît entièrement.
Changements de réutilisation DCV (souvent négligés)
Le même scrutin du CA/B Forum réduit aussi les périodes de réutilisation de la Domain Control Validation (DCV) :
| Date | Réutilisation DCV max. |
|---|---|
| Actuel | 398 jours |
| Mars 2026 | 200 jours |
| Mars 2027 | 100 jours |
| Mars 2029 | 10 jours |
Réutilisation DCV = combien de temps une CA peut réutiliser un résultat de validation de domaine précédent. D’ici 2029, la CA devra re-vérifier votre contrôle de domaine tous les 10 jours — même si le certificat est valide pendant 47 jours. Cela signifie que la validation ne peut pas être un événement ponctuel ; elle doit être entièrement automatisée.
Pour les clients ACME (GetHTTPS, Certbot, acme.sh), c’est transparent — chaque renouvellement inclut un nouveau challenge. Pour les flux manuels avec des CA commerciales, cela ajoute une charge opérationnelle significative.
Comment se préparer dès maintenant
Si vous utilisez déjà Let’s Encrypt + Certbot/acme.sh
Vous êtes déjà sur des certificats de 90 jours avec renouvellement automatique. Aucune action nécessaire. Quand la validité passera à 47 jours, votre tâche cron s’en chargera — elle vérifie déjà deux fois par jour.
Si vous utilisez GetHTTPS (renouvellement manuel)
Actuellement, vous renouvelez environ tous les ~60 jours. Avec des certificats de 47 jours, ce sera environ tous les ~30 jours. Options :
- Continuer en manuel — programmer des rappels tous les 30 jours. Faisable pour 1-3 domaines.
- Approche hybride — utiliser GetHTTPS pour le premier certificat, puis installer Certbot pour le renouvellement automatique.
- Attendre et voir — la limite de 47 jours est en mars 2029. Vous avez le temps.
Si vous utilisez des certificats payants d’un an
Commencez à planifier maintenant :
- Évaluez Let’s Encrypt — d’ici 2029, les certificats payants et gratuits auront la même fréquence de renouvellement. Le premium en vaut-il la peine ?
- Implémentez l’automatisation ACME — même les CA commerciales supportent ACME (DigiCert, Sectigo)
- Budgétisez des outils d’automatisation — plateformes de gestion du cycle de vie des certificats si vous gérez 100+ certificats
Qui a voté pour ?
Le scrutin (SC-081) a été soutenu par les quatre principaux éditeurs de navigateurs :
- Apple — a proposé le changement
- Google — a voté en faveur
- Mozilla — a voté en faveur
- Microsoft — a voté en faveur
L’opposition des CA était mitigée, mais les éditeurs de navigateurs ont un droit de veto. Le changement arrive.
Questions fréquemment posées
Let’s Encrypt va-t-il changer sa validité de 90 jours ?
Let’s Encrypt pourrait réduire à 47 jours quand les nouvelles règles entreront en vigueur, ou garder 90 jours si c’est encore dans le maximum autorisé. Dans tous les cas, le processus de renouvellement reste inchangé — et la plupart des utilisateurs renouvellent déjà au jour 60.
Cela affecte-t-il les certificats existants ?
Non. Les certificats déjà émis restent valides jusqu’à leur date d’expiration indiquée. Les nouvelles règles s’appliquent aux certificats émis après les dates d’entrée en vigueur.
Devrais-je passer à Let’s Encrypt maintenant ?
Si vous payez pour des certificats d’un an, le rapport coût/bénéfice évolue rapidement. Le modèle 90 jours de Let’s Encrypt est déjà plus proche du futur à 47 jours, et l’écosystème (Certbot, acme.sh, GetHTTPS) est mature. Passer maintenant signifie que vous serez prêt quand le changement arrivera.
Cela va-t-il casser les anciens appareils ou navigateurs ?
Non. Le changement concerne la validité maximale, pas le format du certificat ni la version TLS. Les anciens appareils qui fonctionnent avec les certificats actuels fonctionneront avec des certificats à durée de vie plus courte. L’appareil ne sait pas et ne se soucie pas de la durée de validité du certificat — il vérifie seulement la date d’expiration.
Et les certificats internes/privés ?
Ce changement s’applique uniquement aux certificats de confiance publique (ceux dans les magasins de confiance des navigateurs). Les CA internes émettant des certificats pour les réseaux d’entreprise ne sont pas soumises aux règles du CA/B Forum.