À partir de 15 mars 2026, les certificats SSL/TLS ne seront valables que 199 jours (six mois), au lieu de 398 jours actuellement. Une évolution technique décidée par le CA/Browser Forum, qui vise à renforcer la sécurité du web.
Avec cette réforme, les organisations devront désormais gérer des certificats SSL limités à 199 jours, ce qui implique des renouvellements plus fréquents.
Les changements concrets à prévoir avec les certificats SSL limités à 199 jours
Une durée de validité limitée à environ six mois
Avec les nouvelles règles appliquées aux certificats TLS publics, plusieurs évolutions importantes sont à prendre en compte :
- La durée maximale de validité d’un certificat TLS/SSL est désormais limitée à environ six mois, soit 199 jours.
- Les certificats d’une durée d’un an ne seront plus émis en une seule fois comme auparavant.
- Par conséquent, les organisations devront procéder à des renouvellements plus fréquents pour maintenir la protection de leurs services en ligne.
- Un certificat couvrira toujours la durée maximale autorisée, puis devra être réémis automatiquement ou manuellement afin de prolonger la validité sur la période contractuelle totale.
Ces changements visent principalement à renforcer la sécurité des infrastructures web et à encourager l’adoption de processus automatisés de gestion des certificats.
Pourquoi réduire la durée de validité ?
Une validité plus courte permet de :
- Limiter les dégâts en cas de compromission d’un certificat
- Encourager l’adoption plus rapide de nouvelles normes de sécurité
- Réduire les risques liés à des certificats mal émis ou obsolètes
L’objectif à long terme est de descendre progressivement jusqu’à 47 jours seulement. Le calendrier officiel est le suivant :
- Mars 2026 → Maximum 199 jours
- Mars 2027 → Maximum 100 jours
- Mars 2029 → Maximum 47 jours
Comment gérer des certificats SSL avec une validité plus courte ?
Avec cette nouvelle règle, deux approches principales sont possibles pour gérer les renouvellements.
Option 1 : Réémission manuelle
Vous pouvez continuer à acheter des certificats SSL comme auparavant (par exemple pour une durée d’un an ou plus). Toutefois, vous devrez réémettre et réinstaller le certificat environ tous les six mois. Il est recommandé d’activer les notifications de renouvellement pour éviter toute interruption de service.
Cette approche peut convenir aux environnements avec peu de certificats ou disposant déjà de procédures internes de gestion.
Option 2 : Automatiser la gestion des certificats (recommandé)
L’automatisation permet de réduire la charge opérationnelle liée aux renouvellements fréquents et d’éviter les risques d’expiration accidentelle des certificats.
Parmi les solutions possibles :
- certificats SSL avec installation automatique pour les serveurs Apache, NGINX ou Microsoft IIS
- certificats basés sur le protocole ACME, permettant l’émission et le renouvellement automatiques
- systèmes d’auto-réémission pour les plateformes d’hébergement telles que cPanel, Plesk ou DirectAdmin
Une fois configuré, le certificat peut être réémis, installé et renouvelé automatiquement, sans intervention manuelle.
Anticiper la transition vers les certificats à courte durée
La réduction de la durée de validité des certificats TLS/SSL est désormais planifiée et inévitable. Les organisations qui anticipent cette évolution, notamment en mettant en place des solutions d’automatisation, pourront renforcer la sécurité de leurs infrastructures web tout en réduisant les risques d’interruption de service.