Réduction de la durée de vie des certificats SSL/TLS : ce qui change en 2026

En ce début d’année 2026, un changement majeur impacte la sécurité du web : la réduction de la durée de validité des certificats SSL/TLS. Ce changement s’inscrit dans les décisions et propositions portées par le CA/Browser Forum, avec le soutien des éditeurs de navigateurs majeurs comme Apple, Google et Mozilla.

Durée de vie des certificats SSL / TLS

Cette évolution, déjà en cours, exige une adaptation rapide pour garantir la sécurité et la disponibilité de votre site web. Comprendre les enjeux et adopter les bonnes pratiques est capital pour éviter les interruptions de service et maintenir la confiance de vos utilisateurs.

Qu’est-ce qu’un certificat SSL/TLS ?

Un certificat SSL/TLS est un document électronique numérique qui agit comme une carte d’identité pour un site web. Il est lié à un nom de domaine (comme chambersign.fr) ou à une URL spécifique et a pour rôle principal de prouver l’authenticité de ce site. En d’autres termes, il confirme que le site web est bien celui qu’il prétend être, et qu’il appartient à l’entreprise, à l’organisation ou à la personne physique associée.

Plus précisément, un certificat SSL/TLS permet :

Il vérifie que le serveur qui héberge le site est bien celui qui est censé l’héberger. Ceci est essentiel pour éviter l’usurpation d’identité et les attaques de type « phishing » (hameçonnage).

Il établit une connexion sécurisée et chiffrée entre le navigateur de l’utilisateur et le serveur web. Toutes les données échangées entre les deux parties (informations personnelles, mots de passe, numéros de carte de crédit, etc.) sont ainsi cryptées et illisibles pour toute personne interceptant la communication. Ceci garantit la confidentialité des informations sensibles.

La présence d’un certificat SSL/TLS valide est nécessaire pour activer le protocole HTTPS (Hypertext Transfer Protocol Secure), reconnaissable par le cadenas affiché dans la barre d’adresse du navigateur. Ce cadenas indique aux utilisateurs que la connexion est sécurisée.

En résumé, un certificat SSL/TLS est indispensable pour sécuriser les communications en ligne, protéger les données des utilisateurs et instaurer la confiance envers un site web. Il est un élément fondamental de la sécurité du web.

Évolution de la durée de validité des certificats SSL/TLS à partir de mars 2026

Un changement important concernant la durée de validité des certificats SSL/TLS entre en vigueur en 2026, impliquant des renouvellements plus fréquents.

Cette évolution découle des décisions et propositions validées ou en cours de validation au sein du CA/Browser Forum, l’instance de gouvernance réunissant autorités de certification et éditeurs de navigateurs.

Voici les étapes clés de cette évolution :

➡️ Avant le 15 mars 2026 : La durée de validité maximale des certificats était de 398 jours (environ 13 mois).

➡️ À partir du 15 mars 2026 : La durée de validité maximale des nouveaux certificats sera réduite à environ 200 jours (environ 6,5 mois). Ceci signifie que les certificats devront être renouvelés plus souvent.

Même si vous demandez un certificat pour une période plus longue (par exemple, 1 an ou plus), l’Autorité de Certification ne pourra l’émettre que pour environ 200 jours.

➡️ 15 mars 2027 : La durée maximale descendra à environ 100 jours.

➡️ 15 mars 2029 : La durée maximale atteindra environ 47 jours, impliquant un cycle de renouvellement presque mensuel. Le renouvellement deviendra donc près de huit fois plus fréquent qu’aujourd’hui.

Ces échéances correspondent au calendrier actuellement proposé par certains éditeurs de navigateurs, notamment Apple, et restent conditionnées à leur validation finale.

Les certificats émis avant chaque date limite (par exemple, avant le 15 mars 2026) resteront valides jusqu’à leur date d’expiration initiale, même si celle-ci est postérieure à la date de changement.

C’est la date d’émission du certificat qui détermine sa conformité aux nouvelles règles de validité, et non la date de la demande de renouvellement. Si un certificat est émis après le 15 mars 2026, il sera soumis à la nouvelle durée maximale de 200 jours, même si la demande a été faite avant cette date.

 

Il est conseillé de planifier vos renouvellements de certificats en tenant compte de ces nouvelles règles afin d’éviter toute interruption de service due à un certificat expiré.

Pourquoi cette évolution de la durée des certificats SSL/TLS ?

L’objectif principal de la réduction de la durée de vie des certificats SSL/TLS est de renforcer la sécurité et d’améliorer la réactivité face aux incidents. Puisque les systèmes de révocation traditionnels (CRL, OCSP) sont souvent lents ou peu fiables, des certificats plus courts limitent automatiquement la période durant laquelle un certificat compromis peut être exploité.

Les principaux bénéfices en matière de sécurité sont les suivants :

Si une clé privée est compromise ou qu’une erreur de configuration se produit, la période d’exploitation est drastiquement réduite.

L’expiration rapide des certificats agit comme une mesure de sécurité supplémentaire, réduisant la dépendance aux systèmes de révocation.

La durée d’utilisation abusive des clés cryptographiques est limitée.

Permet de réagir plus vite aux nouvelles vulnérabilités et menaces émergentes.

Cette approche apporte également une meilleure agilité cryptographique. Des renouvellements plus fréquents permettent :

Facilite l’adoption de nouveaux algorithmes et paramètres de sécurité.

Accélère le retrait des technologies obsolètes.

Prépare les infrastructures à l’informatique quantique et au risque de déchiffrement différé des communications. Cette approche est cohérente avec les recommandations d’organismes comme le NIST, qui encouragent l’agilité cryptographique face aux menaces émergentes, notamment post-quantiques.

Sur le plan de la gouvernance et de la conformité, les certificats de courte durée garantissent :

Les informations sur le domaine et l’organisation restent exactes.

Améliore la visibilité sur les certificats et réduit le risque de certificats oubliés.

Facilite le respect des normes de sécurité (NIST, ISO/IEC 27001, PCI DSS).

Enfin, cette évolution encourage fortement l’automatisation des renouvellements, ce qui :

Diminue les erreurs humaines.

Augmente la fiabilité opérationnelle.

Réduit les coûts et les interruptions de service.

S’inscrit dans une démarche globale de modernisation des pratiques de sécurité.

ACME : le protocole standard d’automatisation

Les récentes évolutions imposant des cycles de renouvellement de certificats plus fréquents rendent la gestion manuelle des certificats SSL/TLS de plus en plus complexe et risquée. En effet, une gestion manuelle peut entraîner :

Des expirations de certificats imprévues peuvent provoquer des pannes et interrompre les services.

Les navigateurs affichent des avertissements lorsque les certificats sont expirés, ce qui affecte la confiance des utilisateurs et peut limiter l’accès au site web.

Les interruptions de service dues à des problèmes de certificats ont un impact direct sur les opérations commerciales et peuvent entraîner une perte de revenus.

Face à ces défis, des protocoles tels que ACME (Automated Certificate Management Environment) sont devenus incontournables. Standardisé par l’IETF, ACME est aujourd’hui largement adopté par les Autorités de Certification et les fournisseurs de services web.

ACME automatise l’ensemble du processus d’obtention et de renouvellement des certificats SSL/TLS, offrant de nombreux avantages :

ACME automatise l’intégralité du processus, de la demande initiale du certificat à son installation et à ses renouvellements périodiques, réduisant considérablement la charge de travail des équipes IT.

ACME est un protocole standardisé, ce qui facilite son intégration avec divers serveurs web, outils de gestion de certificats et plateformes cloud. Cette interopérabilité simplifie le déploiement et réduit les coûts d’intégration.

ACME utilise des mécanismes de validation automatisés pour vérifier la propriété du domaine, réduisant ainsi le risque d’émission de certificats non autorisés. L’automatisation minimise également le risque d’erreurs humaines lors de la configuration des certificats.

En automatisant les tâches répétitives, ACME libère les ressources IT pour des projets plus stratégiques. La réduction des erreurs manuelles contribue également à diminuer les coûts liés aux interruptions de service et aux incidents de sécurité.

La réduction de la durée de vie des certificats SSL/TLS est une réalité qui nécessite une approche proactive. L’automatisation de la gestion des certificats, en particulier grâce au protocole ACME, est la clé pour garantir une sécurité continue et une disponibilité optimale de votre site web.

FAQ : durée de vie certificats ssl / tls

Non. Après le 15 mars 2026, les nouveaux certificats suivront des durées de vie plus courtes définies par le calendrier du CA/B Forum, en commençant par un maximum de 200 jours. L’autorité de certification ne pourra tout simplement pas émettre de certificat dépassant cette durée, même si vous le demandez.

Bien que l’automatisation nécessite un investissement initial, le retour sur investissement parle de lui-même. Le coût de ne pas automatiser sera bien plus élevé : pannes, perte de revenus, temps passé à gérer manuellement des centaines de renouvellements…

Autorité de certification
depuis 25 ans
Commande en ligne
de vos certificats
Un réseau
de proximité
Service client disponible
à votre écoute
Un projet ? Une question ?
Prenez contact avec nos experts en certificat électronique ou experts en dématérialisation
Contactez-nous
Suivez l'actualité de ChamberSign
Nous sommes présents sur Linkedin, ne ratez pas nos dernières news !

Grâce à ChamberSign, autorité de certification depuis 25 ans, vous faites le choix d’obtenir des identités numériques développées, conçues, fournies et hébergées en France pour divers usages (signature, scellement, authentification, etc). Au service des entreprises, des grands groupes, et des organisations privées ou publiques, Chambersign permet de sécuriser les communications en ligne, via des procédés d’identification, d’authentification et de sécurisation. C’est le cas pour signer, sceller, ou sécuriser des documents, ou bien pour accéder à certaines plateformes et pouvoir s’y connecter. ChamberSign propose une large gamme de produits de certificats électroniques et d’outils de signatures électroniques. Nos solutions répondent au référentiel général de sécurité (RGS). Les produits concernés disposent de la mention RGS * (une étoile) et RGS * (deux étoiles) ainsi qu’à la réglementation européenne eIDAS (ElectronicIDentification And Trust Services). Retrouvez sur notre site le descriptif de chacun de nos produits pour répondre au plus juste à vos besoins ! Que vous souhaitiez obtenir un certificat électronique professionnel grâce à nos solutions Eiducio (eIDAS), Initio RGS*, Audacio Identité RGS**,ou vous équiper de certificats électroniques « corporate » via des outils dédiés tels que Négocio RGS,Certiserv SSL RGS*, EuroComercio (eIDAS), Certiserv SSL ou Certiserv serveur client RGS*.Vous pouvez également disposer d’outils de signatures avec Sunnysign Advanced ou Sunnysign Standard. Un besoin en matière de Cybersécurité ? Les certificats électroniques jouent un rôle primordial en matière de sécurité informatique.  Sécurisez toutes les données sensibles de vos sites internet, vos extranets et intranets, protégez vos serveurs ou applications, chiffrez vos flux de données avec nos certificats électroniques TLS/SSL !Tiers de confiance depuis 2020, Chambersign détient le visa de sécurité de la ANSSI pour ses services de certification électronique et depuis 2021, le Label France CyberSecurity. Vous avez besoin de conseils ? Faites appel à nos experts en certificats électroniquespour vous guider dans votre choix ! Nous mettons aussi à votre disposition plus de 140 bureaux d’enregistrement et près de 350 opérateurs habilités à la délivrance de certificats numériques sur l’ensemble du territoire français (Guyane et Dom inclus). Retrouvez aussi l'actualité de Chambersign sur notre chaine Youtube et sur les réseaux sociaux en suivant nos comptes Facebook Chambersign, Twitter Chambersign et LinkedinChambersign.