Le CA / Browser Forum a voté pour réduire considérablement la durée de vie des certificats SSL/TLS au cours des 4 prochaines années, avec une durée de vie finale de seulement 47 jours à partir de 2029.
Le CA/Browser Forum est un groupe d’autorités de certification (AC) et de fournisseurs de logiciels, y compris les développeurs de navigateurs, travaillant ensemble pour établir et maintenir des normes de sécurité pour les certificats numériques utilisés dans les communications Internet.
Ses membres comprennent de grandes autorités de certification comme DigiCert et GlobalSign, ainsi que des fournisseurs de navigateurs tels que Google, Apple, Mozilla et Microsoft.
Plus tôt cette année, Apple a proposé une motion visant à réduire la durée de vie des certificats, approuvée par Sectigo, l’équipe Google Chrome et Mozilla.
Cette proposition réduirait progressivement la durée de vie des certificats au cours des quatre prochaines années, passant de sa durée de vie actuelle de 398 jours à 47 jours en mars 2029.
L’objectif est de minimiser les risques liés aux données de certificat obsolètes, aux algorithmes cryptographiques obsolètes et à l’exposition prolongée à des informations d’identification compromises. Il encourage également les entreprises et les développeurs à utiliser l’automatisation pour renouveler et faire pivoter les certificats TLS, ce qui réduit la probabilité que les sites s’exécutent sur des certificats expirés.
Les certificats SSL / TLS sont des fichiers numériques qui permettent une communication sécurisée sur Internet (HTTPS) en cryptant les données et en authentifiant les sites Web.
Ils chiffrent la connexion afin que les données sensibles telles que les mots de passe et les données de carte de crédit saisies sur les formulaires du site Web ne puissent pas être interceptées par des attaquants au milieu.
Ces certificats sont également utilisés pour authentifier le site Web et garantir l’intégrité des données, ce qui signifie que les informations échangées entre l’utilisateur et le serveur n’ont pas été altérées.
Lorsque ces certificats expirent sans renouvellement, les utilisateurs voient un avertissement sur leur navigateur les informant que leur connexion n’est ni privée ni sécurisée.
Actuellement, la durée de vie et la Validation du contrôle de domaine (DCV) de ces certificats sont de 398 jours, mais la majorité des autorités de certification ont convenu que c’était trop long dans le paysage de la sécurité actuel.
Avec 25 votes pour et aucun contre, le Forum CA / Browser a maintenant décidé de raccourcir la durée de vie comme suit:
- À partir du 15 mars 2026, la durée de vie du certificat et le DCV seront réduits à 200 jours
- À partir du 15 mars 2027, la durée de vie du certificat et le DCV seront réduits à 100 jours
- À partir du 15 mars 2029, la durée de vie du certificat sera réduite à 47 jours et DCV à 10 jours
Raccourcir le cycle de vie des certificats entraînera inévitablement des frais généraux de gestion et une charge importante pour les personnes qui gèrent plusieurs domaines. Cependant, cela devrait forcer une revalidation plus fréquente des entreprises demandant des certificats, encourager l’automatisation et, à terme, rendre l’écosystème plus agile et sécurisé.
Ce raccourcissement progressif de la durée de vie des certificats donne aux entités concernées suffisamment de temps pour mettre en œuvre et passer à des systèmes automatisés de renouvellement de certificats, tels que ceux proposés par les fournisseurs de cloud, Let’s Encrypt ou les fournisseurs de certificats prenant en charge le protocole ACME.