Certificats TLS 2026 : Pourquoi une durée de validité de 200 jours signe la fin de la gestion manuelle

13 mars 2026

7 min de lecture

À compter du 15 mars 2026, les certificats TLS ne pourront plus être délivrés avec une durée de validité supérieure à 200 jours. En 2027, cette limite passera à 100 jours, puis à la limite définitive de 47 jours en 2029. Pour toute entreprise gérant aujourd’hui 1 000 certificats manuellement, cela représente un problème opérationnel majeur : jusqu’à 48 000 heures de travail annuel consacrées à la gestion des certificats d’ici 2029. Sans automatisation, la gestion des certificats deviendra un foyer permanent d’incidents.

L’essentiel

  • 📅 À compter du 15 mars 2026 : durée maximale autorisée des certificats TLS = 200 jours. En 2027 : 100 jours. En 2029 : limite définitive de 47 jours.
  • 📊 En 2025, 72 % des entreprises ont connu au moins un incident lié à l’expiration ou à une mauvaise configuration d’un certificat (Venafi, 2025).
  • ⚙️ La limite de 47 jours implique un volume de renouvellement 8 fois supérieur à celui d’aujourd’hui. Une gestion manuelle est tout simplement impossible.
  • 🔐 Le Ballot SC081v3 du CA/Browser Forum est adopté. Il ne s’agit pas d’une simple éventualité, mais d’une échéance inéluctable.
  • 🏢 Let’s Encrypt, DigiCert et Sectigo proposent déjà des solutions d’automatisation basées sur le protocole ACME.

Pourquoi des certificats à durée réduite constituent un risque opérationnel

Les certificats TLS sont invisibles… jusqu’à leur expiration. À ce moment-là, un détail technique se transforme en incident métier : les sites web affichent des avertissements de sécurité, les API renvoient des erreurs 502, les clients voient le message « Connexion non sécurisée ». En septembre 2021, un certificat expiré a paralysé l’ensemble du réseau Facebook pendant six heures. Le coût estimé : 65 millions de dollars américains de pertes de chiffre d’affaires.

Le State of Machine Identity Report 2025 de Venafi révèle que 72 % de toutes les entreprises ont connu, l’an dernier, au moins un incident causé par l’expiration ou une mauvaise configuration d’un certificat. La cause principale ? Une gestion manuelle dans des tableaux Excel, au lieu d’un gestion automatisée du cycle de vie.

Avec la nouvelle limite de 200 jours entrant en vigueur en mars 2026, le problème s’aggrave considérablement. Une entreprise disposant de 500 certificats devra désormais les renouveler presque deux fois plus souvent qu’auparavant. À l’horizon 2029, avec la limite de 47 jours, le nombre de renouvellements sera multiplié par huit. Sans automatisation, cela devient purement irréalisable.

« La réduction de la durée de validité des certificats n’est pas une punition infligée aux équipes IT. C’est une réponse à la réalité : les certificats compromis doivent pouvoir être retirés du circuit beaucoup plus rapidement. »

Adapté du blog de DigiCert (2025)

Le calendrier : passage progressif de 200 à 47 jours en trois étapes

Le CA/Browser Forum a adopté, via le Ballot SC081v3, un plan contraignant en trois étapes :

Étape 1 (15 mars 2026) : Durée maximale autorisée = 200 jours. Pour la plupart des entreprises, cet horizon est perceptible, mais encore compatible avec les processus existants.

Étape 2 (15 mars 2027) : Durée maximale autorisée = 100 jours. À partir de ce stade, la gestion manuelle devient un poste à temps plein. Tous les certificats devront être renouvelés tous les trimestres.

Étape 3 (15 mars 2029) : Durée maximale autorisée = 47 jours. Renouvellement mensuel obligatoire. Seule une automatisation complète permettra de répondre à cette exigence.

200 jours
À compter de mars 2026
100 jours
À compter de mars 2027
47 jours
À compter de mars 2029

Gestion automatisée du cycle de vie des certificats (ACLM) : les trois options

Option 1 : Protocole ACME (modèle Let’s Encrypt). L’Automatic Certificate Management Environment (ACME) est devenu la norme de facto pour la gestion automatisée des certificats. Let’s Encrypt l’utilise avec succès depuis 2016. Des outils comme Certbot ou LEGO automatisent entièrement la demande, la validation et le renouvellement. Coût : gratuit (avec Let’s Encrypt) à très modique. Contrainte : uniquement des certificats Domain-Validated (DV), pas de certificats Extended Validation (EV).

Option 2 : Plateformes commerciales de gestion des certificats (CLM). DigiCert CertCentral, Sectigo Certificate Manager, Venafi Trust Protection Platform. Ces solutions centralisent la gestion de l’ensemble du portefeuille de certificats : découverte, surveillance, renouvellement, révocation. Coût : à partir d’environ 5 000 euros par an pour les environnements de taille moyenne. Avantage : prise en charge des certificats Organization-Validated (OV) et EV, support multi-AC, rapports de conformité.

Option 3 : Approches natives du cloud. AWS Certificate Manager, Azure Key Vault, Google Certificate Manager. Si votre infrastructure repose déjà sur un cloud public, c’est la solution la plus simple : les certificats sont créés, renouvelés et déployés automatiquement sur les équilibreurs de charge. Contrainte : fonctionne uniquement au sein de l’écosystème cloud concerné.

La position opposée : pourquoi certains directeurs informatiques attendent

Tous les responsables IT ne perçoivent pas l’urgence. Leur argument : la limite de 200 jours reste encore gérable, et la limite de 47 jours est encore à trois ans. Pourquoi investir dès maintenant ? La réponse est simple : la migration vers une gestion automatisée des certificats prend elle-même entre 6 et 12 mois. Celui qui ne commence qu’en 2028 aura moins d’un an avant la date butoir des 47 jours. Et chaque incident lié à un certificat expiré survenu entre-temps coûtera bien davantage que l’investissement dans l’automatisation.

Trois étapes à accomplir dans les 90 prochains jours

Étape 1 : Établir l’inventaire des certificats (semaines 1-2). Combien de certificats possédez-vous ? Où sont-ils déployés ? Quand expirent-ils ? Des outils comme Venafi, Keyfactor ou même des scripts OpenSSL peuvent effectuer ce scan de manière automatisée. Le résultat est souvent une surprise : de nombreuses entreprises découvrent 2 à 3 fois plus de certificats qu’elles ne le pensaient.

Étape 2 : Choisir une stratégie d’automatisation (semaines 3-4). ACME pour les scénarios simples, plateforme CLM commerciale pour les environnements complexes, approche native du cloud pour les infrastructures entièrement hébergées dans le cloud. Pour la plupart des entreprises de taille moyenne germanophones (DACH), une combinaison d’ACME (pour les serveurs web) et d’une plateforme CLM commerciale (pour les services internes) constitue l’approche pragmatique.

Étape 3 : Mener un projet pilote sur les systèmes critiques (mois 2-3). Ne commencez pas par tout automatiser d’un seul coup. Identifiez les 10 certificats dont l’expiration causerait le plus de dégâts. Automatisez leur cycle de vie comme preuve de concept (Proof of Concept). Puis procédez à l’extension progressive.

Conclusion : les 47 jours arrivent plus vite qu’on ne le pense

La réduction des durées de validité des certificats TLS est une décision définitive. La question n’est plus si, mais à quelle vitesse vous allez automatiser. La limite de 200 jours, effective à partir de mars 2026, constitue un signal d’alarme. Celui qui établit dès aujourd’hui son inventaire de certificats et choisit une stratégie d’automatisation dispose de trois années pour migrer de façon ordonnée. Celui qui attend accumule un risque croissant d’indisponibilité. Le coût d’un seul incident lié à un certificat expiré dépasse largement l’investissement nécessaire dans une solution d’automatisation CLM.

Questions fréquentes

La règle des 200 jours concerne-t-elle aussi les certificats internes, ou seulement les certificats publics ?

Le Ballot SC081v3 du CA/Browser Forum ne s’applique directement qu’aux certificats TLS publiques faisant l’objet d’une confiance publique (délivrés par des autorités de certification telles que DigiCert, Let’s Encrypt ou Sectigo). Les certificats internes (émis par une Private CA) ne sont pas directement concernés. Toutefois, les experts en cybersécurité recommandent vivement de raccourcir également la durée de validité des certificats internes, car un certificat interne compromis représente un risque tout aussi élevé.

Nous utilisons des certificats Wildcard. Cette évolution change-t-elle quelque chose ?

Oui, les certificats Wildcard sont soumis aux mêmes règles de durée de validité. À compter de mars 2026, leur durée maximale sera de 200 jours, puis de 47 jours à compter de 2029. Les certificats Wildcard présentent un profil de risque plus élevé : un certificat Wildcard compromis affecte l’ensemble des sous-domaines. La réduction de la durée de validité réduit précisément cette fenêtre d’exposition. L’automatisation est ici particulièrement cruciale.

Quel est le coût de la transition vers une gestion automatisée des certificats ?

L’ACME avec Let’s Encrypt est gratuit (seul le coût de mise en œuvre compte : 1 à 2 jours par type de serveur). Les plateformes CLM commerciales commencent à environ 5 000 euros par an pour un portefeuille de 100 à 500 certificats. Les solutions Enterprise (Venafi, Keyfactor) coûtent entre 20 000 et 50 000 euros par an. En comparaison, le coût d’un incident lié à un certificat expiré s’élève, selon l’Institut Ponemon, à 300 000 euros en moyenne par événement.

Pouvons-nous continuer à utiliser notre autorité de certification actuelle ?

Oui, mais uniquement si celle-ci prend en charge le protocole ACME. DigiCert, Sectigo, GlobalSign et la plupart des grandes autorités de certification offrent des points de terminaison ACME. Vérifiez si votre fournisseur actuel propose la gestion automatisée du cycle de vie comme fonctionnalité intégrée. Si ce n’est pas le cas, changer pour un fournisseur compatible CLM constitue un meilleur investissement que de conserver des processus manuels.

Comment détecter qu’un certificat va bientôt expirer, avant qu’un incident ne survienne ?

Des outils de surveillance tels que Nagios, Datadog ou des services spécialisés de surveillance des certificats (SSLMate, CertSpotter) permettent de détecter les certificats en fin de vie plusieurs semaines à l’avance. En mesure immédiate : un simple script Bash utilisant openssl s_client, exécuté quotidiennement sur tous vos points de terminaison externes, et déclenchant une alerte dès que la durée de validité restante tombe en dessous de 30 jours. Cette solution coûte zéro euro et évite les pires incidents.

Lectures complémentaires sur le réseau

Plus d’articles du réseau MBF Media

Source de l’image : Pexels

Aussi disponible en

pArtikel drucken
Un magazine de Evernine Media GmbH