En avril 2025, le CA/Browser Forum — l'organisme qui réunit les autorités de certification (Let's Encrypt, DigiCert, Sectigo…) et les éditeurs de navigateurs (Google, Apple, Mozilla, Microsoft) — a voté une mesure qui va changer la gestion des certificats SSL/TLS pour tous les administrateurs système : la durée de vie maximale des certificats va passer de 398 jours à 47 jours.
Le changement ne sera pas brutal. Il sera progressif.
Le calendrier de réduction
| Échéance | Durée max. du certificat | Durée max. de validation (DCV) |
|---|---|---|
| Aujourd'hui | 398 jours (~13 mois) | 398 jours |
| Mars 2026 | 200 jours (~6,5 mois) | 200 jours |
| Mars 2027 | 100 jours (~3,3 mois) | 100 jours |
| Mars 2029 | 47 jours | 10 jours |
À partir de mars 2029, un certificat SSL/TLS ne pourra plus être valide plus de 47 jours. Et la validation du contrôle de domaine (DCV) devra être refaite tous les 10 jours.
Pourquoi cette décision ?
Trois raisons principales ont motivé ce vote.
1. Réduire la fenêtre d'exposition
Un certificat compromis (clé privée volée, erreur d'émission) reste exploitable jusqu'à sa révocation. Or les mécanismes de révocation actuels (CRL, OCSP) sont lents, incomplets et souvent ignorés par les navigateurs. Raccourcir la durée de vie limite mécaniquement la fenêtre pendant laquelle un certificat compromis peut être utilisé.
2. Forcer l'automatisation
Renouveler un certificat tous les 47 jours à la main est impraticable. C'est précisément le but : forcer l'adoption de l'automatisation (ACME, API des CA) pour éliminer les erreurs humaines. Les pannes causées par des certificats expirés oubliés sont encore fréquentes, même chez les grands acteurs.
3. Améliorer l'hygiène cryptographique
Des renouvellements fréquents signifient des rotations de clés fréquentes. Si une clé est faible ou compromise, elle sera remplacée automatiquement au prochain cycle. C'est aussi une préparation à l'ère post-quantique, où les algorithmes devront évoluer rapidement.
Ce que ça change concrètement
Le renouvellement manuel est mort
Impossible de gérer manuellement des dizaines de certificats qui expirent toutes les 6 semaines. L'automatisation via ACME (Certbot, acme.sh) n'est plus optionnelle.
Les certificats payants perdent un argument
La durée de vie était un des rares avantages des certificats commerciaux sur Let's Encrypt (qui émet déjà à 90 jours). Avec 47 jours pour tous, l'écart disparaît.
Le monitoring devient critique
Avec des renouvellements aussi fréquents, la surveillance de l'expiration des certificats doit être automatisée et alertée. Un échec de renouvellement silencieux = un site en panne sous 47 jours.
Les environnements complexes souffrent
Load balancers, CDN, appliances réseau, IoT : tous les équipements qui nécessitent un déploiement manuel du certificat devront être repensés ou remplacés.
Comment se préparer
Mars 2026, c'est demain. Voici les étapes pour anticiper.
- Inventorier ses certificats — lister tous les certificats en production, leur date d'expiration, leur méthode de renouvellement. Identifier ceux qui sont encore renouvelés à la main.
- Déployer ACME partout — Certbot, acme.sh ou les clients ACME intégrés aux reverse proxies (Caddy, Traefik) permettent un renouvellement entièrement automatique, sans intervention humaine.
- Automatiser le déploiement — le renouvellement ne suffit pas : il faut aussi que le nouveau certificat soit déployé automatiquement sur le serveur web, le load balancer ou le CDN, puis que le service soit rechargé.
- Surveiller les expirations — mettre en place des alertes (Nagios, Zabbix, UptimeRobot, ou un simple cron) qui préviennent quand un certificat expire dans moins de 14 jours.
- Tester le renouvellement — ne pas attendre l'expiration pour découvrir que le renouvellement échoue. Tester régulièrement avec
certbot renew --dry-run.
Et Let's Encrypt dans tout ça ?
Let's Encrypt émet déjà des certificats à 90 jours depuis sa création en 2015. L'automatisation via ACME est dans son ADN. Pour ceux qui utilisent déjà Let's Encrypt avec un renouvellement automatique, le passage à 47 jours sera transparent : il suffira de renouveler plus souvent, ce que Certbot fait déjà par défaut (renouvellement à 30 jours avant expiration).
Pour les utilisateurs de certificats commerciaux (DigiCert, Sectigo, GlobalSign), le changement est plus profond : il faudra adopter les mêmes outils d'automatisation ou passer par les API de ces autorités de certification.
Chez Datacampus : tous nos hébergements incluent des certificats Let's Encrypt renouvelés automatiquement. Le passage à des durées plus courtes ne changera rien pour nos clients : c'est déjà géré.
En résumé
La réduction de la durée de vie des certificats SSL/TLS est un changement structurel. Ce n'est pas une contrainte arbitraire : c'est une réponse aux limites des mécanismes de révocation et une incitation forte à l'automatisation.
Ceux qui automatisent déjà ne verront pas la différence. Les autres ont quatre ans pour s'y préparer. Mieux vaut commencer maintenant.
— Datacampus