La durée de validité des certificats SSL/TLS sera bientôt réduite

22 janv. 2025 | Jindřich Zechmeister

Au cours des dix dernières années, la durée de validité des certificats SSL/TLS a été réduite à plusieurs reprises. Actuellement, une nouvelle réduction à 45 jours est envisagée, ce qui pourrait nécessiter jusqu'à neuf renouvellements de certificat TLS par an !

Autorités de certification et le CA/B Forum

Historique des durées de validité des certificats

À l'époque des débuts des certificats SSL, il n'existait pas de régulateur pour ce secteur. Cette lacune a été comblée par la création du consortium CA/Browser Forum en 2005. Deux ans plus tard, ce forum a produit son premier résultat notable : l'approbation des règles pour les certificats EV, qui ont été mis en place durant cette période.

Peu après, la question de la durée de vie maximale des certificats de sécurité SSL/TLS a suscité des discussions, car une paire de clés pouvait être utilisée pendant de nombreuses années. Cette durée a été progressivement réduite à 3 ans (39 mois) en 2015, puis à 27 mois en 2018, et finalement à 398 jours en 2020. Avant ces changements, des certificats pouvaient être émis pour une période de 4 à 5 ans. Désormais, la validité maximale est limitée à un an. Bien que cette règle soit toujours en vigueur, les experts prévoient de nouvelles réductions prochainement.

Actuellement, Google envisage de réduire la validité maximale des certificats à 90 jours, tandis qu'Apple a récemment proposé un projet de vote au CA/Browser Forum pour la ramener à 45 jours d'ici 2027.

Bien que rien ne soit encore décidé, si ce vote est officiellement publié et adopté dans les mois à venir, voici ce que pourraient devoir envisager les entreprises pour le renouvellement de leurs certificats SSL/TLS :

  • à partir de mars 2026 : 200 jours
  • à partir de mars 2027 : 100 jours
  • à partir de mars 2028 : 47 jours

Il est probable que ce modèle soit adopté . Par le passé, Apple a déjà su imposer ses intentions avec succès, et ce, malgré les réticences de certaines autorités de certification.

Préparez-vous

Il est temps d'automatiser la gestion du cycle de vie des certificats. Mettre en place l'automatisation des certificats n'a pas à être compliqué, et vous disposez encore de suffisamment de temps pour se préparer. Nous vous proposons plusieurs solutions, toutes éprouvées et efficaces.

Les méthodes d'automatisation que vous pouvez envisager :

  • Protocole ACME : Un outil standard largement utilisé pour l'obtention de certificats. Il fonctionne grâce aux clients ACME, dont il existe de nombreux sur le marché. Ces clients ne se contentent pas de récupérer le certificat, ils sont aussi capables de l’installer directement sur le serveur.
  • DigiCert Automation Manager : Cet outil utilise un système d'automatisation basé sur un agent/senseur en intégration avec l'interface CertCentral. Il vous permet d'obtenir une vue d'ensemble de tous les certificats présents sur vos serveurs, ainsi que de les contrôler via l'interface. Les agents automatisent la gestion des certificats directement sur les serveurs pour vous.
  • Trust Lifecycle Manager : Faisant partie de DigiCert ONE, cet outil complet est conçu pour se connecter facilement à des outils et services tiers populaires, ce qui facilite grandement l'intégration dans les grandes entreprises.
  • KeyTalk CKMS server ou service est capable de sécuriser et de déployer des certificats sur les appareils finaux de votre entreprise. Il permet d'automatiser la gestion des certificats TLS ainsi que des certificats S/MIME pour un cryptage sécurisé des communications.
  • Intégration personnalisée via notre API ou l'API de CA DigiCert.

Les quatre premières solutions assurent une gestion complète du cycle de vie des certificats, allant de leur émission jusqu'à leur déploiement sur des serveurs compatibles. Cela vous garantit une prise en charge totale sans nécessiter d'intervention de votre part. En choisissant de développer votre propre solution d'automatisation à l'aide de notre API, vous pourrez obtenir des certificats, mais vous devrez gérer vous-même leur déploiement sur le serveur.

N'hésitez pas à nous contacter dès que possible pour bénéficier de conseils gratuits

Pourquoi limiter la durée de validité ?

Apple et Google estiment que réduire la durée de validité des certificats contribue à renforcer la sécurité numérique. En effectuant des rotations de clés plus fréquentes, le risque de compromission est diminué.

Avantages des certificats à validité réduite

Les certificats à période de validité plus courte offrent des avantages significatifs en matière de sécurité. Ils permettent d'adopter plus rapidement de nouvelles technologies en cas de besoin, par exemple, lors d'une transition vers la cryptographie post-quantique (PQC) suite à une éventuelle compromission de RSA par un ordinateur quantique, un scénario d'avenir. Une période de validité plus courte assure un déploiement plus rapide des nouveaux algorithmes sur les serveurs.

De plus, ces certificats limitent les dégâts en cas de compromission de clé. Si une clé privée est exposée, la validité réduite restreint la durée pendant laquelle un certificat compromis peut être exploité à des fins malveillantes, souvent sans que la victime n'en soit consciente.

L'évolution de l'automatisation du cycle de vie des certificats, stimulée par cette exigence croissante, est également cruciale. Les gestionnaires de certificats sont incités à adopter l'automatisation.

Inconvénients

L'un des principaux inconvénients réside dans l'augmentation de la charge administrative. Bien que l'automatisation puisse souvent atténuer ce problème, il existe encore des situations où elle n'est ni simple ni possible. Pour les systèmes qui ne prennent pas encore en charge l'automatisation, il faudra patienter jusqu'à ce que les constructeurs intègrent cette fonctionnalité. D'ici là, les administrateurs devront gérer manuellement les certificats, ce qui représente une charge de travail supplémentaire. Les organisations sans gestion automatisée des certificats risquent d'être submergées par des renouvellements plus fréquents.

Ce défi est particulièrement présent avec les appareils IoT, souvent conçus sans prendre en compte des cycles de vie de certificats plus courts. Sans mise à jour, ces appareils et leurs certificats risquent d'entrer en conflit avec les standards des navigateurs modernes.

N'hésitez pas à nous contacter

La réduction prochaine de la durée de validité des certificats constitue un changement important, mais elle ne devrait pas être vue comme une contrainte. Adoptez dès maintenant l'automatisation de la gestion de vos certificats : plus tôt vous commencerez, plus vous serez préparé lorsque ce changement interviendra !

Article précédent