Garder un œil sur l'horloge TLS : Dates clés du cycle de vie des certificats à connaître
Le passage à une validité des certificats SSL/TLS de 6 mois (199 jours) à partir du 15 mars 2026 marque le début d'une accélération rapide vers des cycles de vie plus courts, qui atteindront 46 jours d'ici 2029. À mesure que les volumes de renouvellement se multiplient, les processus manuels échoueront sous la pression, exposant les lacunes en matière de visibilité, de propriété et d'automatisation. Les entreprises doivent adopter la gestion du cycle de vie des certificats (CLM) pour automatiser la découverte, l'émission et le renouvellement à grande échelle, en garantissant la résilience, en évitant les pannes et en se préparant à un avenir façonné par des opérations de certificats continues et des demandes post-quantiques.
Table des matières
- Pourquoi votre équipe doit se préparer dès aujourd'hui
- 2026 : La fin de l'ère des certificats d'un an
- 2027 : Accélération et mort définitive des certificats d'un an
- 2029 : les certificats deviennent un événement mensuel
- 2030 et au-delà : Des durées de vie courtes, la pression quantique et ce qui va suivre
- Que dois-je faire aujourd'hui ?
Pourquoi votre équipe doit se préparer dès aujourd'hui
Le remplacement des certificats à grande échelle n'est plus un scénario "post-quantique". Alors que l'industrie passe de renouvellements annuels à des cycles mesurés en mois, puis en semaines, chaque organisation sera poussée vers une émission, une validation et un déploiement plus fréquents. Cela signifie que la capacité à remplacer les certificats en masse (rapidement, en toute sécurité et sans interruption de service) devient une exigence de base.
Les durées de vie plus courtes compriment tout : la précision de l'inventaire, les approbations, la validation du contrôle de domaine (DCV), les fenêtres de changement et les flux de travail de déploiement. Lorsque les durées de vie tombent à 199 jours, puis à 99 jours, puis à 46 jours, le volume de renouvellement double (2x), puis double à nouveau (4x), puis triple (12x). Toute lacune en matière de découverte, de propriété ou d'automatisation des processus se traduit immédiatement par des renouvellements ratés, des points de terminaison expirés et des travaux d'urgence.
La gestion du cycle de vie des certificats (CLM) résout le problème du "remplacement en masse" en transformant le travail sur les certificats en un système contrôlé et reproductible. Grâce à la gestion du cycle de vie des certificats, les équipes peuvent découvrir en permanence les certificats, normaliser les politiques, automatiser l'émission/le renouvellement, orchestrer les déploiements et prouver la conformité. Ainsi, lorsque les durées de vie se réduisent (ou lorsqu'un changement urgent de clé ou d'algorithme est nécessaire), vous pouvez faire pivoter les certificats entre les environnements en quelques heures ou quelques jours au lieu de vous démener pendant des semaines.
Vous trouverez ci-dessous un calendrier des dates les plus importantes que vous devez avoir à l'esprit, les raisons pour lesquelles elles sont importantes et le type d'impact auquel vous pouvez vous attendre.
2026 : La fin de l'ère des certificats d'un an
12 mars 2026 : La fin de Sectigo
Le 12 mars marque le dernier jour où Sectigo émettra des certificats TLS publics. La date a été délibérément choisie pour tomber sur un jour de semaine, donnant aux organisations une petite marge de manœuvre avant que les changements plus larges de l'industrie ne prennent effet.
Ce jour-là :
- Sectigo arrête d'émettre des certificats TLS publics d'une durée de 1 an/398 jours.
- La réutilisation du DCV est réduite d'un an à 198 jours.
14 mars 2026 : Dernier jour de "Business as Usual" pour l'ensemble du secteur
C'est le dernier jour où une autorité de certification peut fonctionner avec le modèle de durée de vie des certificats de 398 jours/1 an.
Ce jour-là :
- Dernier jour où une autorité de certification peut émettre un certificat de 398 jours.
- Dernier jour pour réutiliser un DCV pendant plus de 198 jours
- Dernier jour pour réutiliser un OV pendant plus de 366 jours
Si vous avez besoin d'un dernier certificat à longue durée de vie ou d'une réutilisation de validation étendue, c'est la date limite.
15 mars 2026 : entrée en vigueur du changement de politique
Le 15 mars est la date à laquelle les nouvelles règles entrent officiellement en vigueur.
Ce jour-là :
- La durée de vie maximale des certificats TLS est ramenée à 199 jours
- La réutilisation maximale du DCV est ramenée à 199 jours
- La réutilisation des OV est plafonnée à 366 jours.
Nos experts s'attendent à un pic important de revalidation des VCD. C'est à ce moment-là que les lacunes en matière d'automatisation commencent à se faire sentir. Les équipes qui s'appuient encore sur des flux de travail manuels ou peu fréquents pour la revalidation des DCV le ressentiront rapidement.
30 septembre 2026 : le "jour du bilan"
Six mois plus tard, la réalité s'impose. Les premiers certificats de 199 jours commencent à expirer, et nous commencerons à voir les effets de ces durées de vie plus courtes en temps réel pour toutes les entreprises non préparées.
Ce jour-là :
- Le volume de renouvellement double effectivement
Il s'agit du premier grand test de résistance opérationnelle du nouveau cycle de vie. Si vous n'étiez pas préparé avant, vous le remarquerez certainement maintenant.
2027 : Accélération et mort définitive des certificats d'un an
14 mars 2027 : Les derniers certificats de 199 jours
Ce jour-là :
- C'est le dernier jour où une AC peut
- émettre un certificat de 199 jours
- Réutiliser un VCD pour plus de 99 jours
Ce jour marque également le début de la dernière fenêtre d'expiration pour les anciens certificats d'un an.
15 mars 2027 : Bienvenue aux certificats de 99 jours
Un an après la mise en œuvre de la durée de vie des certificats de 199 jours, nous assistons à une nouvelle baisse, conformément au mandat du CA/Browser Forum.
Ce jour-là :
- La durée de vie maximale des certificats passe à 99 jours
- La réutilisation du VCD passe à 99 jours
Un autre pic (moins important) de revalidation des VCD est attendu. À ce stade, les opérations trimestrielles sur les certificats deviennent obligatoires et non plus facultatives.
16 avril 2027 : Les certificats d'un an disparaissent complètement
C'est le dernier jour possible où un certificat de 398 jours bénéficiant de droits acquis peut encore être actif. Après le 16 avril :
- Les certificats TLS publics d'un an n'existent plus nulle part sur l'internet.
27 juin 2027 : la vague d'expiration de 99 jours
Les premiers certificats de 99 jours (émis le 15 mars) commencent à expirer et le volume de renouvellement double à nouveau. À la mi-2027, le trafic de renouvellement est déjà plusieurs fois supérieur à ce que la plupart des organisations connaissent aujourd'hui.
29 septembre 2027 : fin des certificats de 6 mois
À la fin du mois de septembre, nous assisterons aux mêmes répercussions qu'avec les certificats de 199 jours. Des expirations partout pour ceux qui ne sont pas automatisés.
Ce jour-là :
- Dernier jour possible d'existence d'un certificat de 199 jours
- Les certificats TLS de six mois disparaissent complètement
À partir de maintenant, tout est de trois mois ou moins.
2029 : les certificats deviennent un événement mensuel
14 mars 2029 : Les derniers certificats de 99 jours
Le 14 mars est le dernier jour des certificats plurimensuels. C'est le dernier jour où une AC peut
- émettre un certificat de 99 jours
- Réutiliser le VCC pendant plus de 8 jours environ.
C'est également à ce moment que la cadence du DCV passe de trimestrielle... à hebdomadaire.
15 mars 2029 : Le monde des 46 jours
Ce jour-là :
- La durée de vie maximale des certificats est ramenée à 46 jours
- Le renouvellement mensuel des certificats devient la norme
- La réutilisation du DCV est effectivement hebdomadaire
Tout processus manuel restant à ce stade sera un point de rupture.
30 avril 2029 : la charge de renouvellement explose
À ce stade, les certificats ne sont plus une tâche d'arrière-plan, mais un mouvement opérationnel constant.
Ce jour-là :
- Les premiers certificats de 46 jours commencent à expirer
- La charge de travail liée au renouvellement atteint environ 12 fois les niveaux actuels.
2030 et au-delà : Des durées de vie courtes, la pression quantique et ce qui va suivre
D'ici 2030, l'industrie fonctionnera par défaut avec des cycles de vie des certificats très courts. Cela favorise non seulement l'hygiène de la sécurité, mais aussi la résilience dans un monde qui évolue plus vite que la cryptographie ne l'a fait par le passé.
L'informatique quantique joue un rôle important à cet égard. Bien que les attaques quantiques pratiques à grande échelle contre la cryptographie à clé publique ne se produisent pas avant des années, le délai de réponse est important. Des durées de vie des certificats plus courtes réduisent considérablement le rayon d'action des percées cryptographiques, des clés compromises ou des transitions algorithmiques d'urgence.
Dans un avenir post-quantique :
- Les certificats pourraient devoir être remplacés en masse dans un délai très court.
- La crypto-agilité n'est possible que grâce à l'automatisation.
- L'émission hebdomadaire, voire à la demande, pourrait devenir normale.
Le travail imposé aujourd'hui aux organisations (automatisation, visibilité des stocks, efficacité des DCV et orchestration des renouvellements) jette les bases de cet avenir.
Que dois-je faire aujourd'hui ?
La durée de vie des certificats modifie fondamentalement le mode de fonctionnement des équipes. Ce qui était auparavant une tâche annuelle ou trimestrielle devient un système continu qui doit évoluer, se rétablir rapidement et s'adapter rapidement.
Les dates ci-dessus sont autant de jalons dans l'industrie que de signaux d'alerte des changements à venir.
La voie à suivre est simple. Si vous ne l'avez pas encore fait :
- Automatiser la délivrance et le renouvellement de bout en bout
- Éliminer le DCV manuel dans la mesure du possible
- Traiter les certificats comme une infrastructure et non comme de la paperasserie
L'horloge tourne et le rythme ne fera que s'accélérer à partir de maintenant.