Apple publie un projet de vote visant à réduire la durée de vie des certificats à 47 jours
*Cet article de blog a été mis à jour le 14/04/2025 sur la base du vote par scrutin du 11/04/2025 qui a confirmé la nouvelle durée de vie des certificats.
Le 9 octobre 2024, lors de la deuxième journée de la réunion en présentiel du CA/Browser Forum d'automne, Apple a révélé un projet de scrutin pour discussion sur GitHub, proposant une réduction progressive de la durée maximale des certificats SSL/TLS publics. Le 11 avril 2025, le vote proposé par Apple, parrainé par Sectigo, a été adopté sans aucun vote contre.
Cette approche progressive réduira la durée de vie des certificats au cours des quatre prochaines années à 47 jours d'ici 2029, et comprend également une réduction graduelle de la période de réutilisation de la validation du contrôle de domaine (DCV), nécessitant à terme une revalidation tous les 10 jours.
Une tendance à la réduction de la durée de vie des certificats numériques qui s'accélère
Cette décision d'Apple fait suite à l'annonce faite par Google dans sa feuille de route « Moving Forward, Together » de son intention de réduire la validité maximale des certificats SSL/TLS publics de 398 jours à 90 jours, dans le cadre d'une future mise à jour de sa politique ou d'une proposition de vote du CA/B Forum.
L'adoption du vote par appel nominal par Apple et la proposition de Google de réduire la durée de validité des certificats à 90 jours envoient un message clair à l'industrie, les deux plus grands navigateurs plaidant en faveur d'une réduction de la durée de validité des certificats numériques.
Dans cette nouvelle ère de la durée de validité des certificats, voici ce à quoi les entreprises peuvent s'attendre :
Pourquoi ces chiffres sont-ils ce qu'ils sont ?
Les durées de vie des certificats publics proposées par Apple peuvent sembler complexes à première vue, mais elles suivent une logique simple : durée idéale du certificat + fenêtre de renouvellement anticipé :
- 200 jours = 180 jours (6 mois) + 20 jours de renouvellement anticipé
- 100 jours = 90 jours (3 mois) + 10 jours de renouvellement anticipé
- 47 jours = 42 jours (6 semaines) + 5 jours de renouvellement anticipé
Bien qu'il y ait une certaine logique à cela, la diminution progressive de la durée de vie des certificats constituera sans aucun doute un casse-tête pour les équipes de sécurité informatique débordées, qui devront jongler avec un grand nombre de certificats expirant à des moments différents. Il est facile de prédire que les entreprises qui utilisent des méthodes manuelles pour suivre et contrôler les expirations de certificats se retrouveront bientôt dépassées par l'évolution rapide de la durée de vie des certificats. Après tout, ce qu'Apple suggère, c'est que les cycles de vie des certificats changent désormais chaque année !
En plus de la réduction de la durée maximale des certificats, la période de réutilisation du DCV va également diminuer comme suit, si la proposition est adoptée :
Date | Durée maximale du certificat | Période de réutilisation du DCV |
3/15/26 | 200 jours | 200 jours |
3/15/27 | 100 jours | 100 jours |
3/15/28 | 100 jours | 10 jours |
3/15/29 | 47 jours | 10 jours |
Il est temps d'automatiser la gestion du cycle de vie des certificats
Cette proposition souligne l'importance cruciale pour les entreprises de toutes tailles d'envisager sérieusement et de mettre en œuvre une gestion entièrement automatisée du cycle de vie des certificats (CLM). Il est vraiment urgent que les organisations adoptent une approche de renouvellement des certificats qui permette de ne pas modifier les fenêtres de renouvellement et de ne pas provoquer d'interruptions ou de temps d'arrêt inutiles.
Sectigo s'engage pleinement à soutenir ces initiatives depuis les navigateurs. Notre décision de sponsoriser cette dernière proposition de vote est un témoignage de notre dévouement à l'intégrité de l'écosystème WebPKI et à la sécurité de nos clients. Sectigo Certificate Manager (SCM) est la plateforme de gestion du cycle de vie des certificats la plus complète du marché, conçue pour répondre de manière proactive aux défis SSL de demain. Planifiez une démo dès aujourd'hui pour découvrir comment votre entreprise peut bénéficier de SCM, ou commencez un essai gratuit.