Let's Encrypt réduira la validité des certificats SSL de 90 à 45 jours d'ici 2028
L'autorité de certification Let's Encrypt réduira la validité des certificats SSL/TLS de 90 jours à seulement 45 jours d'ici 2028 afin de respecter les exigences de base du CA/Browser Forum
Let's Encrypt a annoncé son intention de réduire la période de validité de ses certificats SSL/TLS de 90 jours à seulement 45 jours d'ici 2028. Ce changement signifie que toute personne utilisant des certificats Let's Encrypt devra les renouveler deux fois plus souvent qu'auparavant. Cet ajustement s'inscrit dans le cadre d'une évolution à l'échelle du secteur, puisque toutes les autorités de certification de confiance seront tenues de respecter les exigences de base du CA/Browser Forum. Le principal objectif de ce changement est d'améliorer la sécurité de l'internet. La réduction de la durée de validité des certificats limite le temps dont disposent les pirates pour exploiter un certificat compromis et améliore l'efficacité des processus de révocation des certificats.
Let's Encrypt est une autorité de certification à but non lucratif gérée par l'Internet Security Research Group (ISRG) qui fournit gratuitement des certificats X.509 pour le chiffrement TLS (Transport Layer Security). Il s'agit de la plus grande autorité de certification au monde, utilisée par plus de 700 millions de sites web, l'objectif étant que tous les sites web soient sécurisés et utilisent le protocole HTTPS.
Let's Encrypt est une autorité de certification qui fournit gratuitement des certificats « wildcard » pour les sites Web, permettant des connexions HTTPS pour des millions de domaines et rendant l'ensemble d'Internet vraiment solide. Depuis sa création, Let’s Encrypt envoie des courriels de notification d’expiration de certificat. Pratique pour penser à renouveler son certificat avant qu’il arrive à expiration. Mais l'organisation a annoncé en février 2025 qu'elle mettrait fin à ce service de notification le 4 juin 2025. D'après Let's Encrypt, ce changement lui permettrait d'économiser de l'argent et de protéger la vie privée des utilisateurs qui sont se sont inscrits à ce service.
Récemment, Let's Encrypt a annoncé son intention de réduire la période de validité de ses certificats SSL/TLS de 90 jours à seulement 45 jours d'ici 2028. Ce changement signifie que toute personne utilisant des certificats Let's Encrypt devra les renouveler deux fois plus souvent qu'auparavant. Cet ajustement s'inscrit dans le cadre d'une évolution à l'échelle du secteur, puisque toutes les autorités de certification de confiance seront tenues de respecter les exigences de base du CA/Browser Forum. Ces normes techniques imposent des durées de vie plus courtes pour les certificats, ce qui a un impact sur les organisations et les administrateurs de sites web dans le monde entier.
Le principal objectif de ce changement est d'améliorer la sécurité de l'internet. La réduction de la durée de validité des certificats limite le temps dont disposent les pirates pour exploiter un certificat compromis et améliore l'efficacité des processus de révocation des certificats. À la suite de la modification de l'émission des certificats, Let's Encrypt renforcera également son processus de validation des domaines. La période actuelle de réutilisation des autorisations de 30 jours, qui permet la délivrance de certificats sans revérifier le contrôle du domaine, sera réduite à seulement 7 heures d'ici 2028. Pour aider les utilisateurs à s'adapter, Let's Encrypt mettra en œuvre ces changements progressivement, en plusieurs étapes. Des détails supplémentaires sont disponibles dans l'annonce officielle.
En juillet, Let's Encrypt a émis son premier certificat SSL/TLS pour les adresses IP, marquant une nouvelle capacité pour l'autorité de certification à but non lucratif. Cette fonctionnalité est progressivement mise en place et sera bientôt disponible pour un plus grand nombre d'abonnés. La plupart des utilisateurs actuels peuvent continuer à utiliser des certificats de nom de domaine et n'ont pas besoin de certificats d'adresse IP, mais ceux qui en ont besoin peuvent y accéder immédiatement grâce à l'environnement d'essai.
Voici l'annonce de Let's Encrypt :
Réduction de la durée de vie des certificats à 45 jours
Let's Encrypt va réduire la durée de validité des certificats qu'elle délivre. Nous émettons actuellement des certificats valables 90 jours, qui seront réduits de moitié à 45 jours d'ici à 2028.
Ce changement est effectué en même temps que le reste de l'industrie, comme l'exige le CA/Browser Forum Baseline Requirements, qui définit les exigences techniques que nous devons respecter. Toutes les autorités de certification de confiance comme Let's Encrypt procéderont à des changements similaires. La réduction de la durée de validité des certificats contribue à améliorer la sécurité de l'internet, en limitant la portée des compromis et en rendant les technologies de révocation des certificats plus efficaces.
Nous réduisons également la période de réutilisation de l'autorisation, c'est-à-dire la durée pendant laquelle nous autorisons l'émission de certificats pour un domaine après en avoir validé le contrôle. Elle est actuellement de 30 jours et sera ramenée à 7 heures d'ici à 2028.
Calendrier des changements
Pour minimiser les perturbations, Let's Encrypt mettra en œuvre ce changement en plusieurs étapes. Nous utiliserons les profils ACME pour vous permettre de contrôler le moment où ces changements prendront effet. Ils sont configurés dans votre client ACME. Pour plus d'informations, consultez notre article de blog les annonçant.
Les changements seront déployés dans notre environnement d'essai environ un mois avant les dates de production ci-dessous.
- 13 mai 2026 : Let's Encrypt changera notre profil ACME tlsserver pour émettre des certificats de 45 jours. Ce profil est facultatif et peut être utilisé par les premiers utilisateurs et pour les tests.
- 10 février 2027 : Let's Encrypt changera notre profil ACME classique par défaut pour émettre des certificats de 64 jours avec une période de réutilisation de l'autorisation de 10 jours. Ceci affectera tous les utilisateurs qui n'ont pas opté pour les profils tlsserver ou shortlived (6 jours).
- 16 février 2028 : Nous poursuivrons la mise à jour du profil classique pour délivrer des certificats de 45 jours avec une période de réutilisation des autorisations de 7 heures.
Les utilisateurs de Let's Encrypt verront donc la période de validité réduite du certificat lors de leur prochain renouvellement après ces dates.
Action requise
La plupart des utilisateurs de Let's Encrypt qui émettent automatiquement des certificats n'auront pas à effectuer de changements. Cependant, vous devez vérifier que votre automatisation est compatible avec des certificats ayant des périodes de validité plus courtes.
Pour vous assurer que votre client ACME renouvelle ses certificats à temps, nous vous recommandons d'utiliser ACME Renewal Information (ARI). L'ARI est une fonctionnalité que nous avons introduite pour aider les clients à savoir quand ils doivent renouveler leurs certificats. Consultez la documentation de votre client ACME pour savoir comment activer l'ARI, car elle diffère d'un client à l'autre. Si vous êtes un développeur de client, consultez ce guide d'intégration.
Si votre client ne prend pas encore en charge l'ARI, assurez-vous qu'il fonctionne selon un calendrier compatible avec les certificats de 45 jours. Par exemple, le renouvellement à un intervalle codé en dur de 60 jours ne sera plus suffisant. Il est acceptable de renouveler les certificats aux deux tiers environ de leur durée de vie.
Le renouvellement manuel des certificats n'est pas recommandé, car il devra être effectué plus fréquemment si la durée de vie des certificats est plus courte.
Nous vous recommandons également de vous assurer que vos systèmes disposent d'une surveillance suffisante pour vous alerter de manière appropriée si les certificats ne sont pas renouvelés au moment prévu. Il existe de nombreuses options disponibles, dont certaines sont documentées sur notre page Options de service de surveillance.
Faciliter l'automatisation avec un nouveau type de défi DNS
Pour beaucoup de nos utilisateurs, la partie la plus difficile de l'émission automatique de certificats est de prouver le contrôle du domaine. La réduction de la durée de vie des certificats et de la période de réutilisation des autorisations obligera les utilisateurs à prouver plus souvent qu'ils contrôlent le domaine.
Toutes les méthodes de validation actuelles exigent que le client ACME ait un accès direct à votre infrastructure, soit pour servir le bon jeton HTTP-01, soit pour effectuer la bonne poignée de main TLS-ALPN-01, soit pour mettre à jour le bon enregistrement DNS-01 TXT. Depuis longtemps, les gens veulent un moyen d'exécuter un client ACME sans lui donner accès à ces systèmes sensibles.
C'est pourquoi nous travaillons avec nos partenaires du CA/Browser Forum et de l'IETF pour normaliser une nouvelle méthode de validation appelée DNS-PERSIST-01. Le principal avantage de cette nouvelle méthode est que l'entrée DNS TXT utilisée pour démontrer le contrôle ne doit pas changer à chaque renouvellement.
Cela signifie que vous pouvez configurer l'entrée DNS une seule fois et commencer à renouveler automatiquement les certificats sans avoir besoin d'un moyen de mettre à jour automatiquement le DNS. Cela devrait permettre à un plus grand nombre de personnes d'automatiser le renouvellement de leurs certificats. Cela réduira également la dépendance à l'égard de la réutilisation des autorisations, puisque les enregistrements DNS peuvent rester inchangés sans que le client ACME n'ait à intervenir.
DNS-PERSIST-01 devrait être disponible en 2026, et nous aurons d'autres informations à annoncer prochainement.
Source : Annonce de Let's Encrypt
Et vous ?
Pensez-vous que cette annonce est crédible ou pertinente ?
Voir aussi :
Répondre avec citation
Partager