Let's Encrypt a annoncé son intention de réduire la période de validité de ses certificats SSL/TLS de 90 jours à seulement 45 jours d'ici 2028. Ce changement signifie que toute personne utilisant des certificats Let's Encrypt devra les renouveler deux fois plus souvent qu'auparavant. Cet ajustement s'inscrit dans le cadre d'une évolution à l'échelle du secteur, puisque toutes les autorités de certification de confiance seront tenues de respecter les exigences de base du CA/Browser Forum. Le principal objectif de ce changement est d'améliorer la sécurité de l'internet. La réduction de la durée de validité des certificats limite le temps dont disposent les pirates pour exploiter un certificat compromis et améliore l'efficacité des processus de révocation des certificats.Let's Encrypt est une autorité de certification à but non lucratif gérée par l'Internet Security Research Group (ISRG) qui fournit gratuitement des certificats X.509 pour le chiffrement TLS (Transport Layer Security). Il s'agit de la plus grande autorité de certification au monde, utilisée par plus de 700 millions de sites web, l'objectif étant que tous les sites web soient sécurisés et utilisent le protocole HTTPS.
Let's Encrypt est une autorité de certification qui fournit gratuitement des certificats « wildcard » pour les sites Web, permettant des connexions HTTPS pour des millions de domaines et rendant l'ensemble d'Internet vraiment solide. Depuis sa création, Let’s Encrypt envoie des courriels de notification d’expiration de certificat. Pratique pour penser à renouveler son certificat avant qu’il arrive à expiration. Mais l'organisation a annoncé en février 2025 qu'elle mettrait fin à ce service de notification le 4 juin 2025. D'après Let's Encrypt, ce changement lui permettrait d'économiser de l'argent et de protéger la vie privée des utilisateurs qui sont se sont inscrits à ce service.
Récemment, Let's Encrypt a annoncé son intention de réduire la période de validité de ses certificats SSL/TLS de 90 jours à seulement 45 jours d'ici 2028. Ce changement signifie que toute personne utilisant des certificats Let's Encrypt devra les renouveler deux fois plus souvent qu'auparavant. Cet ajustement s'inscrit dans le cadre d'une évolution à l'échelle du secteur, puisque toutes les autorités de certification de confiance seront tenues de respecter les exigences de base du CA/Browser Forum. Ces normes techniques imposent des durées de vie plus courtes pour les certificats, ce qui a un impact sur les organisations et les administrateurs de sites web dans le monde entier.
Le principal objectif de ce changement est d'améliorer la sécurité de l'internet. La réduction de la durée de validité des certificats limite le temps dont disposent les pirates pour exploiter un certificat compromis et améliore l'efficacité des processus de révocation des certificats. À la suite de la modification de l'émission des certificats, Let's Encrypt renforcera également son processus de validation des domaines. La période actuelle de réutilisation des autorisations de 30 jours, qui permet la délivrance de certificats sans revérifier le contrôle du domaine, sera réduite à seulement 7 heures d'ici 2028. Pour aider les utilisateurs à s'adapter, Let's Encrypt mettra en œuvre ces changements progressivement, en plusieurs étapes. Des détails supplémentaires sont disponibles dans l'annonce officielle.
En juillet, Let's Encrypt a émis son premier certificat SSL/TLS pour les adresses IP, marquant une nouvelle capacité pour l'autorité de certification à but non lucratif. Cette fonctionnalité est progressivement mise en place et sera bientôt disponible pour un plus grand nombre d'abonnés. La plupart des utilisateurs actuels peuvent continuer à utiliser des certificats de nom de domaine et n'ont pas besoin de certificats d'adresse IP, mais ceux qui en ont besoin peuvent y accéder immédiatement grâce à l'environnement d'essai.
Voici l'annonce de Let's Encrypt :
Réduction de la durée de vie des certificats à 45 jours
Let's Encrypt va réduire la durée de validité des certificats qu'elle délivre. Nous émettons actuellement des certificats valables 90 jours, qui seront réduits de moitié à 45 jours d'ici à 2028.
Ce changement est effectué en même temps que le reste de l'industrie, comme l'exige le CA/Browser Forum Baseline Requirements, qui définit les exigences techniques que nous devons respecter. Toutes les autorités de certification de confiance comme Let's Encrypt procéderont à des changements similaires. La réduction de la durée de validité des certificats contribue à améliorer la sécurité de l'internet, en limitant la portée des compromis et en rendant les technologies de révocation des certificats plus efficaces.
Nous réduisons également la période de réutilisation de l'autorisation, c'est-à-dire la durée pendant laquelle nous autorisons l'émission de certificats pour un domaine après en avoir validé le contrôle. Elle est actuellement de 30 jours et sera ramenée à 7 heures d'ici à 2028.
Calendrier des changements
Pour minimiser les perturbations, Let's Encrypt mettra en œuvre ce changement en plusieurs étapes. Nous utiliserons les profils ACME pour vous permettre de contrôler le moment où ces changements prendront effet. Ils sont configurés dans votre client ACME. Pour plus d'informations, consultez notre article de blog les annonçant.
Les changements seront déployés dans notre environnement d'essai environ un mois avant les dates de production ci-dessous.
- 13 mai 2026 : Let's Encrypt changera notre profil ACME tlsserver pour émettre des certificats de 45 jours. Ce profil est facultatif et peut être utilisé par les premiers utilisateurs et pour les tests.
- 10 février 2027 : Let's Encrypt changera notre profil ACME classique par défaut pour émettre des certificats de 64 jours avec une période de réutilisation de l'autorisation de 10 jours. Ceci affectera tous les utilisateurs qui n'ont pas opté pour les profils tlsserver ou shortlived (6 jours).
- 16 février 2028 : Nous poursuivrons la mise à jour du profil classique pour délivrer des certificats de 45 jours avec une période de réutilisation des autorisations de 7 heures.
Les utilisateurs de Let's Encrypt verront donc la période de validité réduite du certificat lors de leur prochain renouvellement après ces dates.
Action requise
La plupart des utilisateurs de Let's Encrypt qui émettent automatiquement des certificats n'auront pas à effectuer de changements. Cependant, vous devez vérifier que votre automatisation est compatible avec des certificats ayant des périodes de validité plus courtes.
Pour vous assurer que votre client ACME renouvelle ses certificats à temps, nous vous recommandons d'utiliser ACME Renewal Information (ARI). L'ARI est une fonctionnalité que nous avons introduite pour aider les clients à savoir quand ils doivent renouveler leurs certificats. Consultez la documentation de votre client ACME pour savoir comment activer l'ARI, car elle diffère d'un client à l'autre. Si vous êtes un développeur de client, consultez ce guide d'intégration.
Si votre client ne prend pas encore en charge l'ARI, assurez-vous qu'il fonctionne selon un calendrier compatible avec les certificats de 45 jours. Par exemple, le renouvellement à un intervalle codé en dur de 60 jours ne sera plus suffisant. Il est acceptable de renouveler les certificats aux deux tiers environ de leur durée de vie.
Le renouvellement manuel des certificats n'est pas recommandé, car il devra être effectué plus fréquemment si la durée de vie des certificats est plus courte.
Nous vous recommandons également de vous assurer que vos...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.