Certificats TLS : la réduction à 47 jours a commencé
Pourquoi le CLM devient votre priorité opérationnelle Dans un paysage numérique où la confiance est la devise, le certificat TLS demeure le pilier de l’identité et du chiffrement sur le Web. Or, sur ce terrain, une transformation majeure est déjà en marche. Sous l’impulsion du CA/Browser Forum — l’organisme qui réunit autorités de certification et … Continued
Sommaire
Pourquoi le CLM devient votre priorité opérationnelle
Dans un paysage numérique où la confiance est la devise, le certificat TLS demeure le pilier de l’identité et du chiffrement sur le Web. Or, sur ce terrain, une transformation majeure est déjà en marche. Sous l’impulsion du CA/Browser Forum — l’organisme qui réunit autorités de certification et éditeurs de navigateurs — la durée de vie maximale des certificats TLS publics, jusqu’alors de 398 jours, se réduit progressivement selon un calendrier désormais acté :
- Depuis le 15 mars 2026 : 200 jours maximum (en vigueur aujourd’hui).
- À partir du 15 mars 2027 : 100 jours maximum.
- À partir du 15 mars 2029 : 47 jours maximum.
Et ce n’est pas tout : la durée de réutilisation des données de validation de domaine (DCV) suit la même trajectoire, pour tomber à 10 jours en 2029. Concrètement, chaque renouvellement exigera une revalidation du domaine.
Note : ce calendrier concerne uniquement les certificats publics. Vos certificats internes (PKI privée) ne sont pas soumis à ces règles. Cependant, la fenêtre de transition se referme à chaque échéance pour les nouveaux certificats publics émis.
Le risque opérationnel : l’incident invisible
Un certificat expiré n’est pas une simple erreur administrative. C’est une interruption de service immédiate, un message d’alerte visible par tous vos utilisateurs, une dégradation de l’image de marque — et potentiellement une exposition de vos actifs critiques.
Avec des validités annuelles, le renouvellement manuel était une contrainte supportable. Avec un cycle de 47 jours — soit un renouvellement toutes les six semaines environ, par certificat — il devient une impasse opérationnelle. Pour les équipes Infrastructure, DevOps et les RSSI, gérer des centaines, voire des milliers de certificats via des tableurs et des alertes e-mail n’est plus tenable.
La réponse : le Certificate Lifecycle Management (CLM)
Une solution CLM (Certificate Lifecycle Management) mature ne se contente pas de stocker des clés. Elle assure :
- Un inventaire exhaustif : Visualiser l’ensemble de votre parc — certificats publics comme PKI privée — et éliminer les « shadow certificates » non documentés.
- Une surveillance proactive : Détecter les échéances en continu, sans dépendre d’alertes humaines.
- L’automatisation du cycle de vie : Renouveler (via ACME ou API) et déployer automatiquement sur vos serveurs, load balancers et pipelines CI/CD, sans interruption.
Au-delà de la réponse technique, ce dispositif répond aux exigences de gestion des actifs et de maîtrise des risques portées par NIS2 et ISO 27001. C’est un projet de transformation : moins d’incidents, moins de charge pour les équipes et une visibilité retrouvée sur votre écosystème cryptographique.
Pourquoi vous faire accompagner par I-TRACING ?
Le choix d’une solution CLM (INGroupe, Keyfactor, EverTrust, CyberArk, etc.) dépend de votre écosystème. Notre valeur ajoutée réside dans :
- L’audit et l’inventaire initial de votre parc.
- L’intégration sur-mesure dans vos workflows techniques et chaînes DevOps.
- La configuration des automatismes pour une continuité sans intervention.
- Le MCO/MCS pour assurer la pérennité de votre infrastructure de confiance.
La première échéance est derrière nous. La prochaine — 100 jours — arrive le 15 mars 2027. Les organisations qui structurent leur gouvernance maintenant aborderont 2029 sereinement ; les autres accumuleront une dette opérationnelle à chaque cycle.
22 juin 2026
