Bonjour à tous, En ce lundi de vacances de la Toussaint – parce que oui, même en vacances, on pense aux certifs –, je vous propose un petit billet d’humeur sur un sujet qui va nous occuper dans les années à venir : la durée de vie des certificats SSL/TLS. Spoiler : ça va piquer, mais c’est (globalement) une bonne nouvelle. Enfin, presque. Disons que c’est un demi-rognotudju.
Il y a quelques mois, le CA/Browser Forum (le club très select des autorités de certification et des éditeurs de navigateurs, avec Apple, Google, Mozilla et consorts) a décidé de renforcer la sécurité du web. en réduisant drastiquement la durée de validité maximale des certificats SSL/TLS. Actuellement fixée à environ 400 jours elle va passer à 200 jours en 2026, puis 100 jours en 2027, et enfin 47 jours en 2029. Autant dire qu’à côté, les 3 mois de Let’s Encrypt vont bientôt nous sembler une éternité.
Objectivement, cette décision va dans le bon sens :
- Moins de temps pour qu’un certificat compromis fasse des dégâts.
- Une incitation forte à automatiser les renouvellements (et ça, c’est bien).
- Une agilité accrue pour adopter de nouvelles normes de sécurité, surtout avec la menace quantique qui pointe son nez. Bref, c’est la continuation logique de ce que Let’s Encrypt a initié il y a quelques années : banaliser l’usage des certificats, les rendre éphémères, et forcer tout le monde à se bouger le c…l pour les gérer correctement.
Pourquoi c’est aussi un peu la galère ? Parce que, soyons honnêtes :
- Ça va faire un chantier de plus dans nos todo lists déjà bien chargées.
- Les scripts maison vont devoir suivre : Ansible, PowerShell, Bash, Python… préparez vos environnements, on va en écrire, des lignes de code (et pour le coup, merci l’IA générative ^^)
- Les vieux systèmes non automatisables (oui, ceux qu’on a tous dans un coin) vont nous faire grincer des dents. “Ah, ce serveur legacy qui ne supporte que les certifs manuels ? Ben maintenant, tu renew toutes les 6 semaines, mon pote.”
- Les alertes et la surveillance vont devenir encore plus critiques. Un oubli, et hop, un service en panne parce qu’un certificat a expiré.
Bref … ROGNOTUDJU, quand même, un peu quoi …
