Le CA/Browser Forum a approuvé de nouvelles règles concernant les exigences de base TLS qui réduiront progressivement la durée de validité des certificats SSL/TLS ainsi que la période de réutilisation des données de validation des domaines.
Ces changements conduiront à une durée de validité des certificats de 47 jours d’ici mars 2029, avec les premiers impacts visibles à partir de février–mars 2026. Ils s’appliqueront à toutes les principales autorités de certification, notamment DigiCert et Sectigo.
De plus, de nouvelles exigences de validation DNSSEC s’appliqueront aux domaines pour lesquels DNSSEC est activé. Une configuration DNSSEC incorrecte peut empêcher l’émission ou la réémission de certificats.
Calendrier sectoriel de la durée de vie des certificats
Le calendrier suivant s’applique à tous les certificats TLS (SSL) publics :
| Date d’entrée en vigueur | Durée de vie maximale du certificat | Réutilisation de la validation domaine/IP |
|---|---|---|
| À partir du 24 février 2026 (DigiCert) | 199 jours | 199 jours |
| À partir du 14 mars 2026 (Sectigo) | 199 jours | 199 jours |
| À partir du 15 mars 2027 | 100 jours | 100 jours |
| À partir du 15 mars 2029 | 47 jours | 10 jours |
Notes importantes
- Les certificats émis avant le 24 février 2026 (DigiCert) ou avant le 12 mars 2026 (Sectigo) resteront valides jusqu’à leur expiration.
- À partir de ces dates, les autorités de certification ne pourront plus émettre ni réémettre des certificats pour une durée supérieure à 199 jours, quelle que soit la durée de la commande.
Durée de la commande vs durée du certificat
En raison de ces nouvelles limites, la durée de votre commande et la durée de validité de votre certificat peuvent ne plus être identiques.
Exemple : Une commande de 365 jours
- Vous recevrez un premier certificat avec la durée maximale autorisée au moment de l’émission (199 jours).
- Avant l’expiration de ce certificat, un nouveau certificat sera émis couvrant les 166 jours restants de votre commande. Cette réémission est effectuée sans frais supplémentaires.
- Les navigateurs vérifient uniquement que le certificat installé est valide au moment de l’utilisation.
Processus de réémission des certificats
Les certificats couvrant les 166 jours restants sont automatiquement réémis en utilisant vos informations existantes. Vous serez informé(e) 4 semaines à l’avance de la prochaine réémission.
Si vous souhaitez modifier la CSR ou les informations du certificat, vous devrez le faire avant la date limite indiquée dans l’e-mail de notification.
Une semaine avant l’expiration du certificat de 199 jours, vous recevrez un nouveau certificat couvrant la période restante. Si aucune modification n’est demandée, le certificat de remplacement sera automatiquement émis afin d’éviter toute interruption de service.
Réémission manuelle du certificat
Vous pouvez également réémettre manuellement votre certificat via le portail BrandShelter :
- Connectez-vous au portail BrandShelter
- Allez à la rubrique Certificats SSL depuis la barre de menu
- Sélectionnez le certificat concerné
-
Cliquez sur le menu
(icône burger) à côté du certificat
- Cliquez sur Réémettre
Réémission manuelle anticipée – Calcul de la validité
Si vous réémettez manuellement le certificat avant l’expiration du certificat de 199 jours :
- Le nouveau certificat devient valide à partir de la date de réémission.
- Il couvrira la période restante de la commande, ainsi que toute durée non utilisée du certificat actuel, dans la limite maximale de 199 jours.
Exemple : Si vous réémettez au 169e jour du certificat de 199 jours, le nouveau certificat couvrira :
- Les 166 jours restants de la commande
- Plus les 30 jours non utilisés du certificat initial
Cela offre une flexibilité supplémentaire si une réémission anticipée est nécessaire pour des raisons opérationnelles.
Modifications de la réutilisation de la validation des domaines (DCV)
DigiCert – À partir du 24 février 2026
Nouveaux domaines :
Tout domaine validé à partir du 24 février 2026 pourra être réutilisé pendant 199 jours. Une nouvelle validation sera nécessaire tous les 199 jours (au lieu de 397 jours actuellement).
Domaines existants :
- Les validations effectuées au plus tard le 9 août 2025 expireront immédiatement le 24 février 2026.
- Les validations effectuées à partir du 10 août 2025 resteront valides jusqu’au 24 février 2026, puis expireront après 199 jours.
Sectigo – À partir du 12 mars 2026
Sectigo appliquera une limite de réutilisation de la validation de domaine de 199 jours à compter du 12 mars 2026. Après cette date, toute validation de domaine plus ancienne que la période autorisée devra être renouvelée avant l’émission ou la refabrication d’un certificat.
→ Ce que cela signifie pour vous
- Aucun certificat existant ne sera révoqué
- Vous devez vous préparer à revalider vos domaines tous les 199 jours
- Il est fortement recommandé de vérifier régulièrement les dates d’expiration de vos validations de domaine
- La méthode de validation dépendra de votre configuration actuelle (DNS, HTTPS ou e-mail)
Pour toute assistance, contactez votre Account Manager dédié ou notre équipe support.
Exigence de validation DNSSEC
À partir du 3 mars 2026, DigiCert appliquera des contrôles de validation DNSSEC pour les domaines sur lesquels DNSSEC est activé, dans le cadre de la validation du contrôle de domaine (DCV) et de la vérification CAA.
Si le DNSSEC est activé pour votre domaine :
- DigiCert vérifiera la chaîne DNSSEC lors de l’émission ou de la réémission d’un certificat.
- Une mauvaise configuration DNSSEC (par exemple des signatures expirées ou des enregistrements DS non concordants) peut empêcher l’émission ou la réémission d’un certificat.
Actuellement, cette exigence s’applique uniquement aux certificats DigiCert. D’autres autorités de certification pourraient introduire des exigences similaires à l’avenir.
Les domaines sans DNSSEC activé ne sont pas concernés par cette exigence.
Que faire si DNSSEC est mal configuré ?
Si le DNSSEC est activé sur votre domaine et que l’émission du certificat échoue en raison d’erreurs de validation DNSSEC, la configuration DNSSEC doit probablement être actualisée.
Dans la plupart des cas, cela peut être résolu en régénérant les signatures DNSSEC dans BrandShelter :
- Connectez-vous au portail BrandShelter et ouvrez Domaine → Portefeuille.
- Sélectionnez le domaine concerné.
- Cliquez sur DNSSEC dans la barre d’actions en bas de la page, puis choisissez Désactiver DNSSEC.
- Répétez l’opération et choisissez Activer DNSSEC afin de régénérer les signatures DNSSEC.
Après avoir effectué les modifications, veuillez attendre 48 à 72 heures pour la propagation DNS avant de demander ou de réémettre un certificat.
Comment vérifier que DNSSEC est correctement configuré
Après la période de propagation :
- Dans la barre de navigation supérieure, ouvrez Domain Tools et sélectionnez Dig.
- Saisissez votre nom de domaine puis cliquez sur Dig.
Résultat attendu
- status: NOERROR – DNSSEC fonctionne correctement.
- status: SERVFAIL ou des messages tels que RRSIGs Missing – DNSSEC est toujours mal configuré.
Si la validation DNSSEC échoue toujours après la période de propagation, veuillez contacter notre équipe pour obtenir de l’assistance.
FAQ
Les certificats SSL deviennent-ils plus chers ?
Non. Il n’y a aucune augmentation de prix.
Pourquoi la durée de validité des certificats change-t-elle ?
- Les durées plus courtes améliorent la sécurité en limitant l’exposition en cas de compromission
- Améliorent la conformité
- Réduisent l’utilisation de données de validation de domaine à long terme
- Renforcent les bonnes pratiques de sécurité grâce à une rotation plus fréquente des certificats
Pourquoi mon certificat expire-t-il avant la fin de ma commande ?
Les règles de l’industrie limitent la durée des certificats. Les commandes plus longues sont donc réalisées via plusieurs réémissions.
Devrai-je revalider mes domaines plus souvent ?
Oui. La période de réutilisation de la validation sera réduite à 199 jours en 2026, puis continuera de diminuer pour atteindre 10 jours d’ici 2029.
Les certificats existants sont-ils concernés ?
Non. Les certificats émis avant les dates de 2026 resteront valides jusqu’à leur expiration.
Puis-je acheter un certificat uniquement pour la durée de validité du certificat plutôt que pour 365 jours ?
Pas pour le moment. Afin de simplifier la transition, les certificats sont actuellement proposés avec une période de couverture de 365 jours. Des options plus courtes pourront être proposées à l’avenir.