Vous vous souvenez quand les certificats SSL/TLS avaient une durée de validité de trois ans ? Cette époque est révolue depuis longtemps. Au cours de la dernière décennie, nous avons vu la durée de validité des certificats passer de plusieurs années à quelques mois, et aujourd'hui, on parle de certificats qui ne durent que 47 jours (soit moins de sept semaines !). À première vue, cela peut sembler être un casse-tête pour les équipes informatiques, mais la réalité est bien plus complexe. Il s'agit de l'évolution de la sécurité, de la préparation à l'ère quantique et du développement de l'agilité dont nous avons besoin pour un avenir que nous ne pouvons pas entièrement prédire.
Quel est donc le rapport entre une période de validité des certificats de 47 jours et la cryptographie post-quantique ? Beaucoup plus que vous ne le pensez.
Voyons pourquoi la réduction de la durée de validité des certificats est importante, comment elle est liée à la préparation à l'ère quantique et pourquoi les organisations doivent plus que jamais adopter la crypto-agilité.
Pourquoi la durée de validité des certificats SSL/TLS est-elle raccourcie ?
En avril 2025, le CA/Browser Forum (CA/B), l'organisme qui définit les exigences de base pour les certificats SSL/TLS, a voté en faveur d'une réduction progressive de la durée de validité à 47 jours d'ici 2029. La logique est simple : une durée de validité plus courte réduit les risques. Si un certificat ou une clé est compromis, une durée de vie plus courte limite la fenêtre d'exposition aux dommages.
“... au cours des 10 à 20 dernières années, cela a été l'une des principales menaces pour l'ensemble de l'écosystème PKI. En effet, chaque fois qu'un certificat était compromis, qu'il s'agisse d'une autre faille de sécurité ou d'un problème de conformité, les navigateurs et les autorités de certification étaient toujours confrontés au fait que les sites web qui utilisaient ces certificats n'étaient pas en mesure de les remplacer rapidement. » – Arvid Vermote.
Historiquement, les organisations étaient satisfaites des certificats à longue durée de vie, car ils nécessitaient moins d'efforts opérationnels. Mais une longue validité a un coût : moins de flexibilité et une plus grande exposition en cas de problème. Les certificats à courte durée de vie, comme ceux d'une validité de 47 jours, encouragent les organisations à automatiser le cycle de vie de leurs certificats. Au lieu de renouvellements manuels chaque année, l'automatisation garantit des mises à jour fluides et continues.
Entrez dans l'ère de la cryptographie post-quantique (PQC)
L'informatique quantique est à l'horizon depuis des années, mais la course à la construction de machines quantiques puissantes s'accélère. Si les ordinateurs quantiques actuels ne parviennent pas encore à déchiffrer le RSA, les experts s'accordent à dire que ce n'est qu'une question de temps. Une fois que les ordinateurs quantiques à grande échelle seront une réalité, les algorithmes cryptographiques traditionnels tels que le RSA et l'ECC ne seront plus sûrs. Leurs algorithmes, qui sous-tendent le protocole SSL/TLS, ne résisteront pas aux attaques quantiques.
La cryptographie post-quantique consiste à développer des méthodes de chiffrement suffisamment puissantes pour résister aux capacités quantiques. Mais voici le défi : la migration ne se fera pas du jour au lendemain. Lorsque les nouvelles normes PQC seront finalisées par le NIST et adoptées à l'échelle mondiale, tous les certificats numériques et toutes les paires de clés devront être modifiés. C'est là qu'intervient la crypto-agilité.
Crypto-agilité et rôle des certificats SSL/TLS de 47 jours
La crypto-agilité signifie que vos systèmes et processus peuvent s'adapter rapidement aux nouvelles normes cryptographiques. Si votre organisation utilise encore des certificats à longue durée de vie, la migration vers la PQC sera un cauchemar logistique. Imaginez devoir remplacer tous les certificats de tous les systèmes de votre infrastructure lorsque l'horloge quantique commencera à tourner.
La réduction de la durée de vie des certificats fait de l'agilité la norme. Avec des certificats de 47 jours, les organisations s'habituent à des rotations rapides et automatisées. Lorsque le PQC devient une exigence, le remplacement des algorithmes devient un processus fluide et routinier plutôt qu'un événement critique. Être crypto-agile signifie que vous serez prêt pour le changement, et comme il n'existe pas encore d'algorithmes résistants au quantique, les organisations doivent se préparer à effectuer rapidement le remplacement.
Considérez cela comme un exercice de flexibilité dans votre infrastructure. Une durée de validité plus courte des certificats signifie :
- Une adaptation rapide : lorsque les algorithmes changent, vos systèmes peuvent s'ajuster sans temps d'arrêt.
- Une exposition réduite : si une clé est compromise, les dommages sont minimes.
- Une automatisation par nécessité : les durées de vie courtes rendent la gestion manuelle impossible, ce qui oblige à la modernisation
Il s'agit d'automatisation, mais aussi d'état d'esprit. Les organisations qui adoptent aujourd'hui des certificats à durée de vie courte renforcent la résilience opérationnelle dont elles auront besoin demain.
Vue d'ensemble de l'évolution de la PKI et de la préparation à l'ère quantique
Ce changement ne se produit pas de manière isolée. Le CA/B Forum, les fournisseurs de navigateurs et les autorités de certification, telles que GlobalSign, travaillent à façonner la PKI pour l'ère post-quantique. La réduction de la durée de vie des certificats est l'une des pièces du puzzle qui nous prépare à :
- Des transitions algorithmiques rapides.
- Une amélioration continue de la sécurité.
- Le déploiement éventuel d'algorithmes quantiques sécurisés.
La préparation quantique ne consiste pas seulement à choisir un nouvel algorithme le moment venu. Il s'agit de faire évoluer les processus dès maintenant afin de répondre aux éventuelles lacunes en matière de réglementation ou de sécurité, de sorte que lorsque le changement se produira, votre organisation ne soit pas prise au dépourvu.
Que devez-vous faire ensuite ?
Si vous ne l'avez pas encore fait, commencez à vous intéresser à l'automatisation du cycle de vie des certificats. Mettez en place des outils qui facilitent les renouvellements. Familiarisez-vous avec les nouvelles normes PQC et envisagez des approches hybrides qui combinent des algorithmes classiques et résistants aux attaques quantiques.
Le passage à des certificats à durée de vie courte implique un changement de mentalité. En adoptant des certificats d'une durée de 47 jours, votre organisation acquiert la pratique et l'infrastructure nécessaires pour une rotation rapide et automatisée des certificats, une exposition réduite en cas de compromission d'une clé et la flexibilité nécessaire pour adopter la cryptographie post-quantique le moment venu.
Commencer dès aujourd'hui à réduire la durée de vie des certificats garantit que vos systèmes, vos processus et vos équipes seront prêts à affronter l'avenir de l'infrastructure PKI. Il s'agit d'intégrer la crypto-agilité dans l'ADN de votre organisation.
Découvrez comment les certificats valables 47 jours peuvent pérenniser votre infrastructure PKI
Ce blog a été traduit depuis la version anglaise par notre traductrice, Isabelle Cottenet. Retrouvez toute son actualité sur son blog
