Annonce de la réduction de la durée de validité des certificats Let’s Encrypt de 90 à 45 jours (application progressive jusqu’en 2028)

 (letsencrypt.org)
17 points par davespark 2025-12-03 | 3 commentaires | Partager sur WhatsApp

Raison du changement

  • Exigences des standards du CA/Browser Forum (application identique à toutes les AC publiques dans le monde)
  • Renforcement de la sécurité sur Internet (durée de validité plus courte, ce qui limite l’ampleur des dommages en cas de piratage + améliore l’efficacité de la révocation)

Évolution de la durée de validité des certificats

  • Actuellement : 90 jours
  • À partir de 2028 : 45 jours

Évolution de la durée de réutilisation de la validation de propriété de domaine

  • Actuellement : 30 jours
  • À partir de 2028 : 7 heures

Calendrier d’application par étape (s’applique aux certificats nouvellement émis)

  • 13 mai 2026 : profil opt-in (tlsserver) → début de l’émission de certificats de 45 jours (tests possibles)
  • 10 février 2027 : profil par défaut (classic) → certificats de 64 jours + réutilisation de validation pendant 10 jours
  • 16 février 2028 : profil par défaut (classic) → certificats de 45 jours + réutilisation de validation pendant 7 heures

Ce que les utilisateurs doivent faire

  • Pour la plupart des utilisateurs avec renouvellement automatique : aucune action supplémentaire nécessaire
  • En revanche, il est indispensable de vérifier que le cycle de renouvellement automatique est compatible avec des certificats de 45 jours
  • Actions recommandées
    • Activer la fonctionnalité ACME Renewal Information (ARI) (indique le moment exact du renouvellement)
    • Pour les clients ne prenant pas en charge ARI : configurer un renouvellement autour des 2/3 de la durée de vie du certificat
    • Renouvellement manuel déconseillé (à effectuer trop souvent)
    • Mettre en place impérativement un système de surveillance de l’expiration des certificats

Nouvelles fonctions facilitant l’automatisation (prévue pour 2026)

  • Lancement de la standardisation du nouveau challenge DNS-PERSIST-01
  • Caractéristique : une seule configuration d’un enregistrement DNS TXT, sans besoin de le modifier à chaque renouvellement
  • → renouvellement entièrement automatique possible même sans autorisation de mise à jour automatique du DNS

Lien vers l’annonce officielle https://letsencrypt.org/2025/12/02/from-90-to-45

Conclusion : d’ici 2028, pour tous les utilisateurs de Let’s Encrypt, le renouvellement automatique tous les 45 jours + ARI + la supervision deviendront un environnement indispensable.

À lire aussi

3 commentaires

 
popopo 2025-12-05

J’utilise des certificats sur mon homelab, donc je m’intéressais déjà à TLS2030 et je m’y préparais.

Comme l’émission automatique de certificats Let's Encrypt fonctionne sur Proxmox ou Nginx Proxy Manager, il n’y a pas vraiment de problème particulier pour les domaines individuels.

Comme les certificats wildcard doivent être émis une fois puis utilisés sur plusieurs systèmes, un système comme Hashicorp Vault est indispensable. Y a-t-il une autre méthode ?

https://wiki.jellypo.pe.kr/ko/IT_Infra/Certificate

J’ai mis en place une architecture de ce type, mais FreeIPA n’est pas indispensable. Vault peut jouer le rôle de ROOT CA au lieu d’une Intermediate CA, et il suffit ensuite d’enregistrer la ROOT CA comme autorité de confiance sur chaque système.

Avec FreeIPA aussi, on installe le client FreeIPA puis on l’enregistre comme autorité de confiance ; au fond, la question est donc de savoir si l’on utilise FreeIPA, ou si l’on enregistre l’autorité de confiance avec Ansible ou un autre outil.

FreeIPA a l’avantage de pouvoir servir de DNS interne, mais comme je pense que son installation, son exploitation et la gestion des incidents sont plutôt complexes, je trouve qu’il vaut mieux n’utiliser que Vault.
 
byun1114 2025-12-04

J’utilise un certificat wildcard émis, mais je ne sais pas comment cela va changer.
 
techiemann 2025-12-04

Pour les utilisateurs particuliers, la charge va en fait diminuer.