Top

Digitalberry

Expert en solutions de confiance numérique

 
/ Certificats numériques / Durée de vie des certificats de 47 jours : les enjeux de l’automatisation avec ACME

/

Durée de vie des certificats de 47 jours : les enjeux de l’automatisation avec ACME

Dans un contexte de réduction progressive de la durée de vie des certificats numériques jusqu’à 47 jours d’ici 2029, l’ANSSI recommande l’automatisation de la gestion des certificats avec ACME. Une démarche efficace mais qui introduit de nouveaux défis : exposition accrue des autorités de certification, surface d’attaque élargie côté client, et inadaptation à certains types de certificats ou équipements spécifiques. Dès lors, le recours à une solution CLM est indispensable pour gérer en toute sécurité le renouvellement de plus en plus fréquent de tous les certificats.

Berry TMS

Le nouveau calendrier de durée de vie des certificats numériques

Le 14 avril 2025, le CA/Browser Forum a officialisé sa décision de réduire la durée de vie des certificats SSL/TLS selon un calendrier progressif : à partir du 15 mars 2026, les certificats émis auront une durée de vie maximale de 200 jours, puis de 100 jours à compter du 15 mars 2027, pour finalement atteindre seulement 47 jours le 15 mars 2029.

Concrètement, la rotation des certificats numériques sera multipliée par 8 (8 renouvellements annuels vs un actuellement). Pour les équipes systèmes, les administrateurs d’applications, de PKI et d’infrastructures, la gestion manuelle du renouvellement des certificats numériques va représenter une charge très importante. Elle doit être automatisée afin de réduire les surcoûts de gestion administrative et minimiser les risques d’interruption de service liés à l’expiration d’un certificat, des risques qui augmentent mécaniquement avec la fréquence accrue des renouvellements.

Face à la réduction de la durée de vie des certificats numériques, quelles sont les principales recommandations de l’ANSSI ?

Pour répondre aux défis posés par la réduction de la durée de vie des certificats, l’ANSSI publie des recommandations pour l’utilisation du protocole ACME (Automatic Certificate Management Environment) pour automatiser leur renouvellement.

L’agence conseille de déployer une architecture composée de sept composants principaux :

  • Un service de génération des certificats
  • Une autorité d’enregistrement dédiée à la création des comptes externes d’administration ACME et à la gestion des éléments de binding
  • Une zone de stockage sécurisée (base de données ou système de fichier)
  • Un serveur ACME (pour communiquer avec les AC telles que Certigna).
  • Un client ACME
  • Un serveur web cible
  • Un demandeur de certificats associé à un compte externe d’administration ACME

 

L’ANSSI insiste particulièrement sur l’utilisation de comptes externes d’administration, couplés à une gestion des éléments de binding (MAC key et KeyID) qui respecte les exigences du Référentiel Général de la Sécurité (RGS) afin de renforcer la sécurité de l’émission automatisée et de protéger la confidentialité et l’intégrité des clés.

Les recommandations de l’ANSSI permettent d’automatiser efficacement le renouvellement de plus en plus fréquent des certificats tout en maintenant un niveau de sécurité élevé.

Lire : comment fonctionne le protocole ACME ?

Le protocole ACME est-il adapté dans tous les cas de figure ?

Cependant, le protocole ACME présente certaines limites qui en restreignent l’usage dans certains contextes organisationnels et techniques.

Limites de compatibilité et de couverture

Le protocole ACME, bien qu’utile pour automatiser l’émission de certificats TLS, présente certaines limites :

  • Il n’est pas encore pris en charge par toutes les autorités de certification (AC), ce qui peut compliquer son adoption dans des environnements hétérogènes.
  • Il est restreint à l’émission de certificats de type DV (Domain Validation) et ne prend pas en charge les certificats OV (Organization Validation) ou EV (Extended Validation), qui nécessitent des vérifications manuelles supplémentaires.
  • Son intégration peut nécessiter la mise en place d’un serveur ACME interne ou d’un proxy ACME, ce qui représente une contrainte technique pour certaines organisations.

Contraintes opérationnelles de sécurité

Des contraintes d’architecture réseau et de sécurisation des systèmes d’information limitent considérablement le périmètre d’application d’ACME dans la plupart des entreprises. Par exemple :

  • Il n’est pas recommandé, et impossible de toute façon, d’exposer tous les endpoints sur Internet pour des raisons évidentes de sécurité.
  • L’ouverture des flux HTTP sur le port 80 vers les serveurs internes constitue le plus souvent une violation des politiques de sécurité établies.

Contraintes opérationnelles liées aux environnements complexes

ACME ne permet pas de gérer et superviser l’ensemble du parc de certificats dans des environnements complexes multi-AC ou multi-PKI, ce qui est particulièrement problématique pour les grandes organisations.

Ces différentes contraintes expliquent pourquoi le protocole ACME, dans la grande majorité des cas, ne suffit pas à automatiser la gestion de l’ensemble des certificats numériques. 

Comment gérer la preuve de la maîtrise du DNS (le « challenge » du protocole ACME) ?

La réduction de la durée de vie des certificats complexifie considérablement leur gestion opérationnelle. Pour les certificats avec validation du domaine (DV), le propriétaire d’un site web devra prouver plus fréquemment qu’il contrôle administrativement le domaine. La contrainte est encore plus forte pour les entreprises utilisant des certificats OV ou EV. Pour ces derniers, la validation organisationnelle ou étendue reste annuelle, mais l’automatisation du renouvellement technique devient critique avec une durée de vie des certificats qui va être de 47 jours.

Mais l’enjeu majeur réside dans l’intégration avec les principaux gestionnaires de DNS. Le challenge dit « DNS-01 » nécessite de placer une valeur spécifique dans un enregistrement TXT sous le nom de domaine concerné, processus qui doit être automatisé pour éviter les interventions manuelles répétées. En positionnant automatiquement le challenge DNS de l’autorité de certification dans votre gestionnaire de DNS, un outil CLM (Certificate Lifecycle Management System) permet une automatisation complète de bout en bout.

ACME + CLM : le duo indispensable dans des environnements IT complexes

Outre la gestion des challenges DNS, un CLM peut jouer plusieurs rôles simultanément dans l’écosystème ACME. Il peut fonctionner comme :

1. Client ACME pour communiquer avec les autorités de certification externes (par exemple Certigna)

Fig. 1 : exemple d’une architecture avec BerryCert CLM positionné comme client ACME

2. Serveur ACME pour les end points qui ne prennent pas en charge ACME (le CLM gère dans ce cas la rupture protocolaire)

3. ACME Authority pour les serveurs internes de l’organisation

Fig. 2 : exemple d’une architecture avec BerryCert CLM positionné comme serveur ACME (ACME Authority)

Le CLM permet ainsi d’automatiser la gestion de l’ensemble du parc de certificats, qu’ils soient issus de plusieurs autorités de certification publiques ou d’infrastructures PKI internes. Il pallie ainsi les principales limites d’ACME tout en réduisant significativement les risques opérationnels identifiés précédemment.

Sans compter qu’un CLM, via ses API REST, est également capable de rendre compatible avec ACME votre PKI ADCS ou un serveur interne ne supportant pas nativement le protocole ACME avec une autorité de certification compatible ACME.

Le CLM, complément indispensable d’ACME pour automatiser le renouvellement des certificats

Plus globalement, le CLM assure :

  • La découverte et l’inventaire centralisé de tous les certificats présents dans le SI, qu’ils proviennent d’autorités internes ou externes. Cette vue exhaustive évite la perte ou l’oubli de certificats critiques.
  • La supervision en temps réel de la validité des certificats, l’envoi d’alertes avant leur expiration et la détection des anomalies (certificats non conformes, usages non autorisés).
  • L’automatisation du renouvellement et du déploiement des certificats (en s’appuyant sur ACME ou d’autres protocoles) et leur déploiement sécurisé sur les serveurs concernés, limitant ainsi les erreurs humaines et les oublis.
  • L’application centralisée des politiques de sécurité (algorithmes autorisés, durée de vie, usage des AC de confiance, restrictions sur les domaines, etc.) à l’ensemble des certificats, ce qui limite les risques de mauvaise configuration ou d’utilisation de certificats faibles.
  • La gestion des incidents et des compromissions d’un certificat ou d’un compte ACME : le CLM facilite la révocation rapide, la réémission et la traçabilité des actions, conformément aux recommandations de l’ANSSI.

 

En prévision de la réduction de la durée de vue des certificats à 47 jours, il reste, en dernier lieu, un point à déterminer : quel CLM choisir ? Les solutions open source sont très nombreuses sur le marché mais elles nécessitent bien souvent compétences techniques approfondies et ressources internes importantes pour être déployées et maintenues. De leur côté, les plateformes CLM portées par un éditeur bénéficient d’un support technique dédié, de mises à jour régulières et d’une intégration simplifiée avec les environnements existants.

Découvrez le CLM BerryCert
Contactez nos experts

💡 Pourquoi automatiser la gestion du cycle de vie des certificats numériques ? 💡

Lire notre article