Top

Digitalberry

Expert en solutions de confiance numérique

 
/ Certificats numériques / Renouvellement des certificats SSL : comment l’automatiser pour éviter les pannes ?

/

Renouvellement des certificats SSL : comment l’automatiser pour éviter les pannes ?

personne en train de renouveler les certificats SSL

À retenir – Renouvellement des certificats SSL

  • Renouveler un certificat SSL, c’est techniquement en émettre un nouveau pour remplacer celui qui expire. 
  • Le processus comprend la génération d’une CSR, la validation par l’autorité de certification, et le redéploiement sur vos serveurs
  • Avec des durées de validité qui tombent à 47 jours en 2029, faire ça manuellement pour un parc de plusieurs dizaines de certificats ne sera plus tenable. 
  • L’automatisation via ACME ou une plateforme CLM est aujourd’hui la seule approche viable à l’échelle.

Pourquoi un certificat SSL qui expire, c’est toujours une mauvaise surprise

Vous avez peut-être déjà eu un message d’alerte concernant la sécurité de votre site web. Pour un utilisateur, c’est une alerte rouge. Pour l’équipe IT derrière, c’est souvent la conséquence d’un renouvellement raté. Un rappel manqué, une action retardée, un certificat qu’on pensait avoir renouvelé mais qui ne l’était pas sur tous les serveurs.

Un certificat SSL expiré, c’est une interruption de service immédiate. Les navigateurs bloquent l’accès. Les applications refusent les connexions. Et selon ce qui tourne derrière,  un service critique ou une API  les conséquences peuvent être très rapides à chiffrer.

Le sujet n’est pas technique dans le sens « compliqué ». Il est technique dans le sens « minutieux » : chaque étape doit être exécutée dans le bon ordre, au bon moment, sans erreur de configuration. Et c’est précisément là que le manuel montre ses limites.

Ce que « renouveler » un certificat SSL veut dire

On parle de renouvellement, mais c’est un peu un abus de langage. Techniquement, vous ne prolongez pas un certificat existant,  vous en émettez un nouveau qui remplace celui qui expire. La date d’expiration est codée dans le certificat au moment de son émission : impossible de la modifier après coup.

Concrètement, ça veut dire que vous repartez d’une nouvelle demande de signature (CSR), vous passez par une nouvelle validation auprès de votre autorité de certification (AC), et vous installez le nouveau certificat sur vos serveurs. L’ancien certificat, lui, reste valide jusqu’à sa date d’expiration naturelle mais il sera ignoré dès que le nouveau sera en place.

Combien de temps prend un renouvellement en fonction du type de certificat ?

C’est la première question à se poser, parce que la réponse conditionne le timing de votre renouvellement.

  • Certificat DV (Domain Validation) – quelques minutes à quelques heures. La validation se limite à prouver que vous contrôlez le domaine, via un enregistrement DNS ou un fichier déposé sur le serveur. Pas de vérification de l’organisation, pas de document à fournir.
  • Certificat OV (Organization Validation) – entre 1 et 5 jours ouvrés. L’autorité de certification vérifie l’existence légale de votre organisation, son adresse, son statut. Des documents peuvent être demandés (Kbis, extrait de registre).
  • Certificat EV (Extended Validation) – jusqu’à 2 semaines. C’est le niveau de validation le plus strict : vérification approfondie de l’identité juridique, des représentants légaux, parfois des appels de confirmation. C’est le certificat des environnements à haute valeur (banques, administrations, grandes enseignes).

La règle de base : commencez le renouvellement au moins 30 jours avant expiration pour un DV, et 60 jours pour un OV ou EV. Avec des certificats à 47 jours, cette marge fond rapidement et c’est une des raisons qui rendent l’automatisation incontournable.

Les 5 étapes d’un renouvellement manuel

Pour ceux qui gèrent encore leurs certificats à la main, voici la procédure standard. Elle s’applique à la plupart des environnements, avec quelques variations selon votre serveur et votre autorité de certification.

Étape 1 — Générez une nouvelle CSR (Certificate Signing Request) 

La CSR est le fichier chiffré que vous envoyez à l’autorité de certification pour initier l’émission. Elle contient les informations sur votre domaine, votre organisation, et votre clé publique. Générez toujours une nouvelle CSR à chaque renouvellement : cela crée une nouvelle paire de clés et renforce la sécurité du certificat.

Étape 2 — Soumettez votre CSR à votre autorité de certification 

Via le portail de votre AC, soumettez la CSR et sélectionnez le type de certificat souhaité. Si vos informations organisationnelles ont changé depuis le dernier renouvellement (raison sociale, adresse), préparez les justificatifs car ils seront demandés.

Étape 3 — Complétez la validation 

Selon le type de certificat (DV, OV, EV), la validation peut aller du simple clic à la fourniture de documents officiels. Suivez les instructions de votre AC et répondez rapidement à leurs demandes pour ne pas rallonger les délais.

Étape 4 — Téléchargez et installez le nouveau certificat 

Une fois le certificat émis, installez-le sur vos serveurs et sur tous vos nœuds si vous êtes en environnement clusterisé. N’oubliez pas la chaîne de certification intermédiaire : un certificat installé sans sa chaîne complète peut être rejeté par certains navigateurs ou clients.

Étape 5 — Vérifiez et mettez à jour vos alertes 

Testez la connexion via un outil de vérification SSL. Vérifiez que le cadenas s’affiche correctement dans les navigateurs. Et mettez à jour vos rappels pour le prochain renouvellement  si vous n’automatisez pas encore.

Pour les environnements Windows / IIS, Microsoft Active Directory Certificate Services (ADCS) intègre ses propres procédures spécifiques. 

Les erreurs qui font rater un renouvellement

La procédure est simple sur le papier. Dans la pratique, plusieurs points de friction reviennent régulièrement.

  • Oublier un serveur dans le déploiement. Dans un environnement en cluster ou multi-serveurs, il arrive qu’un nœud soit oublié. Le certificat est renouvelé, tout semble bon jusqu’à ce que les requêtes tombent sur le mauvais nœud et déclenchent une erreur.
  • Réutiliser l’ancienne CSR. C’est tentant pour gagner du temps. C’est une mauvaise pratique de sécurité : la même paire de clés reste en usage, sans rotation. En cas de compromission passée non détectée, le problème persiste.
  • Rater la fenêtre de renouvellement. Un rappel par email qui tombe dans les spams. Un collaborateur absent. Une validation OV qui prend plus de temps que prévu. Avec des certificats à 47 jours, la marge pour absorber ces aléas est quasi nulle.
  • Installer sans tester. Un certificat mal installé (chaîne incomplète, algorithme non supporté) peut passer inaperçu dans les tests basiques et provoquer des erreurs sur certains clients ou navigateurs moins récents.

Pourquoi l’automatisation change tout ?

La gestion manuelle est encore efficace lorsque l’on a 10 certificats, des durées de validité d’un an, et une équipe qui ne fait que ça. Aucune de ces conditions n’est vraiment réunie aujourd’hui.

Les entreprises gèrent des dizaines à des centaines de certificats, sur des serveurs web, des APIs, des applications internes, des équipements réseau, des environnements cloud. Et les durées de validité raccourcissent : 47 jours à horizon 2029, soit 7 à 8 renouvellements par certificat par an là où on en faisait un seul.

L’automatisation du renouvellement repose principalement sur le protocole ACME (Automated Certificate Management Environment), qui permet d’automatiser les échanges avec les autorités de certification compatibles : génération de la CSR, validation du domaine, émission du certificat, déploiement sur le serveur. Le tout sans intervention humaine, de manière répétable et traçable.

Les bénéfices concrets :

  • Zéro expiration surprise : le renouvellement est déclenché automatiquement avant l’échéance
  • Réduction des erreurs de configuration :  plus de copier-coller de CSR ou d’oubli de nœud
  • Libération de temps pour vos équipes :  les renouvellements répétitifs ne monopolisent plus des ressources IT
  • Conformité maintenue en continu :  les certificats respectent toujours les politiques en vigueur

Pour aller plus loin, une solution de gestion automatisée des certificats numériques comme BerryCert centralise l’inventaire, déclenche les renouvellements, et s’intègre à vos AC publiques et privées  sans que vos équipes aient à surveiller manuellement chaque échéance.

Renouvellement et conformité : ce que les référentiels exigent

Si vous évoluez dans un secteur réglementé, le renouvellement des certificats n’est pas qu’une bonne pratique opérationnelle : c’est une obligation de conformité.

  • PCI-DSS exige que les certificats utilisés pour protéger les données de paiement soient valides et à jour. Un certificat expiré dans votre périmètre de conformité, c’est une non-conformité directe.
  • eIDAS encadre les certificats qualifiés utilisés pour la signature électronique et l’authentification dans les échanges avec les administrations européennes. La validité et la traçabilité des renouvellements sont vérifiées lors des audits.
  • ISO 27001 et NIS2 imposent une gestion documentée des certificats cryptographiques, incluant les procédures de renouvellement et les preuves que ces procédures sont effectivement appliquées.
  • Un audit réussi demande un historique. Savoir qu’un certificat a été renouvelé ne suffit pas, encore faut-il pouvoir prouver quand, comment, par qui, et que le processus est systématique.

Par où commencer si vous n’avez pas encore de processus en place

Si votre processus actuel, c’est un tableur et des alertes Outlook, voici l’ordre logique pour structurer les choses.

D’abord, faites l’inventaire. Vous ne pouvez pas gérer ce que vous ne connaissez pas. Un diagnostic de vos certificats numériques vous donnera une vue complète de ce qui existe, où ça expire, et ce qui est potentiellement hors conformité. C’est souvent là que les premières surprises apparaissent.

Ensuite, priorisez par risque. Tous les certificats n’ont pas le même impact en cas d’expiration. Commencez par cartographier les certificats critiques, ceux qui protègent vos services exposés, vos APIs, vos environnements de production.

Puis, automatisez ce qui peut l’être. Les certificats DV sont les plus simples à automatiser via ACME. Les OV et EV demandent une validation périodique, mais le reste du processus est automatisable. C’est là qu’une plateforme CLM apporte le plus de valeur.

FAQ : renouvellement des certificats SSL

Quand faut-il commencer le renouvellement d’un certificat SSL ? 

Au moins 30 jours avant expiration pour un certificat DV, et 60 jours pour un OV ou EV. Avec des certificats à 47 jours (horizon 2029), l’automatisation devient la seule façon de tenir cette contrainte sans risque.

Est-ce qu’on renouvelle vraiment le même certificat, ou on en crée un nouveau ? 

On en crée un nouveau. La date d’expiration est codée dans le certificat à l’émission, elle ne peut pas être modifiée. Le renouvellement génère un certificat distinct qui remplace l’ancien sur vos serveurs.

Que se passe-t-il si on rate la date de renouvellement ? 

Le certificat expire et les services associés deviennent inaccessibles ou génèrent des alertes de sécurité. Il faut alors émettre un nouveau certificat en urgence, ce qui prend du temps selon le type de validation. 

Peut-on automatiser le renouvellement d’un certificat OV ou EV ? 

Partiellement. La validation initiale d’une OV ou EV nécessite une vérification humaine (documents, confirmation d’identité). Mais une fois la validation établie, beaucoup d’AC permettent de l’automatiser pour les renouvellements suivants, tant que les informations organisationnelles n’ont pas changé.

Quelle est la différence entre renouvellement et révocation ? 

Le renouvellement remplace un certificat arrivé à expiration par un nouveau. La révocation invalide un certificat avant sa date d’expiration naturelle, suite à une compromission de clé, un changement d’infrastructure, ou une non-conformité détectée.

📣 Notre agenda : Rencontres SSI des APSSIS - 4 & 5 juin | SIT Africa - 9-12 juin | coTer numérique - 23 & 24 juin !

Suivre notre actu