Fin des certificats RGS serveur Certigna, quelle alternative ?

Rappel sur le RGS

Le RGS pour Référentiel Général de Sécurité est une norme d’authentification de certificats numériques, qu’ils soient pour des serveurs ou des utilisateurs, qui s’impose aux autorités administratives pour la sécurisation de leur système d’information.

Le RGS a été élaboré conformément à l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu’entre les autorités administratives. Il fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique. Le RGS est applicable aux administrations de l’État, collectivités territoriales, établissements publics et autres organismes chargés de la gestion d’un service public administratif.

Contexte spécifique à Certigna pour les certificats RGS serveur

Certigna est une Autorité de Certification française, historiquement spécialisée dans les certificats RGS, serveur ou pour personne physique. Certigna est la dernière Autorité de Certification à émettre des certificats serveur basés sur le RGS et cessera d’en produire le 14 juin 2026. De nombreuses administrations doivent désormais trouver une alternative pour sécuriser les échanges.

Le 4 juillet 2025, Certigna annonçait que Google, suite à la publication de son nouveau Chrome Root Program, allait retirer la root CA (racine) de Certigna au 15/04/2026 dans son navigateur Chrome, et qu’Apple ne renouvellerait pas la racine dans ses différents systèmes. Google comme Apple renforcent régulièrement les règles de sécurité associées à la gestion des racines de certificats dans leur magasin, et de manière plus officieuse, cherchent à limiter le nombre d’AC « locales » au profit d’acteurs internationaux. Pour ces géants de l’industrie, l’Europe ayant mis sur étagère une norme des 27 au travers du référentiel eIDAS, les spécificités françaises du RGS n’ont plus réellement lieu d’être.

C’est l’annonce de la mort du RGS * pour les serveurs, Certigna étant le dernier acteur à produire des certificats sur ce référentiel, à la suite de Certiomis ou encore ChamberSign. Seuls les certificats serveur RGS * sont concernés. Concrètement le 14 juin 2026, Certigna émettra ses dernierscertificats SSL, SSL WildCard, SSL RGS et ceux-ci ne pourront être valables au-delà du 14 septembre 2026.

eIDAS et QWAC, les alternatives Européennes validées par l’ANSSI

L’Europe, dans sa volonté de souveraineté et de protection des actifs numériques, a établi un règlement dédié à l’authentification numérique et au chiffrement des échanges : le règlement eIDAS. Le marché et les administrations françaises se tournent aujourd’hui logiquement vers l’Europe pour remplacer les certificats liés au RGS. Les certificats QWAC, application directe de la norme eIDAS et alternative directe au RGS serveur sont actuellement massivement adoptés.

eIDAS : Electronic IDentification, Authentification & trust Services

Le règlement n° 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », est un règlement européen adopté le 23 juillet 2014.

QWAC : Qualified Certificates for Website Authentication

L’article 45 du règlement eIDAS renforce la reconnaissance des QWAC (Qualified Certificates for Website Authentication), des certificats SSL/TLS hautement sécurisés que les navigateurs web devront reconnaître.

L’ANSSI impose historiquement le Référentiel Général de Sécurité (RGS) aux entités publiques. Face à la réduction des solutions proposées sur le marché, notamment pour la sécurisation des serveurs Web, l’ANSSI a fait évoluer son « catalogue des produits et services qualifiés, agréés, certifiés » pour y intégrer notamment un ensemble de fournisseur Européen de certificats eIDAS :

« Les services de délivrance de certificats d’authentification de sites Internet qualifiés par l’ANSSI ainsi que par les organes de contrôle des États membres de l’Union européenne peuvent être consultés dans la liste de confiance publiée sur le site de la Commission européenne prévue à l’article 22 du règlement (UE) n°910/2014. »

Dans ce catalogue sont notamment listés les prestataires de confiance au niveau Européen notamment pour la fourniture de certificats QWAC eIDAS en remplacement du RGS (EU/EEA Trusted List Browser) : https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls

La position de Nameshield

Nameshield se positionne, pour la gestion des certificats numériques, comme un partenaire privilégié de plusieurs Autorités de Certification. Nous proposons à nos clients une gamme complète de certificats, de tous types et niveaux pour leur permettre d’une part, de limiter le risque de dépendance à une Autorité de Certification unique, et d’autre part de pouvoir gérer celles-ci dans un cadre contractuel flexible et unique.

La fin de la root CA de Certigna justifie d’autant plus ce positionnement. Nous voyons aujourd’hui une concentration des acteurs sur le marché, et des GAFAM qui imposent toujours plus leur vision des choses et règles associées. Ce sont eux qui poussent pour la réduction de la durée de vie des certificats, qui ont imposé le HTTPS par défaut, la fin du SHA1… et ce sont eux qui ont mis fin à l’existence de certaines AC telles que Symantec ou plus récemment Entrust.

Le RGS est trop petit, local et contraignant pour ces acteurs et le règlement eIDAS Européen s’applique naturellement désormais, sachant que celui-ci sera difficile voire impossible à contourner, notamment au regard du contexte géopolitique actuel.

Pour les certificats QWAC eIDAS, nous avons fait le choix de nous appuyer sur les entités européennes de Sectigo et Digicert, reconnues par l’ANSSI dans la trusted list des fournisseurs et partenaires historiques de Nameshield. Notre recommandation s’appuie sur la qualité de service fournie par ces acteurs dont nos clients bénéficient au travers de procédures d’authentification rapides et éprouvées, mais surtout sur leur taille, leur solidité technique et financière.

Nous sommes convaincus que l’utilisation de « petites » Autorités de Certification locales est aujourd’hui un risque majeur pour nos clients, dont les conséquences sur la sécurité de leur système d’information peuvent être désastreuses, en particulier avec la réduction en cours de la durée de vie des certificats.

Si vous souhaitez faire appel aux services de Nameshield pour vos certificats ou que vous avez des questions sur le sujet, les équipes Commerciales et Certificats se feront un plaisir de répondre à vos demandes.

Auteur/autrice : Christophe Gérard

CPO - Nameshield Group Afficher tous les articles par Christophe Gérard

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description

Rappel sur le RGS

Contexte spécifique à Certigna pour les certificats RGS serveur

eIDAS et QWAC, les alternatives Européennes validées par l’ANSSI

La position de Nameshield

Auteur/autrice : Christophe Gérard

Nameshield utilise des cookies