Auteur/autrice : Christophe Gérard

CPO - Nameshield Group

Fin des certificats RGS serveur Certigna, quelle alternative ?

Rappel sur le RGS

Le RGS pour Référentiel Général de Sécurité est une norme d’authentification de certificats numériques, qu’ils soient pour des serveurs ou des utilisateurs, qui s’impose aux autorités administratives pour la sécurisation de leur système d’information.

Le RGS a été élaboré conformément à l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu’entre les autorités administratives. Il fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique. Le RGS est applicable aux administrations de l’État, collectivités territoriales, établissements publics et autres organismes chargés de la gestion d’un service public administratif.

Contexte spécifique à Certigna pour les certificats RGS serveur

Certigna est une Autorité de Certification française, historiquement spécialisée dans les certificats RGS, serveur ou pour personne physique. Certigna est la dernière Autorité de Certification à émettre des certificats serveur basés sur le RGS et cessera d’en produire le 14 juin 2026. De nombreuses administrations doivent désormais trouver une alternative pour sécuriser les échanges.

Le 4 juillet 2025, Certigna annonçait que Google, suite à la publication de son nouveau Chrome Root Program, allait retirer la root CA (racine) de Certigna au 15 avril 2026 dans son navigateur Chrome, et qu’Apple ne renouvellerait pas la racine dans ses différents systèmes. Google comme Apple renforcent régulièrement les règles de sécurité associées à la gestion des racines de certificats dans leur magasin, et de manière plus officieuse, cherchent à limiter le nombre d’AC « locales » au profit d’acteurs internationaux. Pour ces géants de l’industrie, l’Europe ayant mis sur étagère une norme des 27 au travers du référentiel eIDAS, les spécificités françaises du RGS n’ont plus réellement lieu d’être.

C’est l’annonce de la mort du RGS * pour les serveurs, Certigna étant le dernier acteur à produire des certificats sur ce référentiel, à la suite de Certinomis ou encore ChamberSign. Seuls les certificats serveur RGS * sont concernés. Concrètement le 14 juin 2026, Certigna émettra ses derniers certificats SSL, SSL WildCard, SSL RGS et ceux-ci ne pourront être valables au-delà du 14 septembre 2026.

eIDAS et QWAC, les alternatives Européennes validées par l’ANSSI

L’Europe, dans sa volonté de souveraineté et de protection des actifs numériques, a établi un règlement dédié à l’authentification numérique et au chiffrement des échanges : le règlement eIDAS. Le marché et les administrations françaises se tournent aujourd’hui logiquement vers l’Europe pour remplacer les certificats liés au RGS. Les certificats QWAC, application directe de la norme eIDAS et alternative directe au RGS serveur sont actuellement massivement adoptés.

eIDAS : Electronic IDentification, Authentification & trust Services

Le règlement n° 910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », est un règlement européen adopté le 23 juillet 2014.

QWAC : Qualified Certificates for Website Authentication

L’article 45 du règlement eIDAS renforce la reconnaissance des QWAC (Qualified Certificates for Website Authentication), des certificats SSL/TLS hautement sécurisés que les navigateurs web devront reconnaître.

L’ANSSI impose historiquement le Référentiel Général de Sécurité (RGS) aux entités publiques. Face à la réduction des solutions proposées sur le marché, notamment pour la sécurisation des serveurs Web, l’ANSSI a fait évoluer son « catalogue des produits et services qualifiés, agréés, certifiés » pour y intégrer notamment un ensemble de fournisseur Européen de certificats eIDAS :

« Les services de délivrance de certificats d’authentification de sites Internet qualifiés par l’ANSSI ainsi que par les organes de contrôle des États membres de l’Union européenne peuvent être consultés dans la liste de confiance publiée sur le site de la Commission européenne prévue à l’article 22 du règlement (UE) n°910/2014. »

Dans ce catalogue sont notamment listés les prestataires de confiance au niveau Européen notamment pour la fourniture de certificats QWAC eIDAS en remplacement du RGS (EU/EEA Trusted List Browser) :
https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls

La position de Nameshield

Nameshield se positionne, pour la gestion des certificats numériques, comme un partenaire privilégié de plusieurs Autorités de Certification. Nous proposons à nos clients une gamme complète de certificats, de tous types et niveaux pour leur permettre d’une part, de limiter le risque de dépendance à une Autorité de Certification unique, et d’autre part de pouvoir gérer celles-ci dans un cadre contractuel flexible et unique.

La fin de la root CA de Certigna justifie d’autant plus ce positionnement. Nous voyons aujourd’hui une concentration des acteurs sur le marché, et des GAFAM qui imposent toujours plus leur vision des choses et règles associées. Ce sont eux qui poussent pour la réduction de la durée de vie des certificats, qui ont imposé le HTTPS par défaut, la fin du SHA1… et ce sont eux qui ont mis fin à l’existence de certaines AC telles que Symantec ou plus récemment Entrust.

Le RGS est trop petit, local et contraignant pour ces acteurs et le règlement eIDAS Européen s’applique naturellement désormais, sachant que celui-ci sera difficile voire impossible à contourner, notamment au regard du contexte géopolitique actuel.

Pour les certificats QWAC eIDAS, nous avons fait le choix de nous appuyer sur les entités européennes de Sectigo et Digicert, reconnues par l’ANSSI dans la trusted list des fournisseurs et partenaires historiques de Nameshield. Notre recommandation s’appuie sur la qualité de service fournie par ces acteurs dont nos clients bénéficient au travers de procédures d’authentification rapides et éprouvées, mais surtout sur leur taille, leur solidité technique et financière.

Nous sommes convaincus que l’utilisation de « petites » Autorités de Certification locales est aujourd’hui un risque majeur pour nos clients, dont les conséquences sur la sécurité de leur système d’information peuvent être désastreuses, en particulier avec la réduction en cours de la durée de vie des certificats.  

Si vous souhaitez faire appel aux services de Nameshield pour vos certificats ou que vous avez des questions sur le sujet, les équipes Commerciales et Certificats se feront un plaisir de répondre à vos demandes.

Pannes d’AWS et de Cloudflare : les dangers de la dépendance des entreprises vis‑à‑vis des géants du cloud

Panne d'AWS, de Cloudflare et de Microsoft Azure : les dangers de la dépendance des entreprises vis‑à‑vis des géants du cloud

Les pannes en chaîne subies en fin d’année par les GAFAM ont rappelé avec brutalité à quel point la dépendance quasi exclusive de nombreuses organisations aux géants du cloud constitue un risque systémique.

En juin 2025, Google ouvrait le bal, essuyant une panne de plus de 7 heures. Depuis, ses concurrents AWS et Cloudflare ont également subi des incidents. En octobre 2025, c’est Amazon Web Services (AWS), la plateforme cloud d’Amazon, qui faisait face à un problème « lié à la résolution DNS du point de terminaison de l’API DynamoDB dans US-East-1 », causant une panne de résolution DNS qui a provoqué des indisponibilités de service pour de nombreuses entreprises notamment Airbnb, Reddit, Snapchat, Slack… Un mois plus tard, ça a été le tour de Cloudflare de pâtir d’une défaillance liée à « une modification indésirable des permissions au sein d’un des systèmes de bases de données du fournisseur ». Conséquence : Google, X, ChatGPT, Facebook, Décathlon, Doctolib se sont retrouvés, à leur tour, en panne…

Quand une région cloud ou un service critique de ces acteurs vacille, ce sont des milliers de sites web, applications, services de messagerie, API métiers et outils collaboratifs qui deviennent injoignables, avec un impact immédiat sur le chiffre d’affaires, l’image, la réputation de marque et parfois même la continuité d’activité. Au-delà du simple incident technique, ces interruptions soulignent le manque de résilience d’architectures trop centralisées autour de prestataires extra-européens, sur lesquels les entreprises ne disposent ni de contrôle juridique, ni de maîtrise opérationnelle suffisante.

Des pannes massives, globales et paralysantes pour de nombreuses entreprises 

Ces pannes massives des hyperscalers ont mis en lumière un autre phénomène souvent sous-estimé : l’effet de cascade provoqué par la concentration de services critiques (hébergement, messagerie, authentification, data, DNS managé) chez un nombre très restreint d’acteurs.

Lorsqu’un fournisseur cloud rencontre une indisponibilité sur une brique fondamentale, par exemple, sa propre infrastructure DNS, son réseau ou ses services d’API, ce ne sont pas uniquement les sites web qui tombent, mais l’ensemble de la chaîne de valeur numérique : portails clients, tunnels VPN, applications métiers interconnectées, objets connectés, plateformes d’authentification et de fédération d’identités. Dans 80 à 90 % des cas d’incidents majeurs, l’analyse a posteriori montre que le point de défaillance initial se situe au niveau de la résolution de noms ou de la connectivité entre résolveurs DNS et services exposés, confirmant que le DNS reste à la fois une « plaque tournante » et un point de vulnérabilité privilégié.

Or ce composant est encore trop souvent géré comme une commodité incluse par défaut dans l’offre des géants du cloud, sans véritable stratégie de résilience DNS. 

Le DNS : talon d’Achille invisible des entreprises

Pour de nombreuses organisations, le caractère invisible du DNS masque encore sa nature profonde : il alimente en réalité l’ensemble des chaînes de confiance numériques, de la simple page web jusqu’aux applications critiques, en passant par les tunnels VPN, les services de messagerie, ou encore les politiques DMARC.

Une indisponibilité de la résolution de noms ne se limite donc pas à un « site en panne », mais coupe potentiellement l’accès à tout un écosystème applicatif, y compris les services exposés uniquement via API ou utilisés en interne. Les campagnes de cyberattaques observées ces dernières années l’ont largement démontré : attaques DDoS massives, DNS spoofing, cache poisoning ou Man in the Middle ciblent précisément cette infrastructure, souvent moins protégée que les briques applicatives ou réseau visibles, alors même qu’elle constitue un point de passage obligé pour chaque requête utilisateur.

Le DNS est ainsi, très souvent, le premier point de panne, mais aussi l’un des moins maîtrisés, alors même qu’il constitue la pierre angulaire de la disponibilité des ressources numériques.  

Dans ce contexte, continuer à confier sans discernement cette fonction à un unique hyperscaler extra‑européen revient à accepter qu’une panne, une erreur de configuration ou une décision unilatérale prise hors de tout cadre de souveraineté puisse paralyser, en quelques minutes, l’accès aux services essentiels de l’entreprise. Face à la montée en puissance des cybermenaces et au durcissement réglementaire, notamment l’arrivée de la NIS2, les autorités comme l’ANSSI rappellent aussi la nécessité de sécuriser le DNS, de le traiter comme un composant critique et non comme un simple service d’infrastructure implicite.  

C’est pourquoi une approche fondée sur la diversification maîtrisée des prestataires et sur la spécialisation, en dissociant hébergement et DNS, en s’appuyant sur un registrar souverain permet de transformer ce talon d’Achille en véritable socle de résilience. Le DNS devient alors non plus un simple composant technique, mais un levier de gouvernance et de continuité d’activité, au cœur d’une stratégie de souveraineté numérique où la dépendance aux géants du cloud est réduite, contrôlée et, surtout, réversible.

Dans cette même optique, l’approche multi-cloud, souvent présentée comme une réponse évidente aux pannes des hyperscalers pourra devenir un levier de réduction du risque business lorsqu’elle sera couplée à une stratégie de diversification maîtrisée des prestataires et à une consolidation de la fonction DNS autour d’un acteur de confiance, capable de garantir une disponibilité maximale des services Internet et de transformer le DNS en socle de résilience et d’indépendance vis‑à‑vis des géants du cloud.

Fin des certificats RGS Serveur, passez aux certificats qualifiés QWAC eIDAS

Fin des certificats RGS Serveur, passez aux certificats qualifiés QWAC eIDAS

L’ANSSI a récemment annoncé que les administrations pouvaient anticiper l’évolution du Référentiel Général de Sécurité (RGS) concernant les certificats numériques au profit de la norme eIDAS. Fondée sur un règlement européen directement applicable dans tous les États membres, la norme eIDAS (electronic IDentification And trust Services) définit un cadre harmonisé pour les services de confiance numériques. 

Le 27 novembre 2025, Certigna communiquait sur la fin de son activité de fournisseur de certificats de type RGS* serveur à compter du 14 juin prochain. Cette décision implique pour de nombreux organismes publics de prévoir le remplacement de leurs certificats RGS* serveurs afin de garantir la continuité de leurs services numériques, dans un calendrier parfois contraint. 

Le basculement vers des certificats qualifiés QWAC conformes à eIDAS ne constitue pas seulement un changement de référentiel : il garantit une reconnaissance juridique européenne, une interopérabilité accrue entre administrations et partenaires, ainsi qu’un niveau de sécurité contrôlé par des audits réguliers. 

Nameshield, votre partenaire de confiance pour opérer la transition afin de vous conformer à eIDAS

Nous vous informons que Nameshield peut assurer la continuité de vos usages, en vous fournissant des certificats qualifiés (QWAC), conformes au règlement eIDAS et répondant aux exigences de l’ANSSI. De par notre positionnement de revendeur multi Autorités de Certification, de fournisseur DNS, connecté à plusieurs acteurs CLM du marché, nous vous permettons de gérer tout type de certificats et d’automatiser leur émission et leur installation.

Nameshield permet ainsi aux administrations et entreprises de gérer de manière unifiée l’ensemble de leurs certificats, de réduire les risques de rupture de service et de préparer sereinement l’après-RGS.

Vous souhaitez basculer vers des certificats qualifiés QWAC ou avez des questions sur le sujet ? N’hésitez pas à contacter notre équipe Commerciale ou notre équipe Certificats, qui se feront un plaisir de vous venir en aide !

[REPLAY WEBINAR] Du .COM au .MARQUE : entrez dans l’ère du .brand en 2026

Alors que l’année 2026 approche à grands pas, un événement stratégique majeur se profile à l’horizon, avec l’ouverture d’une nouvelle fenêtre de candidature pour les extensions Internet personnalisées : les Dot Brand ou .Brand, prévue pour avril 2026. Nameshield a pu participer à l’ICANN 84, fin octobre afin de récolter de nouvelles informations sur cette possibilité à six mois de cette échéance clé pour le secteur IT.

L’opportunité d’adopter son .BRAND a par ailleurs fait l’objet, ce 18 novembre, d’un nouveau webinar proposé par Nameshield dans le but de vous livrer l’essentiel des informations nécessaires pour le lancement de votre .BRAND, si vous êtes intéressés par un tel projet, mais aussi pour répondre à vos éventuelles questions.

Si toutefois vous n’avez pas pu vous rendre disponible sur ce créneau, notre webinar est disponible en replay sur le site de Nameshield et Webikeo.

Sur le thème « Du .COM au .MARQUE : entrez dans l’ère du .brand en 2026 », cette présentation animée par Christophe GÉRARD, Directeur Produits chez Nameshield et Arnaud WITTERSHEIM, Responsable projets ngTLDs et compliance – PO noms de domaine chez Nameshield, a eu pour objectif de vous livrer les clefs pour bien comprendre ce que représente réellement un .BRAND pour votre image de marque, votre sécurité et votre réputation.

Dans un monde où votre marque ne dépend plus d’un simple .COM ou .FR mais vous donne la possibilité de posséder votre propre espace digital unique et exclusif grâce au .BRAND, il devient essentiel d’étudier cette opportunité. Cette extension de domaine entièrement dédiée à votre entreprise sera un symbole de confiance, d’innovation et de leadership sur votre marché. Cette évolution du web dont se sont déjà emparées de nombreuses entreprises il y a 14 ans, devient une nouvelle fois possible en avril 2026. Un second cycle d’ouverture mondiale intervient en effet et va permettre aux entreprises de candidater pour obtenir leur propre extension.

Ce webinar est dédié à vous présenter le sujet en vous expliquant :

  • Pourquoi il ne faut pas passer à côté de cette possibilité,
  • Les nombreuses opportunités marketing offertes par le .BRAND,
  • Les étapes clés, dates importantes et aspects budgétaires de votre projet, qui vous permettront de donner le « GO » ou le « NO GO ».

Outil d’indépendance, de réputation au service de votre stratégie de marque, c’est le moment de comprendre comment le .BRAND pourra transformer votre présence digitale dès 2026 et de décider si vous souhaitez vous lancer dès maintenant dans cette aventure !

VISIONNER LE REPLAY

C’est officiel : la durée de vie des certificats SSL/TLS va être réduite à 47 jours

la durée de vie des certificats SSL/TLS va être réduite à 47 jours

Le 9 octobre 2024, Apple annonçait au CA/B Forum (Certification Authority Browser Forum), sa volonté de réduire la durée maximale des certificats SSL/TLS publics à 45 jours d’ici 2027 mais aussi de réduire la période de réutilisation des challenges DCV à 10 jours d’ici 2027.

Cette demande avait ensuite été discutée, puis amendée, 6 mois plus tard, toujours par Apple, qui proposait une modification de l’agenda initial avec une durée de certificats réduite à 47 jours pour les certificats SSL/TLS et une durée de validation des challenges DCV de 10 jours à partir du 15 mars 2028.

Cette mesure entre officiellement en vigueur, suite au vote du CA/B Forum datant d’avril 2025, qui adopte un nouveau calendrier de mise en œuvre, réduisant officiellement la validité des certificats à 47 jours et favorisant ainsi l’automatisation pour la bonne gestion de ces certificats.

  • Jusqu’au 15 mars 2026, la durée de vie maximale d’un certificat TLS est maintenue à 398 jours.
  • À compter du 15 mars 2026, la durée de vie maximale d’un certificat TLS sera de 200 jours.
  • À compter du 15 mars 2027, elle passera à 100 jours.
  • Et à compter du 15 mars 2029, la durée de vie maximale d’un certificat TLS sera réduite à 47 jours.
Durée de vie des certificats SSL/TLS

En parallèle, les périodes de réutilisation de la Validation du Contrôle de Domaine (challenge DCV), qui impliquent d’intervenir dans la zone du nom de domaine listé dans le certificat pour le valider, seront alignées au calendrier des certificats, jusqu’à atteindre 10 jours en 2029.

  • Jusqu’au 15 mars 2026, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 398 jours.
  • À compter du 15 mars 2026, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 200 jours.
  • À compter du 15 mars 2027, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 100 jours.
  • À compter du 15 mars 2029, la période maximale pendant laquelle les informations de validation de domaine peuvent être réutilisées est de 10 jours.
période de réutilisation des challenges DCV

Face à ces changements majeurs dès 2026, il est essentiel pour les entreprises de se préparer

L’impulsion du CA/B Forum va transformer progressivement le paysage de la sécurité des certificats numériques. La durée de validité des certificats SSL/TLS va se voir réduite, accompagnée par un durcissement des règles de validation des challenges DCV. La clé d’une bonne gestion à venir des certificats repose donc sur l’automatisation. 47 jours de durée des certificats en 2029 c’est 9 interventions par an par certificat, la gestion manuelle deviendra utopique. Il faut donc s’appuyer sur les différents services/logiciels suivants :

  • Fournisseur de certificats / Autorité de Certification (AC) : un partenaire de confiance qui vous accompagnera dans les problématiques d’authentification des organisations et domaine. Le niveau de service est la clé pour une bonne gestion. Un partenaire multi-AC est recommandé pour limiter la dépendance à une seule AC, cas des récents déboires d’Entrust.

  • Registrar / DNS Primaire : maîtriser le DNS primaire des noms de domaine listés dans les certificats va devenir la clé de la livraison. Chaque émission de certificat entrainera l’installation d’un TXT ou d’un CNAME sur la ou les zones concernées. Avoir une interconnexion entre l’AC et le DNS est primordial.

  • Editeur CLM : inventorier le parc de certificats, définir des règles de gestion du parc et assurer l’automatisation complète du processus de commande depuis la génération des CSR jusqu’au déploiement des certificats sur les serveurs, c’est le travail du CLM. Et celui-ci pour fonctionner, s’appuie sur des connecteurs avec les AC ou fournisseurs de Certificats.

Se préparer c’est donc identifier les solutions qui vous conviennent sur ces trois points et lancer cette réflexion pour comprendre les impacts en matière de processus, de technologie et de budget, pour être prêts idéalement au premier semestre 2026.

Nameshield, un allié, pour vous aider à faire face à ces changements 

Nameshield occupe une place unique sur le marché en étant registrar et fournisseur de certificats multi-AC. Depuis plus de 10 ans, nous gérons au quotidien toutes les problématiques liées à l’authentification des organisations et des domaines liés aux certificats en ayant d’un côté, une relation privilégiée avec les plus grandes AC du marché (Digicert, Sectigo, GlobalSign), et en maitrisant de l’autre la brique DNS pour la validation des challenges DCV. De ce fait, nous émettons des certificats publics de manière quasi instantanée. Enfin, en ce qui concerne la brique CLM, Nameshield dispose de connecteurs avec les plus grands acteurs du marché pour vous permettre d’assurer une connexion complète entre les différentes briques liées à la gestion des certificats. Nous vous accompagnons ainsi dans l’anticipation de l’ensemble des problématiques mentionnées ci-dessus.

Vous souhaitez aller plus loin afin de tout comprendre sur le contexte de ces changements et leurs impacts sur la gestion de vos certificats ? Notre webinar « Réduction de la durée des certificats SSL/TLS à 45 jours : Comment se préparer face au challenge de l’automatisation ? » est disponible en replay.

Pour toute autre question, vous pouvez contacter Nameshield directement ici.

Le DNS Premium de Nameshield est une nouvelle fois labellisé France Cybersecurity en 2025

Le DNS Premium de Nameshield est une nouvelle fois labellisé France Cybersecurity en 2025

Le Label France Cybersecurity célèbre son dixième anniversaire en 2025. Créé pour valoriser l’excellence des entreprises françaises dans la cybersécurité, le label a su s’imposer comme un gage de fiabilité, apportant une visibilité internationale aux entreprises de cybersécurité françaises. Le label garantit également à tous ses utilisateurs le niveau de qualité de ses labélisés, et ce attesté par un jury indépendant.

C’est dans ce contexte que l’entreprise Nameshield a de nouveau été honorée en recevant le prestigieux label pour son service DNS Premium lors du FORUM INCYBER 2025.


Le monde numérique évolue rapidement, avec une transformation accélérée par la numérisation des services et une dépendance croissante aux réseaux. Sites web, applications mobiles, e-mails, VPN, objets connectés… Les entreprises sont désormais intégrées dans un environnement où la disponibilité continue et la sécurité des services en ligne sont impératifs. Une interruption dans l’accès à ces services est dramatique pour l’activité de l’entreprise.

Le DNS (Domain Name System) est, quant à lui, la porte d’accès à tous ces services. Il traduit les noms de domaine en adresses IP et aiguille le trafic vers ces services. En raison de sa complexité de gestion et du fait qu’il soit peu sécurisé, il est exposé à une surface d’attaque importante et reste un maillon faible des systèmes d’information des entreprises. Face à l’augmentation constante de cybermenaces de plus en plus complexes et sophistiquées, sécuriser ses noms de domaine stratégiques en les hébergeant sur des DNS (AnyCast) hautement sécurisés offrant une disponibilité permanente et améliorant nettement les temps de réponse (SEO), pour éviter toute interruption de service, est devenu indispensable.

Nameshield, certifiée ISO 27001 depuis 2017, est le premier registrar français à avoir mis en place un CERT interne pour anticiper, détecter et répondre aux incidents de sécurité. Nameshield est aussi un éditeur de logiciel qui protège les noms de domaine stratégiques de ses clients contre les cybermenaces et assure la haute disponibilité des services en ligne, notamment grâce à son service d’infrastructure DNS Premium.

Le DNS Premium de Nameshield est labellisé France Cybersecurity depuis 2018.

Être de nouveau labellisé cette année, à l’occasion des 10 ans du label représente pour Nameshield une reconnaissance de son engagement constant en matière de cybersécurité et une preuve de sa capacité à répondre aux défis croissants du secteur, tout en continuant à garantir à ses clients une protection optimale face aux cybermenaces auxquelles ils font face

Pour en savoir plus sur notre solution DNS Premium labellisée France Cybersecurity, rendez-vous sur le site de Nameshield.

Apple décale de 6 mois son calendrier pour la réduction de la durée des certificats SSL/TLS

Durée des certificats SSL/TLS réduite à 45 jours en 2027 : Apple fait le premier pas

Le 17 octobre 2024, nous vous annoncions la décision d’Apple de réduire progressivement la durée maximale des certificats SSL/TLS publics à 45 jours d’ici 2027.

De nouveaux éléments ont été partagés depuis à ce sujet avec une nouvelle annonce d’Apple de décaler son calendrier, en le reculant de 6 mois avec pour nouvel objectif, des certificats désormais de 47 jours en mars 2028 :

  • 15-mar-2026 => durées certificats et validation DCV réduites à 200 jours
  • 15-mar-2027 => durées certificats et validation DCV réduites à 100 jours
  • 15-mar-2028 => durée certificats réduite à 47 jours
  • 15-mar-2028 => durée de validation DCV : 10 jours

Le CA/B Forum a quant à lui pris le sujet en main le 24 novembre, notamment dans le but de commencer à organiser comment gérer les commentaires publics.

Nameshield continue à suivre l’actualité et communiquera régulièrement sur le sujet.

Durée des certificats SSL/TLS réduite à 45 jours en 2027 : Apple fait le premier pas

Le 9 octobre, Apple a révélé au CA/B Forum avoir publié un projet de vote pour commentaires sur GitHub au sujet de deux évènements importants sur la durée de vie des certificats SSL/TLS :

  • réduire progressivement la durée maximale des certificats SSL/TLS publics à 45 jours d’ici 2027 ;
  • réduire progressivement la période de réutilisation des challenges DCV à 10 jours d’ici 2027.

En mars 2023, Google annonçait, dans sa roadmap « Moving Forward, Together », son intention de proposer au CA/B Forum la réduction de la durée de validité maximale possible des certificats TLS publics de 398 jours à 90 jours. Depuis cette annonce, le marché attendait fébrilement la confirmation de Google et surtout le calendrier d’applicabilité… sans succès. Mozilla annonçait quant à lui il y a quelques semaines, son intention d’emboîter le pas à Google pour son navigateur Firefox, mais sans plus de précisions.

C’est finalement Apple qui a fait le premier pas la semaine dernière en annonçant le 9 octobre, sa double volonté de réduire d’une part la durée de vie des certificats à  45 jours (alors que tout le marché s’attendait à 90 jours) et d’autre part la limitation de la durée du challenge DCV à 10 jours, le tout selon le calendrier ci-dessous. Une véritable petite bombe :   

15-sep-2025 => durées certificats et validation DCV réduites à 200 jours

15-sep-2026 => durées certificats et validation DCV réduites à 100 jours

15-avr-2027 => durées certificats et validation DCV réduites à 45 jours

15-sep-2027 => durée de validation DCV 10 jours

Quelques informations sur le contexte et l’analyse de cette annonce, les impacts attendus et comment s’y préparer seront sans doute utiles :

Contexte et Analyse :

A ce stade, il s’agit d’une publication susceptible d’être commentée par les acteurs du marché avant la rédaction formelle d’un ballot au sein du CA/B Forum, lui-même amené à être voté par ses membres : les éditeurs de navigateurs Internet d’un côté (Google, Mozilla, Apple et Microsoft…) et les Autorités de Certification de l’autre. Des modifications ne manqueront pas d’être apportées, mais l’idée générale est là et la machine se met en marche.

En effet, les éditeurs de navigateurs sont tous alignés sur le besoin de réduire la durée de vie des certificats et parmi les Autorités de Certification, Sectigo, un des acteurs majeurs de l’industrie des certificats, soutient d’ores et déjà l’initiative. Il y a fort à parier que les choses vont bouger rapidement dorénavant avec peu de commentaires et une rédaction du ballot dans les semaines ou mois qui viennent. Nous en saurons alors plus sur la confirmation des durées et du calendrier, nous vous tiendrons bien sûr informés.

Impacts attendus :

  • Durée des certificats : qu’elle soit in fine de 90 jours, 45 jours ou même moins, cette réduction n’est plus une surprise et son impact sera important pour les parcs de certificats publics. Ils ne pourront plus être gérés de manière manuelle. Le marché a commencé sa transition vers l’automatisation en s’appuyant notamment sur les CLM (Certificate Lifecycle Manager). La clé pour les entreprises et les organisations sera de s’appuyer sur des partenaires qui pourront offrir le plus d’interconnexions possibles entre les Organisations, les Autorités de Certification et les CLM.
  • Durée du challenge DCV : réduire à 10 jours la durée d’utilisation du challenge DCV, si c’était validé, aurait un impact considérable, peut-être plus encore que la réduction de la durée de vie des certificats. Jusqu’à présent, l’industrie pré-validait les noms de domaine pour une durée de 398 jours, en utilisant une seule fois le challenge DCV. L’annonce d’Apple forcerait à utiliser un challenge DCV pour quasiment toutes les commandes, ce qui serait un changement de paradigme majeur et impliquerait l’interconnexion avec une brique supplémentaire de l’écosystème : le DNS. En effet, le challenge DCV pour Domain Control Validation implique d’intervenir dans la zone du ou des noms de domaine listé(s) dans le certificat, idéalement de manière instantanée pour valider celui-ci.
  • Durée d’authentification des Organisations : Apple n’a rien annoncé au sujet de la durée de validité de l’authentification d’une organisation pour les certificats de type OV, actuellement de 825 jours. Pour autant, de nombreuses rumeurs courent sur une réduction à 398 jours voire 365 jours.

Comment se préparer :

La clé d’une bonne gestion à venir des certificats repose sur l’automatisation. 45 jours de durée des certificats représentent 9 interventions par an par certificat, la gestion manuelle deviendra utopique. Il faut donc s’appuyer sur :

  1. Fournisseur de certificats / Autorité de Certification (AC) : un partenaire de confiance qui vous accompagnera dans les problématiques d’authentification des organisations et domaine. Le niveau de service est la clé pour une bonne gestion. Un partenaire multi-AC est recommandé pour limiter la dépendance à une seule AC, cas des récents déboires d’Entrust.
  1. Registrar / DNS Primaire : maîtriser le DNS primaire des noms de domaine listés dans les certificats va devenir la clé de la livraison. Chaque émission de certificat entrainera l’installation d’un TXT ou d’un CNAME sur la ou les zones concernées. Avoir une interconnexion entre l’AC et le DNS est primordial.
  1. Editeur CLM : inventorier le parc de certificats, définir des règles de gestion du parc et assurer l’automatisation complète du processus de commande depuis la génération des CSR jusqu’au déploiement des certificats sur les serveurs, c’est le travail du CLM. Et celui-ci pour fonctionner, s’appuie sur des connecteurs avec les AC ou fournisseurs de Certificats.

Se préparer c’est donc identifier les solutions qui vous conviennent sur ces trois points et lancer cette réflexion pour comprendre les impacts en matière de processus, de technologie et de budget, dans un monde idéal, avant la fin du premier semestre 2025.

L’approche de Nameshield :

Nameshield occupe une place unique sur le marché en étant registrar et fournisseur de certificats multi-AC. Depuis plus de 10 ans, nous gérons au quotidien toutes les problématiques liées à l’authentification des organisations et des domaines liés aux certificats en ayant d’un côté, une relation privilégiée avec les plus grandes AC du marché (Digicert, Sectigo, GlobalSign), et en maitrisant de l’autre la brique DNS pour la validation DCV. De ce fait, nous émettons des certificats publics de manière quasi instantanée. Enfin, en ce qui concerne la brique CLM, Nameshield dispose de connecteurs avec les plus grands acteurs du marché pour vous permettre d’assurer une connexion complète entre les différentes briques liées à la gestion des certificats. Nous vous accompagnons ainsi dans l’anticipation de l’ensemble des problématiques mentionnées ci-dessus.

Durée des certificats SSL/TLS réduite à 45 jours en 2027 : Apple fait le premier pas

Pour plus d’informations, n’hésitez pas à contacter notre Equipe Commerciale ou notre Equipe Certificats.

Crédit image : Nameshield with storyset.com

La dépendance aux Autorités de Certification : un risque sous-estimé ?

Les Autorités de Certifications (AC) ou Certification Authority (CA) sont des entités en charge d’émettre des certificats numériques pour authentifier l’identité des sites web, serveurs ou utilisateurs, et garantir l’intégrité des données échangées lors des communications en ligne.

Lorsqu’un site web ne dispose pas de certificat, il ne peut pas établir de connexion sécurisée via HTTPS, ce qui expose ses données à des risques d’interceptions, de modifications et d’usurpations. C’est pourquoi les navigateurs Internet des GAFAM (Google, Apple, Facebook, Amazon, Microsoft) imposent à ces AC des critères de conformité et de sécurité stricts et rigoureux, afin d’assurer une navigation sécurisée à leurs utilisateurs. Les GAFAM incarnent aussi de véritables empires, capables de façonner et de définir de manière quasi-arbitraire ou du moins unilatéralement, leurs propres règles dans le monde numérique.

Les Autorités de Certification, sont donc, d’une certaine façon, dépendantes des normes imposées par les GAFAM, ce qui devrait pousser les entreprises à ne pas s’inscrire dans un schéma de dépendance auprès d’une Autorité de Certification unique. D’autant plus que les AC peuvent faire face à des failles de sécurité, attaques, ou incidents, comme ce fut le cas pour l’Autorité de Certification hollandaise DigiNotar, forcée de mettre la clef sous la porte suite à un piratage massif en 2011.

La dernière AC en date à avoir fait face à des problèmes de sécurité est Entrust. Google Chrome a en effet annoncé mettre fin à la confiance accordée à ses certificats TLS (SSL) à partir du 31 octobre 2024, expliquant que cette décision fait suite à une évaluation approfondie des pratiques de sécurité de l’Autorité de Certification. Cela met donc en exergue certaines préoccupations concernant leur conformité à des normes strictes exigées : délais de révocations trop longs, failles répétées et risques pour les utilisateurs… Les versions 127 et ultérieures de Chrome désactiveront, à priori, en octobre, l’approbation automatique des certificats TLS/SSL délivrés par Entrust. Les sites web des entreprises utilisant leurs certificats risquent donc d’afficher des avertissements de sécurité dans Google Chrome, indiquant que le site n’est pas sécurisé, le rendant inaccessible ou dissuadant les visiteurs de poursuivre leur navigation.

Entrust, n’est évidemment pas un cas isolé. Symantec s’était retrouvée dans la tourmente en 2015 face à Google, suite notamment à l’émission de certificats TLS invalides. L’AC représentait à l’époque 30% des certificats sur le Web et affichait un revenu de 400 millions de dollars, comme le rapporte le média silicon.fr, mais Google avait progressivement banni ses certificats de Chrome et Android. L’entité a finalement été revendue à Digicert en 2021.

Les Autorités de Certification collaborent de manière étroite avec le CAB Forum et les GAFAM afin de renforcer les normes de cybersécurité, et d’améliorer leurs pratiques et protocoles de sécurité. Il est indéniable que d’immenses progrès ont été faits dans le domaine pour accroitre les standards de sécurité. L’incident récent impliquant Entrust, met néanmoins en évidence les risques qui persistent face à la souveraineté et l’influence inégalée des GAFAM : nul n’est à l’abri d’une décision arbitraire de la part de ces géants technologiques.

Face à ces failles, les entreprises ont la possibilité d’adopter une bonne pratique en optant pour une approche de multi-autorité de certification auprès d’un groupe spécialisé. En diversifiant les Autorités de Certification, les entreprises peuvent réduire le risque lié à la dépendance face à une panne, une révocation massive de certificats assurant ainsi leur continuité. Centraliser la gestion de certificats auprès d’un groupe de confiance permet aussi de standardiser les procédures, de simplifier la gestion de renouvellements ou de basculement de certificat d’une Autorité de Certification vers une autre, offrant ainsi davantage de flexibilité auprès d’un réseau compétent. Adopter une approche de gestion de ses certificats par une entité spécialisée représente ainsi un moyen d’assurer la continuité de ses services en ligne, une réduction des risques, et une optimisation de ses dépenses en cybersécurité face à une menace en constante évolution.

En somme, la dépendance aux Autorités de Certification est un risque qui pourrait se montrer coûteux, tant en termes financiers que de réputation. Voilà pourquoi, afin d’assurer la sécurité et la résilience de ses infrastructures numériques, une stratégie multi-AC peut s’imposer comme le rempart essentiel face aux imprévus des menaces cyber.

Source de l’image : Unsplash

Sécurisez vos noms de domaine stratégiques avec le Bastion DNS de Nameshield

Votre trafic web, vos emails et de nombreuses applications clés de l’entreprise dépendent de certains de vos noms de domaine. Ce sont vos noms de domaine stratégiques. La moindre indisponibilité prive d’accès vos clients et utilisateurs avec des conséquences dramatiques : image de marque, perte de données, de clients ou de chiffre d’affaires.

Ces noms de domaine attisent malheureusement les convoitises et leur surface d’attaque est importante. Ils sont exposés d’une part à des risques administratifs, tels que les tentatives d’usurpation d’accès, et d’autre part à des risques techniques, tels que les attaques DDoS visant l’infrastructure DNS, le DNS Cache poisoning ou le DNS spoofing.

Il est indispensable de garantir leur intégrité et leur disponibilité, les surveiller, les analyser et être alerté en cas d’attaque.

Pour répondre à ces impératifs, Nameshield a créé le Bastion DNS : service unique de protection, de surveillance et d’alerte. Facile à mettre en place, complet et économique, c’est LA solution de référence du marché pour protéger vos noms de domaine stratégiques.

Découvrez en vidéo le Bastion DNS de Nameshield :

Et retrouvez sur le site de Nameshield une infographie à télécharger :

Pour plus d’informations, l’équipe Nameshield se tient à votre disposition.