Réduction de la durée de vie des certificats TLS : ce que change le CA/B Forum BR 2.1.6

Le CA/Browser Forum poursuit la réduction programmée de la durée de validité des certificats TLS publics. La version 2.1.6 des Baseline Requirements consolide une trajectoire déjà engagée : des cycles de renouvellement de plus en plus courts, jusqu'à des horizons proches de 47 jours pour certaines catégories.

Cette évolution transforme la gestion des certificats d'une tâche périodique en charge opérationnelle continue. Les organisations qui dépendent encore de renouvellements manuels, de feuilles de calcul ou d'AC externes sans gouvernance locale s'exposent à des ruptures de service, des non-conformités audit et une dette opérationnelle croissante.

Ce que décident les Baseline Requirements

Les TLS Baseline Requirements définissent les règles communes aux autorités de certification membres du Forum et aux navigateurs. La réduction de la validité vise à limiter la fenêtre d'exposition en cas de compromission de clé ou de faille de confiance.

La trajectoire industrielle est désormais explicite :

• 200 jours — horizon déjà en déploiement
• 100 jours — étape intermédiaire
• 47 jours — cible de conformité à moyen terme

Chaque palier multiplie le nombre de renouvellements annuels, la coordination entre équipes réseau, sécurité et applications, et la traçabilité exigée par les auditeurs.

Impact opérationnel

Les impacts ne se limitent pas aux certificats publics visibles depuis Internet :

• Inventaire incomplet des certificats manuels et « oubliés »
• Pression de renouvellement sur les environnements hybrides et air-gapped
• Coût humain des cycles manuels multiplié par la fréquence
• Anticipation obligatoire de l'automatisation (ACME, agents, orchestration PKI)
• Préparation à l'agilité cryptographique et à la migration PQC

Où CertiShielder™ intervient

CertiShielder™ est une plateforme souveraine de provisionnement et de gouvernance de la confiance numérique. Elle ne remplace pas le Forum CA/B — elle permet de absorber ses exigences dans une infrastructure maîtrisée.

Trust Provisioning™

Production, renouvellement, remplacement et publication des Trust Assets™ via une CA souveraine — conformément aux Trust Profiles™. Un seul moteur de confiance, plusieurs consommateurs, sans quota par certificat.

Certificate Automation Readiness™

Mesure objective de la préparation aux futurs cycles (200 / 100 / 47 jours) : score de readiness, certificats manuels, pression de renouvellement, risques opérationnels — read-only, sans implémenter prématurément ACME ou agents.

Trust Governance™ & Trust Environment™

Observation SPAR™ de la chaîne de confiance, inventaire local des magasins et certificats, recommandations avant toute mutation.

Crypto Migration Ready™

Évaluation de l'agilité cryptographique et préparation aux transitions algorithmiques — y compris post-quantique — sans modifier les consommateurs existants.

Conclusion

La décision du CA/B Forum n'est pas une simple contrainte calendaire : c'est un changement de modèle opérationnel. Les organisations souveraines doivent pouvoir mesurer leur readiness, gouverner leur chaîne de confiance et produire leurs certificats sans dépendre d'une AC publique imposée.

CertiShielder™ formalise cette réponse : Trust Governance™ observe · Trust Provisioning™ produit · Certificate Automation Readiness™ prépare l'avenir.