Certificats Let's Encrypt de 45 jours : Ce que les équipes d'entreprise doivent savoir

1 juillet 2026
11 mins de lecture
Certificats Let's Encrypt de 45 jours : Ce que les équipes d'entreprise doivent savoir

Introduction#

Le paysage des certificats SSL s’apprête à connaître le changement le plus significatif depuis des années. Let’s Encrypt, l’autorité de certification la plus importante au monde, passe de durées de vie de 90 jours à 45 jours. Pour les équipes d’entreprise qui gèrent des centaines ou des milliers de domaines, ce n’est pas un simple ajustement : c’est un changement fondamental dans la manière dont la gestion des certificats SSL doit fonctionner.

Si votre équipe gère encore les renouvellements SSL manuellement, vous allez bientôt ressentir la pression. Ce qui représentait quatre cycles de renouvellement par an en devient huit. Ce qui était une tâche trimestrielle gérable devient une charge opérationnelle permanente. Le calendrier est déjà en marche, et les équipes d’infrastructure qui s’y préparent dès maintenant traverseront la transition en douceur. Celles qui ne le feront pas s’exposeront à un risque accru d’indisponibilité et à une charge opérationnelle qui ne cesse de croître.

Cet article détaille l’annonce, les raisons qui la motivent, à quoi ressemble le calendrier de transition et ce que les équipes d’entreprise doivent faire pour s’y préparer.

L’annonce : Let’s Encrypt passe de durées de vie de 90 jours à 45 jours pour les certificats#

Let’s Encrypt a annoncé à la mi-2026 son intention de réduire la durée de vie maximale des certificats de 90 jours à 45 jours. Ce changement s’applique à tous les nouveaux certificats émis après la date de transition. Les certificats existants continueront d’être valides jusqu’à leur expiration naturelle, mais les renouvellements seront soumis à la nouvelle durée de vie de 45 jours.

Ce n’est pas une décision soudaine. Let’s Encrypt a progressivement réduit les durées de vie des certificats depuis son lancement. Ils ont commencé à 90 jours, lorsque la plupart des AC commerciales proposaient des certificats d’un an. Le passage à 45 jours s’inscrit dans une tendance vers des certificats à durée de vie plus courte, vers laquelle l’ensemble de l’industrie évolue.

L’impact pratique est simple : chaque domaine sécurisé par Let’s Encrypt devra renouveler son certificat deux fois plus souvent. Pour les organisations qui ont déjà automatisé leur processus de renouvellement, la transition peut être transparente. Pour les équipes qui s’appuient sur des processus manuels ou des workflows semi-automatisés, l’impact opérationnel sera considérable.

Pourquoi cela se produit : une bonne pratique de sécurité — limiter la fenêtre de compromission#

Des durées de vie plus courtes des certificats constituent, fondamentalement, une amélioration de la sécurité. Chaque certificat TLS représente un vecteur d’attaque potentiel. Si la clé privée d’un certificat est compromise, un attaquant peut se faire passer pour le domaine légitime jusqu’à l’expiration du certificat ou sa révocation. Plus la durée de vie du certificat est longue, plus cette fenêtre de compromission reste ouverte.

Les certificats valables 45 jours réduisent cette fenêtre de moitié par rapport à la norme actuelle de 90 jours. Si une clé est compromise dès le premier jour, l’exposition maximale est de 45 jours au lieu de 90. En pratique, l’exposition est généralement plus courte, mais la limite compte — en particulier pour les organisations qui ne détectent pas forcément une compromission immédiatement.

Il y a aussi un argument lié à la révocation. La révocation des certificats via les CRL et l’OCSP a historiquement été peu fiable. Les navigateurs ne vérifient pas toujours l’état de révocation de manière cohérente, et des certificats révoqués continuent parfois d’être considérés comme dignes de confiance. Des durées de vie plus courtes réduisent la dépendance à l’infrastructure de révocation. Si un certificat ne vit que 45 jours, le révoquer devient moins critique — il expire de toute façon bientôt.

La communauté sécurité milite depuis longtemps en faveur de durées de vie de certificats plus courtes. Le passage de Let’s Encrypt opérationnalise ce que les chercheurs en sécurité recommandent depuis des années.

Proposition du Parallel CA/Browser Forum de Google — Ce n’est pas seulement Let’s Encrypt#

Let’s Encrypt n’agit pas seul. Google fait avancer une proposition parallèle via le CA/Browser Forum afin de réduire, à l’échelle de l’industrie, la durée de vie maximale des certificats à 45 jours. Cela concernerait toutes les autorités de certification, pas seulement Let’s Encrypt — y compris des acteurs commerciaux comme DigiCert, Sectigo et GlobalSign.

La proposition du CA/B Forum est encore en discussion, mais l’implication de Google indique que des durées de vie de 45 jours sont susceptibles de devenir une norme de l’industrie, et pas uniquement une politique de Let’s Encrypt. Lorsque le plus grand éditeur de navigateurs et la plus grande autorité de certification s’alignent sur une politique de sécurité, l’adoption suit généralement.

Pour les équipes en entreprise, cela signifie que l’ère des certificats de 45 jours n’est pas une préoccupation propre à Let’s Encrypt. Si vous utilisez aujourd’hui des certificats commerciaux valables un an, vous devez vous attendre à ce que ces durées de vie diminuent aussi. L’ensemble de l’écosystème des certificats SSL évolue vers des certificats à durée de vie courte, et la transition est déjà en cours.

Calendrier : quand le changement aura lieu et à quoi ressemble la période de transition#

Let’s Encrypt a indiqué un déploiement progressif. Les dates exactes sont encore en cours de finalisation, mais le calendrier attendu suit un schéma similaire à leurs réductions de durée de vie précédentes :

**Phase d’annonce (actuelle) :** Communication publique, mises à jour de la documentation et préparation des outils. Les logiciels clients comme Certbot et les bibliothèques ACME reçoivent des mises à jour pour gérer les nouvelles durées de vie.

**Déploiement progressif :** la durée de vie de 45 jours s’applique d’abord à un sous-ensemble de nouvelles émissions de certificats, permettant à Let's Encrypt de surveiller d’éventuels problèmes et de recueillir des données sur les schémas de renouvellement.

**Application intégrale :** tous les nouveaux certificats émis par Let's Encrypt sont assortis de la durée de vie maximale de 45 jours. Les certificats existants de 90 jours continuent jusqu’à leur expiration naturelle.

Pour les équipes d’entreprise, la date limite pratique correspond au moment où votre automatisation actuelle atteint son cycle de renouvellement après la transition. Si vos certificats sont renouvelés tous les 60 jours aujourd’hui, vous disposez d’environ un cycle de renouvellement après la modification de la politique avant de commencer à émettre des certificats de 45 jours.

Commencez à créer des redirections 5x plus rapidement avec RedirHub

Obtenez des redirections en moins de 100 ms – avec HTTPS automatique, des analyses et zéro configuration.

Commencer gratuitement

Ce que signifient réellement 45 jours : 8 cycles de renouvellement par an contre 4 actuellement#

Le calcul est simple, mais l’impact opérationnel ne l’est pas. Passer de certificats de 90 jours à des certificats de 45 jours signifie :

**La fréquence de renouvellement double.** Au lieu de quatre cycles de renouvellement par an et par domaine, vous en gérez huit. Pour une équipe qui gère 100 domaines, cela représente 800 événements de renouvellement par an au lieu de 400. Pour des équipes qui gèrent des milliers de domaines, les chiffres deviennent ingérables sans automatisation complète.

**Les fenêtres de renouvellement se réduisent.** Avec des certificats de 90 jours, la plupart des systèmes automatisés de renouvellement commencent à tenter le renouvellement 30 jours avant l’expiration — ce qui laisse une marge confortable de 30 jours. Avec des certificats de 45 jours, ce même délai de 30 jours ne laisse plus que 15 jours de marge. La logique de renouvellement doit être plus proactive et plus fiable.

**La tolérance aux échecs diminue.** Avec des certificats de 90 jours, un échec de renouvellement vous laisse des semaines pour analyser et résoudre le problème avant l’expiration. Avec des certificats de 45 jours, vous n’avez que des jours. Chaque échec de renouvellement est plus urgent, et votre supervision doit être plus réactive.

**Le plafonnement du débit devient un sujet de préoccupation.** Let's Encrypt applique des limites de débit pour l’émission de certificats. Doubler la fréquence de renouvellement signifie que vous consommez deux fois le budget de débit. Les équipes proches de leurs limites avec des certificats de 90 jours peuvent les atteindre avec des certificats de 45 jours et doivent ajuster leurs schémas d’émission.

En résumé : les processus de renouvellement manuels ou semi-automatisés qui fonctionnaient à peine avec 90 jours échoueront avec 45 jours. L’automatisation complète n’est plus une option.

À qui cela s’adresse le plus : les équipes qui gèrent 100+ domaines avec des processus SSL manuels#

L’ère des certificats sur 45 jours ne touche pas tout le monde de la même façon. Voici qui ressent le plus fortement l’impact :

**Investisseurs en domaines et gestionnaires de portefeuille.** Les équipes qui gèrent des centaines ou des milliers de domaines en stationnement, redirigés ou monétisés supportent la charge opérationnelle la plus lourde. Chaque domaine a besoin de son propre certificat. Le renouvellement manuel à cette échelle était déjà pénible à 90 jours. À 45 jours, ce n’est tout simplement pas faisable.

**Agences qui gèrent des domaines clients.** Les agences numériques gèrent souvent le SSL pour des dizaines, voire des centaines de domaines clients. Chaque client peut utiliser une infrastructure différente, des processus de renouvellement différents et des niveaux d’automatisation différents. Le calendrier de 45 jours amplifie toutes les incohérences de leurs workflows de renouvellement.

**Plateformes e-commerce avec plusieurs boutiques.** Les opérations e-commerce multi-marques utilisent des domaines distincts pour chaque marque, chaque région et chaque campagne. Le nombre de certificats augmente rapidement, tout comme la charge de renouvellement.

**Plateformes SaaS avec des domaines personnalisés.** Les produits SaaS qui permettent aux clients d’apporter leurs propres domaines gèrent généralement l’approvisionnement SSL dans le cadre de l’onboarding. Avec des certificats de 45 jours, l’infrastructure de renouvellement doit être irréprochable : un échec de renouvellement pour le domaine d’un client signifie que son site affiche un avertissement de sécurité.

Les équipes disposant d’un renouvellement entièrement automatisé basé sur ACME ne ressentiront peut-être pas le changement du tout. La durée de vie du certificat est gérée « en arrière-plan » par une infrastructure qui renouvelle automatiquement. La ligne de démarcation, c’est l’automatisation : si votre processus de renouvellement implique qu’un humain vérifie un tableau de bord ou exécute un script, vous êtes du mauvais côté.

L’écart de préparation à l’échelle entreprise#

Les enquêtes sectorielles dressent un tableau préoccupant. Malgré des années de disponibilité de Let’s Encrypt et la maturité de l’automatisation ACME, un pourcentage significatif d’organisations gère encore les renouvellements SSL via des processus manuels ou semi-automatisés.

Les lacunes courantes incluent : des certificats gérés via des tableurs plutôt que par une surveillance automatisée, des scripts de renouvellement qui nécessitent un déclenchement manuel, des alertes d’expiration envoyées vers des boîtes mail non surveillées, et des certificats wildcard déployés sur une infrastructure sans coordination centralisée du renouvellement.

L’écart de préparation est le plus important dans les organisations qui ont adopté Let's Encrypt tôt, mais n’ont jamais automatisé entièrement leur pipeline de renouvellement. Elles ont installé Certbot sur quelques serveurs il y a cinq ans, ont ajouté une tâche cron, et n’ont plus revu la configuration depuis. Ces tâches cron peuvent s’exécuter toutes les 60 jours — ce qui n’est pas assez fréquent pour des certificats valables 45 jours.

La recommandation des équipes d’infrastructure qui ont déjà effectué la transition est constante : auditez dès maintenant vos processus de renouvellement. Cartographiez chaque certificat de votre infrastructure, vérifiez que le renouvellement est automatisé et surveillé, puis testez vos procédures de reprise après échec. L’ère des certificats de 45 jours mettra en évidence toutes les lacunes de votre pipeline de renouvellement.

Conclusion#

L’ère des certificats de 45 jours arrive, et ce n’est pas seulement un changement de politique de Let's Encrypt — c’est un basculement à l’échelle de l’industrie vers des durées de vie de certificats plus courtes, motivé par les bonnes pratiques de sécurité. Pour les équipes d’entreprise, la ligne de démarcation entre celles qui ressentent l’impact et celles qui ne le ressentent pas est simple : l’automatisation.

Si votre pipeline de renouvellement SSL est entièrement automatisé via ACME — si les certificats se renouvellent, s’installent et se vérifient sans intervention humaine — vous ne remarquerez peut-être même pas le changement, hormis la mise à jour d’un paramètre de configuration. Si votre processus de renouvellement implique des étapes manuelles, des tableurs ou des scripts déclenchés par des humains, le calendrier de 45 jours mettra en évidence toutes les lacunes de votre infrastructure.

Les étapes pratiques sont simples : auditez votre inventaire de certificats, vérifiez la couverture de l’automatisation, testez les scénarios d’échec du renouvellement et assurez-vous que la surveillance détecte les expirations avant que les utilisateurs ne voient des avertissements dans le navigateur. Les équipes qui s’en chargent dès maintenant — avant que le calendrier ne se réduise — traverseront la transition sans incident.

Auditez dès maintenant votre processus de renouvellement SSL. L’ère des 45 jours arrive — découvrez comment fonctionne la gestion SSL automatisée.

Commencez à créer des redirections 5x plus rapidement avec RedirHub

Obtenez des redirections en moins de 100 ms – avec HTTPS automatique, des analyses et zéro configuration.

Commencer gratuitement

Questions fréquemment posées

Let's Encrypt a annoncé son intention de réduire la durée de vie des certificats de 90 jours à 45 jours, avec un déploiement progressif prévu jusqu'en 2026. La date exacte de mise en application complète est encore en cours de finalisation, mais la transition a déjà commencé. Consultez le forum communautaire de Let's Encrypt pour les dernières mises à jour sur le calendrier.

Actuellement, le changement s'applique directement aux certificats Let's Encrypt. Cependant, Google a une proposition parallèle via le CA/Browser Forum pour réduire la durée de vie maximale des certificats à 45 jours pour toutes les autorités de certification. Si cela est adopté, cela affecterait également les CAs commerciaux comme DigiCert et Sectigo. Les équipes d'entreprise utilisant des certificats commerciaux devraient suivre les développements du CA/B Forum.

Le renouvellement automatisé utilise le protocole ACME, que Let's Encrypt prend en charge nativement. La plupart des organisations utilisent des clients ACME comme Certbot, acme.sh, ou le support ACME intégré dans les équilibres de charge et les proxys inverses. La clé est de s'assurer que le processus de renouvellement s'exécute automatiquement (généralement via cron ou un minuteur systemd), gère l'installation sans intervention manuelle et inclut la surveillance des échecs de renouvellement.

Non. La durée de vie du certificat n'affecte pas les évaluations de sécurité des outils comme SSL Labs ou Mozilla Observatory. La force de chiffrement, la taille de clé et le support de protocole sont indépendants de la durée de vie du certificat. Des durées de vie plus courtes sont en fait considérées positivement par les auditeurs de sécurité car elles limitent la fenêtre de compromission de clé.

Oui. RedirHub provisionne et renouvelle automatiquement les certificats SSL pour tous les domaines gérés via son infrastructure de périphérie. Les certificats sont provisionnés via l'intégration ACME de Let's Encrypt et renouvelés automatiquement avant expiration. Cela signifie que les domaines utilisant RedirHub pour la gestion des redirections n'auront besoin d'aucun changement opérationnel lorsque la politique de 45 jours prendra effet.

Un certificat expiré provoque l'affichage d'un avertissement de sécurité par les navigateurs — généralement un interstitiel en plein écran que les utilisateurs doivent cliquer pour accéder au site. Cet avertissement érode la confiance des utilisateurs et peut entraîner une perte de trafic significative. Pour les applications de commerce électronique et SaaS, l'expiration du certificat peut avoir un impact direct sur les revenus et la confiance des clients.

Une entreprise de taille moyenne gère généralement 100 à 500 domaines à travers des marques de produits, des campagnes marketing, des sites régionaux et des services internes. Avec des durées de 45 jours, cela signifie 800 à 4 000 événements de renouvellement par an — comparé à 400 à 2 000 à 90 jours. La différence opérationnelle est substantielle, surtout pour les organisations avec des processus de renouvellement manuels ou semi-automatisés.

Une fois que la politique de 45 jours est pleinement appliquée, tous les nouveaux certificats Let's Encrypt auront une durée de vie maximale de 45 jours. Les certificats existants de 90 jours seront honorés jusqu'à leur expiration naturelle. Si vous avez besoin de certificats à durée de vie plus longue, les CAs commerciaux proposent toujours des certificats d'un an, bien que le CA/B Forum puisse réduire ces maximums à l'avenir.

Linh Tran - Infrastructure Engineer

Linh handles the backend systems that keep RedirHub fast and reliable. Her work revolves around performance, scalability, and making sure redirects happen instantly, no matter where users are. She likes solving complex problems quietly.