Fin des certificats SSL/TLS DV, OV et EV publics d’une validité de 2 ans

Améliorer la sécurité des certificats SSL/TLS en passant à des certificats de 1 an

L’ensemble de l’industrie abandonne les certificats SSL/TLS publics de 2 ans

Depuis 1er septembre 2020, l’industrie a cessé de proposer des certificats SSL/TLS public d’une validité de 2 ans. La nouvelle durée de validité maximale pour les certificats SSL/TLS EV, OV et DV publics est de 398 jours (environ 13 mois). Reportez-vous à la page Certificats Public-Trust SSL d’un an : DigiCert à votre service.

DigiCert a cessé d'émettre des certificats SSL/TLS publics de 2 ans le 27 août 2020 à 18h00 MDT (le 28 août à 00:00 UTC).

Conformément aux bonnes pratiques en vigueur dans l’industrie, DigiCert a mis en place une validité maximale de 397 jours pour tous les certificats SSL/TLS EV, OV et DV publics. Cette pratique tient compte des différences de fuseaux horaires et empêche les autorités de certification de faire une mauvaise utilisation d'un certificat SSL/TLS public qui dépasserait la nouvelle exigence de validité maximale à 398 jours.

Ce changement de norme n’affecte pas les types de certificat suivants :

  • SSL/TLS privés
  • Client
  • ABB S/MIME
  • Code Signing
  • EV Code Signing
  • Document Signing

Que dois-je faire ?

Avec la nouvelle durée de validité maximale fixée à 397 jours, nous recommandons de maximiser la durée de couverture SSL/TLS en achetant vos nouveaux certificats SSL/TLS publics à l’aide de plans pluriannuels DigiCert®.

Les plans pluriannuels vous permettent de payer un prix unique, réduit, pour une couverture pouvant aller jusqu’à six ans pour vos certificats SSL/TLS. Avec ces plans, vous choisissez le certificat SSL/TLS, sa validité et la durée de couverture que vous souhaitez – jusqu'à six ans. Pour en savoir plus, consultez la page Plans pluriannuels.

Les accords de licence entreprise (ELA) et les contrats à frais fixes (Flat Fee) ne permettent que les plans pluriannuels sur 1 et 2 ans.

Intégrations des API Services DigiCert

Les personnes qui utilisent les API Services DigiCert devront mettre à jour leurs workflows d’API pour tenir compte de cette nouvelle durée de validité maximale de 397 jours pour les certificats dans la conception des requêtes. Se reporter à la section API Services.

Que se passe-t-il si mon certificat SSL/TLS public de 2 ans n'a pas été émis avant la date limite du 27 août ?

Les commandes de certificats public SSL/TLS encore en attente et avec une durée de validité supérieure à 397 jours seront automatiquement converties en plans pluriannuels.

Cela signifie que :

  • Le premier certificat de la commande sera émis avec une durée de validité maximale de 397 jours.
  • Le plan pluriannuel conservera la validité correspondante à la commande.
    Par exemple, si vous aviez commandé un certificat de 2 ans, votre plan pluriannuel sera valable pendant 24 mois.
  • Pour utiliser la couverture restante de votre commande, vous devrez réémettre le certificat pendant les 397 derniers jours de validité de la commande.
    Chaque commande inclut un nombre illimité de réémissions, sans frais supplémentaires.

Quel effet a ce changement sur mes certificats SSL/TLS publics de 2 ans existants ?

Le changement n’a aucun effet sur les certificats de 2 ans déjà actifs et émis avant la date limite du 27 août 2020. Ces certificats resteront approuvés jusqu’à leur expiration.

Par exemple, supposons que vous avez commandé un certificat SSL/TLS OV de 2 ans le 10 août 2020. Nous avons émis le certificat le 12 août 2020. Lorsque le certificat approchera de sa date d’expiration, au lieu d’être renouvelé par un nouveau certificat SSL/TLS de 2 ans, vous devrez le renouveler avec un certificat de 1 an ou commander un plan pluriannuel DigiCert®.

Quel effet a ce changement sur les réémissions et duplicatas de mon certificat de 2 ans ?

Le raccourcissement à 397 jours de la durée de vie maximale des certificats affecte tous les SSL/TLS publics de 2 ans réémis ou dupliqués.

Les types d'actions suivantes imposent la réémission d'un certificat :

  • Ajout d'un domaine à un certificat
  • Suppression d'un domaine d'un certificat
  • Remplacer un domaine d'un certificat
  • Modifier les informations sur l’organisation (nom, adresse, numéro de téléphone, etc.)
  • Dupliquer un certificat
  • Remplacer votre paire clé publique/clé privée

À présent, quand vous réémettez ou dupliquez un certificat SSL/TLS public de 2 ans, le nouveau certificat aura une durée de validité maximale de 397 jours. Cela signifie que certains certificats réémis expireront avant la commande.

Pour utiliser la validité restante comprise dans la commande, réémettez vos certificats pendant les 397 derniers jours de validité de la commande. Vous pouvez demander une réémission valable jusqu'à la date la plus proche entre 397 jours (maximum), ou jusqu’à expiration de la commande.

Exemple : Réémission des certificats SSL/TLS publics de 2 ans à présent

  1. Le 1er août 2020 (avant la date limite du 27 août), nous avons émis votre certificat multidomaines de 2 ans – il s'agit du certificat original.

    Ce certificat :

    • A une durée maximale de 825 jours
    • Expire au 1er novembre 2022 en même temps que la commande
  1. Au 1er novembre 2020 (le passage à une durée de validité maximale de 397 jours a été mis en œuvre), vous réémettez le certificat.

    Ce certificat réémis :

    • A une durée maximale de 397 jours
    • Expire au 1er décembre 2021
    • Expire 335 jours avant la commande
      (la commande expire le 1er novembre 2022)
  1. Le 1er janvier 2021, vous réémettez le certificat.

    Ce certificat réémis :

    • A une durée maximale de 397 jours
    • Expire au 1er février 2022
    • Expire 273 jours avant la commande
      (la commande expire le 1er novembre 2022)
  1. Le 1er avril 2022, vous réémettez le certificat une dernière fois.

    Ce certificat réémis :

    • Est valide pendant 214 jours
    • Expire au 1er novembre 2022 en même temps que la commande

Si vous avez besoin de réémettre un certificat SSL/TLS public et que vous avez des questions sur ce à quoi vous devez vous attendre avec la réémission, veuillez contacter votre représentant commercial ou notre assistance avant de procéder à la réémission.

Quel effet a ce changement sur les renouvellements de mon certificat SSL/TLS public ?

Vous pouvez toujours renouveler une commande de certificat de 90 jours à 1 jour avant sa date d’expiration. Lorsque vous effectuez un renouvellement, DigiCert transfèrera le maximum de durée de validité restante possible au certificat renouvelé, dans la limite de la nouvelle limite de 397 jours de validité.

Toute durée de validité ne pouvant être transférée directement au certificat le sera à votre commande, qui sera convertie en plan pluriannuel. Cela signifie que votre commande de renouvellement peut avoir une durée de validité supérieure à celle du certificat renouvelé.

Pour utiliser la validité supplémentaire comprise dans la commande de renouvellement, réémettez les certificats pendant les 397 derniers jours de validité de la commande. Vous pouvez demander une réémission valable jusqu'à la date la plus proche entre 397 jours (maximum), ou jusqu’à expiration de la commande.

Exemple : Renouveler maintenant une commande de certificat d'un an

Période de validité de la commande Certificat renouvelé Validité du certificat renouvelé Jours restants sur la commande
455 jours 90 jours avant expiration de la commande 397 jours (365+32) 58 jours
425 jours 60 jours avant expiration de la commande 397 jours (365+32) 28 jours
397days 30 jours avant expiration de la commande 397 jours (365+32) 0 jours
366 jours 1 jour avant expiration de la commande 366 jours (3651) 0 jours
365 jours Jour d’expiration de la commande 365 jours 0 jours