Menu

Modifications à venir concernant les racines TLS et les profils de certificats

17 oct. 2025

Modifications à venir concernant les racines TLS et les profils de certificats

APERÇU : cette page contient les modifications et mises à jour à venir concernant les racines TLS et les profils de certificats GlobalSign. Elle sera régulièrement mise à jour afin de refléter les nouvelles modifications. Nous vous recommandons de l'ajouter à vos favoris ou de la consulter régulièrement pour connaître les dernières modifications et évolutions. Pour obtenir la liste des certificats racine GlobalSign, veuillez vous reporter à cette page

Résumé des modifications  

Mozilla et Chrome ont annoncé des changements qui nécessitent des modifications des certificats racines utilisés par GlobalSign et des profils de certificats TLS pour les offres de certificats TLS publiquement reconnus.  Cet article décrit l'origine de ces nouvelles exigences et notre calendrier pour nous y conformer.  

Annonces  

  • Annonce de Mozilla concernant la suppression des racines datant de plus de 15 ans.  

  • Politique de Mozilla relative au magasin de certificats racine.  

  • Vote SC-81 du CAB Forum visant à réduire la durée de validité maximale à 200 jours à compter de mars 2026.  

Calendrier de suppression de la confiance par Chrome et Mozilla en fonction de l'ancienneté de la racine  

Chrome et Mozilla ont récemment annoncé leur intention de ne plus faire confiance aux anciens certificats racines TLS, en se basant sur leur date de création. 

Matériel clé créé 

Suppression de la racine pour l'utilisation TLS  

Racines GlobalSign concernées  

Avant 2006 

15 avril 2025 

Racine GlobalSign R1 – L'émission est actuellement désactivée  

2006-2007 

15 avril 2026 

 

2008-2009 

15 avril 2027 

Concernant la racine GlobalSign R3 – nous devons arrêter l’émission de certificats d’une durée de 200 jours au plus tard le 27 août 2026, afin qu’ils soient pleinement reconnus par Mozilla et Chrome pendant toute leur période de validité.  

2010-2011 

15 avril 2028 

 

2012- 14 avril 2014 

15 avril 2029 

GlobalSign Root R5 (ECC)  

15 avril 2014 - aujourd'hui 

15 ans à compter de la création 

GlobalSign Root R6  

Calendrier de Mozilla et Chrome pour le passage aux racines dédiées TLS  

Chrome et Mozilla ont défini des échéances pour la transition vers des racines dédiées exclusivement au TLS.  Actuellement, les racines utilisées par Globalsign (R3, R5, R6) sont des racines multi-usages qui sont utilisées pour la messagerie sécurisée, la signature de code et d’autres cas d’usage. En 2019, GlobalSign a créé deux racines dédiées TLS, l'une avec des clés RSA, R46, et l'autre avec des clés ECC, E46.  Pour consulter la liste complète des certificats racines de GlobalSign, veuillez consulter cette page. 

Les exigences les plus strictes proviennent du programme de conformité de Chrome (Chrome Root Program Policy). Selon nos plans d’émission actuels, la contrainte SCTNotAfter sera appliquée à toutes les racines multi-usages de GlobalSign dans un délai de 90 jours à compter du 15 juin 2026. Concrètement, cela signifie que tous les certificats émis sous l’une des racines multi-usages de GlobalSign avant le 13 septembre 2026 seront considérés comme valides pendant toute leur durée de vie. En revanche, tout certificat émis après cette date ne sera plus reconnu comme fiable par Chrome.  

Modifications du profil de certificat TLS sur Chrome  

En plus de la suppression des racines et/ou de l'application de la contrainte SCTNotAfter, Chrome a précisé que les certificats TLS émis sous des racines TLS dédiées doivent uniquement contenir l'usage étendu de clé ServerAuth (EKU). Cela signifie que tous les autres EKU, y compris l'EKU ClientAuth couramment utilisé, ne seront plus autorisés sous des racines TLS dédiées. Nous recommandons d'utiliser le produit IntranetSSL pour l'émission de certificats TLS avec des capacités d'authentification client. 

Résumé  

Compte tenu de toutes les références ci-dessus, GlobalSIgn continuera à émettre des certificats TLS avec les EKU ServerAuth et ClientAuth qui seront considérés comme fiables pendant toute leur durée de validité de 200 jours sous nos racines polyvalentes jusqu'en août 2026 ; Cependant, nous prévoyons de réaliser cette transition avant cette date afin d'éviter tout problème imprévu de dernière minute.  Voici un plan plus détaillé : 

Pour les clients Atlas :  

  • À partir de la rotation CA du troisième trimestre 2025 (le 8 juillet 2025, selon notre calendrier publié ici), un nouvel ensemble de CA sous nos racines dédiées TLS sera créé et disponible pour une utilisation facultative.  
     
    Les clients qui souhaitent tester les certificats TLS émis à partir des racines dédiées TLS peuvent le faire en utilisant les liens de test disponibles dans l'article d'assistance sur les certificats racine GlobalSign sous la racine applicable.  

  • toutes les émissions TLS seront transférées vers les racines dédiées TLS. Nous fournirons des certificats croisés R3-R46 et R5-E46 qui offriront aux navigateurs et aux applications une chaîne remontant jusqu'à R3 et R5 pour une ubiquité optimale.  

Pour les clients Atlas qui n'ont pas nécessairement besoin d'une prise en charge par les navigateurs, nous recommandons vivement d'utiliser notre offre IntranetSSL qui permet une plus longue validité des certificats, une réutilisation plus longue des domaines, l'absence de vérifications CAA et une confidentialité supplémentaire puisque les certificats ne sont pas publiés dans les journaux CT.  

Pour les clients GCC :  

  • Au quatrième trimestre 2025, un nouvel ensemble de CA MSSL OV/EV sera créé pour une utilisation facultative. Toutes les émissions seront transférées au troisième trimestre 2026.  

  • Le 27 juillet 2026, les produits grand public et partenaires seront transférés vers des autorités de certification TLS racines dédiées.  

Pour nos clients Entreprise qui n'ont pas nécessairement besoin d'une prise en charge par les navigateurs, nous recommandons vivement d'utiliser notre offre IntranetSSL qui permet une plus longue validité des certificats, une réutilisation plus longue des domaines, l'absence de vérifications CAA et une confidentialité supplémentaire puisque les certificats ne sont pas publiés dans les journaux CT.  

Produits concernés :  

  • TLS : DV, OV, EV  

  • MSSL : OV, EV  

Related Articles

Exigence de base du forum CA/B - Abandon des certificats SSL à validité de 3 ans

29 juil. 2022, 04:57

Veuillez-vous référer aux ressources suivantes afin de trouver plus d'informations concernant le vote du forum CA/B visant à réduire la période de validité du certificat SSL.

Lire la suite

Sécuriser une adresse IP publique - Certificats SSL

14 sept. 2022, 04:22

Un certificat SSL est généralement délivré à un Nom de Domaine Complètement Qualifié (FQDN) tel que "https://www.exemple.com". Cependant, certaines entreprises ont besoin que leur certificat SSL soit émis pour une adresse IP publique. GlobalSign supporte les adresses IP sur les certificats SSL dans les champs Nom Commun et Nom Sujet Alternatif.

Lire la suite

Erreur de Nom de Certificat de Sécurité non Valide - Certificats SSL

19 sept. 2022, 04:00

L’erreur « Le nom du certificat de sécurité n’est pas valide ou ne correspond pas au nom du site » se produit lorsque le certificat est utilisé sur un autre nom de domaine complet

Lire la suite

Système d’Alerte GlobalSign

Voir les alertes de système récentes.

Voir les Alertes

Atlas Discovery

Analysez vos terminaux pour localiser tous vos Certificats.

Inscrivez-vous

Configuration Test SSL

Vérifiez l’installation de votre certificat pour les problèmes et les vulnérabilités SSL.

Contactez l’équipe support

Contactez-nous
close
Ventes: +33 9 75 18 32 00
Assistance technique: +33 9 75 18 32 00
E-Mail: ventes@globalsign.com