Menu

Modifications à Venir Concernant les Racines TLS et les Profils de Certificats

2 avr. 2026

Modifications à Venir Concernant les Racines TLS et les Profils de Certificats

APERÇU: Cet article explique les changements à venir, portés par l’industrie, qui concernent les certificats racines TLS de confiance publique ainsi que les profils de certificats TLS de GlobalSign. Ces changements sont introduits par les programmes de certificats racine des navigateurs (principalement Mozilla Firefox et Google Chrome) et le CA/Browser Forum. GlobalSign met actuellement à jour son infrastructure afin de rester pleinement conforme, tout en veillant à limiter au maximum l’impact pour ses clients. Cette page est mise à jour régulièrement pour refléter les dernières informations. Nous vous recommandons d'ajouter cette page à vos favoris et de la consulter régulièrement pour obtenir les dernières recommandations. Pour plus d’informations et d’avis relatifs au SSL/TLS, nous vous invitons à consulter cette page.

Assurance Importante

  • Les certificats racine existants de GlobalSign ne sont pas révoqués. 

  • Les certificats racine plus anciens continueront d'exister et pourront toujours être utilisés jusqu'à la fin de leur durée de vie normale pour:

    • des cas d'utilisation non TLS, ou 

    • Les environnements ne nécessitant pas la confiance publique des navigateurs

  • Les certificats intermédiaires (ICA) émis sous ces certificats racine ne seront pas non plus révoqués.

Résumé des Principaux Changements

Les éditeurs de navigateurs mettent régulièrement à jour leurs politiques de stockage des certificats racine afin de renforcer la sécurité et la cohérence de l'écosystème. Les récentes mises à jour des politiques de Mozilla Firefox, Google Chrome et du CA/Browser Forum ont introduit trois changements majeurs ayant un impact sur les certificats TLS faisant l'objet d'une confiance publique:

  1. Limites d'âge maximal des racines: Mozilla Firefox et Google Chrome ne feront plus confiance aux certificats TLS dont la chaîne de certificats remonte à des racines dépassant un âge défini.

  2. Exigences relatives aux racines dédiées au TLS: Les certificats TLS de confiance publique doivent être émis à partir de racines dédiées exclusivement au TLS et ne doivent contenir que l'EKU d'authentification du serveur (ServerAuth).

  3. Durée de vie réduite des certificats TLS: Le CA/Browser Forum a approuvé la réduction de la durée de validité maximale des certificats TLS à 200 jours à compter du 15 Mars 2026.

REMARQUE: Ces changements s'appliquent uniquement aux certificats TLS de confiance publique.

Calendrier de Chrome et Mozilla pour la Suppression de la Confiance Basée sur l'âge de la Racine

Chrome et Mozilla ont tous deux annoncé leur intention de supprimer la confiance accordée aux anciennes racines TLS en fonction de leur date de création.

Date de création de la clé racine Suppression de la confiance du navigateur pour TLS Racines GlobalSign concernées
Avant 2006

15 Avril 2025

 Racine GlobalSign R1 (émission désactivée) 
2006 - 2007

15 Avril 2026

  

2008 - 2009

15 Avril 2027

Racine GlobalSign R3*

2010 - 2011

15 Avril 2028

  

2012 - 14 Avril 2014

15 Avril 2029

Racine GlobalSign R5 (ECC) 

15 Avril 2014 - aujourd'hui

15 ans à compter de la création

Racine GlobalSign R6 

 

* Pour Racine R3, GlobalSign doit cesser d'émettre les certificats TLS de 200 jours d'ici le 27 Août 2026 afin de garantir la confiance totale des navigateurs pendant toute leur durée de vie.

Transition vers des Racines Dédiées TLS et des Profils de Certificats 

Les racines dédiées TLS sont utilisées uniquement pour les certificats TLS de confiance publique. Elles ne sont pas partagées avec les services de messagerie sécurisée, de signature de code ou d'autres cas d'utilisation de l'infrastructure à clé publique (PKI).
En 2019, GlobalSign a créé de manière proactive deux racines dédiées au TLS:

  • R46 - Racine TLS RSA

  • E46 - Racine ECC TLS

Lorsqu'ils sont émis à partir de racines dédiées au TLS, les certificats TLS doivent:

  • Ne contenir que l'utilisation étendue de clé (EKU) « Authentification du serveur » (ServerAuth)

  • L'authentification client (ClientAuth) et les autres EKU ne seront plus autorisées

Contrainte SCTNotAfter de Chrome

Les racines GlobalSign actuelles (R3, R5, R6) sont des racines polyvalentes. Les politiques des navigateurs exigent désormais que l'émission de certificats TLS soit séparée des autres cas d'utilisation de l'infrastructure PKI.
Google Chrome appliquera une contrainte SCTNotAfter à toutes les racines polyvalentes de GlobalSign:

  • Date d'entrée en vigueur : 13 Septembre 2026 (90 jours après le 15 Juin 2026)

  • Les certificats émis avant cette date resteront fiables pendant toute leur durée de validité

  • Les certificats émis après cette date ne seront pas considérés comme fiables par Google Chrome

Que Faire si vous Avez Besoin d'une Authentification Client ?

Si vous avez besoin de certificats TLS avec EKU ClientAuth ou si vous n'avez pas besoin de la confiance du navigateur, GlobalSign recommande d'utiliser IntranetSSL, qui offre:

  • Une durée de validité plus longue pour les certificats

  • Des périodes de réutilisation de domaine plus longues

  • Pas de vérification CAA

  • Pas de journalisation de la transparence des certificats (CT) (confidentialité renforcée)

Ce que cela Cignifie pour vous

  • Si vous utilisez des certificats TLS de confiance publique:

    • Vous passerez automatiquement à des racines dédiées au TLS selon le calendrier ci-dessous

    • Des durées de validité des certificats plus courtes (200 jours) s'appliqueront à partir de Mars 2026

    • Les certificats avec EKU ClientAuth ne seront plus disponibles à partir des racines TLS publiques

  • Si vous n'avez pas besoin de la confiance du navigateur:

    • Aucune action immédiate n'est requise

    • Les racines existantes restent valides pour les cas d'utilisation non TLS

    • IntranetSSL peut constituer une meilleure option à long terme

Plan de Transition de GlobalSign

Clients Atlas

Consultez le plan de transition Atlas - GlobalSign pour plus d'informations.

Clients GCC

  • 4e trimestre 2025: création de nouvelles autorités de certification MSSL OV/EV à usage facultatif

  • 27 Juillet 2026: tous les produits des clients et des partenaires passeront à des racines dédiées au TLS

  • 13 Septembre 2026: tous les comptes restants qui n'auront pas migré en juillet passeront aux racines dédiées au TLS

  • Certification croisée: GlobalSign fournira des certificats croisés R3→R46 et R5→E46 afin d'assurer une compatibilité maximale pendant la transition

REMARQUE: Les clients qui n'ont pas besoin de la confiance du navigateur sont encouragés à utiliser IntranetSSL.

Système d’Alerte GlobalSign

Voir les alertes de système récentes.

Voir les Alertes

Atlas Discovery

Analysez vos terminaux pour localiser tous vos Certificats.

Inscrivez-vous

Configuration Test SSL

Vérifiez l’installation de votre certificat pour les problèmes et les vulnérabilités SSL.

Contactez l’équipe support

Contactez-nous
close
Ventes: +33 9 75 18 32 00
Assistance technique: +33 9 75 18 32 00
E-Mail: ventes@globalsign.com