Ep.598 - RadioCSIRT - Certificats TLS, ACME et post-quantique - dimanche 15 mars 2026

Le CA/Browser Forum a voté en 2024 la réduction progressive de la durée de vie maximale des certificats TLS publics : 200 jours en mars 2026, 100 jours en mars 2027, 47 jours en mars 2029. À cette échéance, la période de réutilisation des données de validation DCV sera réduite à 10 jours. Le renouvellement manuel devient structurellement impossible à l'échelle — l'automatisation via le protocole ACME (RFC 8555) n'est plus une option, c'est une exigence opérationnelle. Cet épisode spécial, suggéré par Cédric, auditeur du podcast, couvre le cycle de vie complet des certificats TLS publics, le fonctionnement du protocole ACME et ses implémentations en production (Certbot, acme.sh, win-acme, cert-manager, Vault), les implications opérationnelles de la réduction des durées de vie pour les équipes de gestion de certificats, et les premiers jalons de la migration PKI post-quantique issue des standards NIST finalisés en août 2024 : ML-KEM (FIPS 203), ML-DSA (FIPS 204) et SLH-DSA (FIPS 205). Pour les équipes cyber, les chantiers sont identifiés : inventaire cryptographique, agilité cryptographique, certificats hybrides, mise à jour des bibliothèques cryptographiques (OpenSSL 3.x, liboqs). L'horizon de migration fixé par la NSA, le CISA et l'ANSSI est 2030 — les organisations qui commencent maintenant disposent d'une fenêtre opérationnelle. Sources : CA/Browser Forum — Ballot SC-081 : https://cabforum.org/working-groups/server/ballots/sc-081/ RFC 8555 — ACME Protocol (IETF) : https://www.rfc-editor.org/rfc/rfc8555 NIST FIPS 203 — ML-KEM (CRYSTALS-Kyber) : https://csrc.nist.gov/pubs/fips/203/final NIST FIPS 204 — ML-DSA (CRYSTALS-Dilithium) : https://csrc.nist.gov/pubs/fips/204/final NIST FIPS 205 — SLH-DSA (SPHINCS+) : https://csrc.nist.gov/pubs/fips/205/final ANSSI — Guide de migration vers la cryptographie post-quantique : https://www.ssi.gouv.fr/guide/migration-vers-la-cryptographie-post-quantique/ CISA — Post-Quantum Cryptography Initiative : https://www.cisa.gov/quantum Open Quantum Safe — liboqs : https://openquantumsafe.org Certbot — Documentation officielle : https://certbot.eff.org cert-manager — Documentation Kubernetes : https://cert-manager.io/docs/ Let's Encrypt — Réduction durée de vie 90 jours : https://letsencrypt.org/2025/01/22/shorter-lived-certs/ Apple — Proposition réduction 47 jours CA/B Forum : https://github.com/cabforum/servercert/pull/553 On ne réfléchit pas, on patch ! Vos retours sont les bienvenus. Répondeur : 07 68 72 20 09 Email : radiocsirt@gmail.com Site web : www.radiocsirt.org Newsletter Hebdo : https://radiocsirt.substack.com