tbs news #50 - Juin 2025

	Dépréciation de l’EKU authentification client De nouvelles exigences de sécurité interdisant l’inclusion de l’EKU d’authentification client dans les certificats SSL/TLS publics entreront en vigueur courant 2026. L’Extended Key Usage d’authentification client va donc être progressivement abandonné par les autorités. LE COIN DU SPÉCIALISTE

LES TITRES

Éditorial Procédure d’audit Sectigo et délais de livraison Dossier - TBSCertBot et le monitoring des agents Limitation de la durée de vie des certificats SSL DCV et WHOIS QWAC, CertiServ & téléprocédures Univers API

Édito

C’est désormais officiel, décision a été prise par le CA/B Forum de réduire la durée de vie des certificats SSL et ce dès mars 2026 (200 jours).

Plus que jamais il est temps de mettre en place les outils d’automatisation pour faciliter la gestion de vos certificats SSL dans l’optique de pallier ces nouvelles contraintes. Dans ce numéro nous mettons l’accent sur TBSCertBot, notre outil d’automatisation maison.

L’équipe de TBS CERTIFICATS

Procédure d’audit Sectigo & impact sur les délais de livraison

Depuis le 1^er juin, Sectigo a renforcé le contrôle de vérification finale dans sa procédure d’audit.

Quels sont les produits concernés ?
Tous les certificats serveur OV de l’autorité (incluant les produits TBS X509) sont impactés.

Ce qui change
Chaque dossier (nouvelle demande, renouvellement et refabrication) doit passer par un appel de vérification finale auprès du contact administratif avant de pouvoir être validé.

Cet appel est effectué sur un numéro qui a été certifié par l’autorité (il doit donc être présent sur une base qualifiée de type Pages Jaunes).

Ce qu’il ne faut pas faire
Une fois le numéro vérifié, le contact administratif reçoit un mél de Sectigo l’invitant à planifier son appel. Depuis cette page, il est possible d’indiquer un autre numéro de téléphone.

NE DONNEZ PAS DE LIGNE DIRECTE OU DE NUMÉRO DE PORTABLE POUR LE RAPPEL !

L’autorité doit vérifier ce numéro avant de pouvoir l’utiliser. Si elle est dans l’incapacité de le faire, votre dossier peut rester bloqué plusieurs jours.

Délais de traitement
Cela impacte significativement les délais de traitement des produits concernés.

Les délais de livraison des produits Sectigo et TBS X509 ont donc été revus à la hausse.

‣ Consulter les délais de livraison

dossier // OUTILS D’AUTOMATISATION NOUVELLE VERSION 0.9.3 DE TBSCERTBOT : NOMMEZ ET SUIVEZ VOS AGENTS
TBSCertBot est notre outil vous permettant d’automatiser le renouvellement, la refabrication et l’installation de vos certificats directement sur vos serveurs ou sur une machine de centralisation. La nouvelle version 0.9.3 de TBSCertBot est sortie cette semaine et, contrairement à d’autres outils « certbot », elle va plus loin avec un tableau de bord pour vérifier visuellement le bon fonctionnement des agents. Mais encore ? Désormais vous pourrez voir tous vos agents opérationnels en mode cron (planificateur de tâches) avec un nommage personnalisé. Il est également possible de configurer les remontées d’erreur.		Et à l’avenir ? Le tableau de bord s’enrichira avec la possibilité de visualiser les certificats gérés par chaque agent, programmer une refabrication forcée, consulter l’état du monitoring, lancer un test... TBSCertBot vous donnera une vision globale de votre infrastructure de certificats. Où trouver la page de suivi de mes agents ? Dans votre espace client, rubrique « Automatisation », « agents TBSCertBot ». Elle liste tous les agents actifs ainsi que leur nom, identifiant, adresse IP, utilisateur API lié, version de TBSCertBot ainsi que la date et l’heure auxquelles l’agent s’est manifesté pour la dernière fois. Les agents s'afficheront :		en rouge si l’agent ne s’est pas lancé depuis plus de 72 heures en orange si l’agent ne s’est pas lancé depuis plus de 25 heures en vert si l’agent a été actif lors des 25 dernières heures Nos recommandations Pour profiter pleinement de votre TBSCertBot et particulièrement de ses fonctionnalités les plus récentes nous vous recommandons de lancer votre agent TBScertbot 2 fois par jour en activant un cron en suivant cette documentation. L’environnement de test Pour rappel une sandbox (espace de test) est à votre disposition si vous souhaitez tester TBSCertBot. Cependant il reste très facile de se lancer en installant un TBSCertBot puis en important un certificat TBS existant !
Le tableau de bord présentant les agents et leurs statuts : Retrouvez une documentation TBSCertBot complète dans notre FAQ				Les nouveautés notables apportées par les versions 0.9.2 & 0.9.3 de TBSCertBot Support de la méthode DCV DNS Nouvelles valeurs pour le connecteur DCV Vérification de la disponibilité d’une nouvelle version de TBSCertBot Envoi d’informations vers le tableau de bord TBS Possibilité pour les agents de lire l’ordre de refabrication donné par le serveur (priorisation des tâches) Documentation complète restructurée avec guides d’installation, configuration, hooks... ‣ Consulter notre documentation en ligne

Durée de vie des certificats SSL - Calendrier

398 jours

200 jours

100 jours

47 jours

06/2025

15/03/2026

15/03/2027

15/03/2029

Les normes évoluent

Le CA/B Forum a voté, il y a quelques jours, la limitation de la durée de vie des certificats SSL.

Pour rappel, la durée de vie maximale est aujourd’hui de 398 jours, soit 1 an et 1 mois.

La réduction de la durée de vie des certificats SSL se fera par étape pour atteindre 47 jours en 2029.

Quelles conséquences ?
La plupart des offres évoluera vers des versions forfaits et les forfaits en cours verront leurs dates de refabrication ajustées pour respecter les nouvelles durées autorisées.

‣ En savoir plus

Rappel - DCV Email

À partir 15 juillet 2025, les autorités ne pourront plus utiliser les adresses méls trouvées au WHOIS pour effectuer des validations DCV.

De même, les pré-validations DCV mises en place grâce à une adresse mél trouvée au WHOIS ne pourront plus être utilisées.

Si vous voulez continuer à utiliser le DCV par mél assurez-vous d’avoir accès à l’une des adresses admin@ administrator@ hostmaster@ postmaster@ webmaster@ sur tous vos noms de domaines.

‣ En savoir plus

QWAC, CertiServ & téléprocédures

Chorus
La plateforme de dépôt de factures destinées aux entités publiques accepte désormais les certificats QWAC de Sectigo.

Suite Jeton
La dernière version de la plateforme Suite Jeton, publiée récemment, est compatible avec les certificats CertiServ Server Client de ChamberSign.

Univers API

2 nouveautés sont arrivées dans notre univers API REST :

API REST : un appel permet de demander à Sectigo ou Digicert de retester le DCV
API XML : pour aider à implémenter cette dernière, nous publions un kit qui génère le XML correspondant aux opérations courantes

‣ Documentation en ligne

ET TOUJOURS DE NOMBREUX SERVICES DISPONIBLES EN LIGNE

CopiBot Êtes-vous certain de la bonne installation de vos certificats serveur ? Faites le test maintenant !	Assistants Un peu perdu ? ils vous aideront dans le choix de vos certificats serveur, client ou solutions PKI !	Foire aux questions 1 300 pages de conseils et d’infos techniques !	TBSCertBot L’outil en ligne de commande pour la gestion de vos commandes de certificats.

TBS CERTIFICATS - 22 rue de Bretagne, 14000 Caen - marc.hello@tbs-certificats.com - Tél : 0805 696 344 (Appel gratuit depuis un poste fixe en France)

Si vous ne souhaitez plus recevoir cette newsletter rendez-vous sur votre page statut ou cliquez ici

LE COIN DU SPÉCIALISTE