Expertise Portfolio Lexyrielle Articles Apps
LinkedIn

SSL

Changements à venir

Photo principale: SSL

SSL et HTTPS : cap à venir et changements majeurs

Décembre 2018, Royaume-Uni. 32 millions de personnes perdent brutalement leur signal 4G et leurs SMS. L’incident touche plus de 11 pays européens. Pas de cyberattaque. Pas de sabotage. Pas de panne matérielle majeure.

La cause : un certificat SSL expiré chez Ericsson, l’un des plus grands équipementiers télécoms au monde. L’incident est public, documenté, reconnu par l’entreprise. Après des excuses officielles, Ericsson démantèle immédiatement le logiciel responsable de la gestion de ses certificats.

Le message est clair : même les organisations les plus matures peuvent tomber sur un point que tout le monde croyait “sous contrôle”. Ce cas n’est ni isolé, ni ancien. Il est le symptôme d’un problème structurel qui touche désormais toute l’économie numérique.

Le SSL : une infrastructure critique souvent sous-estimée

Le SSL — ou plus exactement TLS — est le mécanisme qui permet : de chiffrer les communications, d’authentifier les services, et de garantir l’intégrité des échanges numériques. Il ne protège plus seulement des pages web. Il est au cœur des API, des applications SaaS, des services cloud, des réseaux télécoms, des systèmes financiers et même des satellites.

⚠️

Et pourtant, dans de nombreuses organisations, la gestion des certificats repose encore sur : des alertes email, des tableurs, des responsabilités floues, ou des renouvellements manuels.

Les pannes SSL documentées : une liste qui s’allonge

Microsoft Teams (2020)

Un certificat d’authentification non renouvelé provoque trois heures d’indisponibilité mondiale. Des millions d’utilisateurs sont bloqués un lundi matin.

Spotify (2020 et 2022)

Un certificat expiré entraîne une panne d’une heure en 2020. Deux ans plus tard, une panne de neuf heures touche Megaphone, bloquant la diffusion à grande échelle.

Starlink (SpaceX)

Avril 2023 : Des satellites Starlink deviennent inopérants pendant plusieurs heures à l’échelle mondiale suite à un certificat expiré sur une station au sol.

Bank of England (2024)

Deux pannes liées à des certificats TLS expirés affectent le système RTGS, cœur du règlement interbancaire britannique, à moins de six mois d'intervalle.

Alaska Airlines (2024)

Septembre 2024 : Une panne informatique nocturne liée à des certificats provoque des perturbations majeures dans les opérations et des retards de vols.

Google Voice & Gouvernement US

Des interruptions évitables et des sites gouvernementaux inaccessibles (plus de 80 certificats expirés en 2020) paralysent les services publics.

Ce qui arrive maintenant : un changement brutal de cadence

Le CA/Browser Forum a acté une réduction drastique et progressive de la durée de validité des certificats TLS publics :

  • Aujourd’hui (Payant) 398 jours
  • Aujourd’hui (Let’s Encrypt) 90 jours
  • 2026 – 2027 Durées intermédiaires réduites
  • 2029 47 jours maximum

La fréquence de renouvellement va être multipliée par 5 à 8 en quelques années.

Let's Encrypt a déjà annoncé l'introduction de certificats plus courts dès 2026, avec une réduction progressive jusqu’à environ 45 jours. Ce calendrier n’est plus théorique. Il est adopté, validé et en cours d’exécution.

Le vrai problème : ce n’est pas le SSL

Le problème n’est pas cryptographique. Il est organisationnel. Le SSL est traité comme un composant statique, alors qu’il est devenu un actif dynamique, avec un cycle de vie court, critique et transversal.

Dans la majorité des pannes documentées, la date d’expiration était connue et les certificats étaient légitimes. Les systèmes fonctionnaient normalement jusqu’au moment précis de l’expiration.

Pourquoi cela change tout

  • Renouvellement manuel : Devient structurellement impossible avec des certificats valables quelques semaines.
  • Risque récurrent : Le moindre oubli se transforme rapidement en panne. Les incidents vont devenir plus fréquents.
  • Points de défaillance : Sans cartographie et automatisation complète, les organisations vont mécaniquement multiplier les risques.

Un sujet désormais stratégique pour les dirigeants

  • Risque Opérationnel : Un certificat expiré ne déclenche pas une alerte progressive. Il coupe un service net.
  • Dépendance Critique : C'est un risque mesurable au même titre qu'un fournisseur cloud ou un plan de reprise d’activité insuffisant.
  • Défaillance de Gestion : Aucun des incidents cités n’est lié à une cyberattaque. Ils sont dus à une défaillance du cycle de vie.
  • Visibilité : Ce qui était un événement exceptionnel va devenir un risque récurrent pour ceux qui n'anticipent pas.

La question n’est pas “si” cela arrivera, mais “quand” — et avec quel niveau de préparation.

Anticiper et Gouverner

Les organisations doivent impérativement mettre en place :
1. Une cartographie exhaustive de leurs certificats.
2. Une automatisation complète du renouvellement.
3. Une supervision active des expirations.

Le SSL est devenu l’un des piliers silencieux de l’économie numérique

Son échec ne fait pas de bruit avant l’impact. Mais quand il tombe, tout s’arrête. La réduction drastique de la durée de vie des certificats ne crée pas un nouveau problème. Elle révèle brutalement un problème déjà existant.

"Les organisations qui anticipent — en automatisant, en gouvernant et en supervisant leurs certificats — transformeront cette contrainte en avantage opérationnel. Les autres rejoindront une liste d’incidents publics qui continue d’augmenter."

Partager cet article