Changements printaniers dans les certificats root/intermédiaires
6 avr. 2026 | Jindřich Zechmeister
Au cours des mois d'avril et mai 2026, certains certificats root et intermédiaires perdront leur confiance dans les écosystèmes de Mozilla et DigiCert. Cet article résume les raisons ainsi que les implications pratiques
Au cours des deux prochains mois, nous assisterons à une double défiance envers plusieurs certificats racine et intermédiaire (ICA), qui sont révoqués pour garantir la compatibilité avec les programmes Mozilla Root et Chrome Root. Vous n'avez pas à vous inquiéter, cela ne représente aucune complication pour nos clients.
Défiance de Mozilla pour les certificats racine G1
À partir du 15 avril 2026, Mozilla cessera de faire confiance à plusieurs anciens certificats racine G1. La raison n'est pas leur compromis, mais le fait que ces certificats racine G1 (première génération) étaient polyvalents. Ils étaient utilisés non seulement pour l'émission de certificats TLS pour le WebPKI, mais aussi pour d'autres produits comme la signature de documents. Mozilla et Google souhaitent que des hiérarchies ICA distinctes soient utilisées pour le WebPKI et les navigateurs, sans combiner différents types de produits.
Voici les certificats racine concernés :
- DigiCert Assured ID Root CA
- DigiCert Global Root CA
- DigiCert High Assurance EV Root CA
Ces certificats racine ne seront plus fiables dans les produits Mozilla à partir du 15 avril 2026 et DigiCert ne les utilise déjà plus par précaution. Les certificats nouvellement émis n'utilisent plus ces certificats racine et les certificats existants seront valides jusqu'à leur expiration.
Qu'est-ce que cela signifie pour nos clients ?
La plupart de nos clients ne rencontreront même pas ce problème, puisque leurs certificats sont émis avec un certificat racine plus récent (G2 ou G3). La nécessité de réémission et de remplacement de la racine ne concernait qu'un petit groupe d'utilisateurs qui utilisaient encore les racines mentionnées ci-dessus. Nous les avons prévenus individuellement et les avons aidés avec la réémission.
Révocations de mai - certificats ICA G3 et G5
Le 15 mai 2026, DigiCert révoquera plusieurs certificats intermédiaires G2 et G3, mais pas les certificats émis à partir de ceux-ci. Pour maintenir leur fiabilité, ils devraient être régénérés avec de nouveaux intermédiaires. L'objectif de cette action est de réserver des intermédiaires distincts uniquement pour l'émission de certificats TLS.
ICA révoqués au 15 mai
Certificats ICA destinés à l'émission de certificats TLS :
- DigiCert Global CA G2
- DigiCert G2 SMIME RSA4096 SHA384 2024 CA1
Certificats ICA destinés à la signature de code :
- DigiCert Global G3 Code Signing ECC SHA384 2021 CA1
- DigiCert Global G3 Code Signing ECC P256 SHA384 2021 CA1
- DigiCert Global G3 Code Signing Europe ECC P-384 SHA384 2023 CA1
Deux racines G5 signées de façon croisée, qui n'étaient pas couramment utilisées, seront également révoquées :
- G3 Cross Signed DigiCert TLS ECC P384 Root G5
- G3 Cross Signed DigiCert CS ECC P384 Root G5
Qu'est-ce que cela signifie pour nos clients ?
Pour ces changements au 15 mai, nous pouvons déjà constater que l'impact sur nos clients est absolument nul et il n'est pas nécessaire de faire de réémission.
Nos recommandations aux clients et développeurs
Nous conseillons depuis longtemps de ne pas utiliser le "certificate pinning" pour les applications et autres projets utilisant des certificats. La fiabilité du certificat doit être vérifiée par rapport à son certificat racine et aux signatures successives dans la chaîne de certification. Tout contrôle "strict" des autorités émettrices est très risqué pour l'avenir. Vous intégrez un mécanisme dans vos applications qui compliquera plus tard votre vie, car les ICA changeront à un moment donné.
Les changements à venir en sont un exemple et, à l'avenir, toutes les autorités de certification (CA) voudront encore plus fréquemment faire tourner leurs certificats ICA et établir des hiérarchies distinctes pour différents usages. En outre, dans les années à venir, l'algorithme utilisé changera avec l'arrivée du PQC, suivie de certificats hybrides, donc les changements dans ce sens sont inévitables. Utilisez d'autres mécanismes de contrôle que le "CA pinning", qui ne seront pas perturbés par un éventuel changement de certificat intermédiaire.
Ressources et plus d'informations
- Mises à jour des certificats racine et intermédiaire de DigiCert 2023
- DigiCert transitant des racines multipurpose G2 et G3 vers des hiérarchies racine TLS dédiées
