Mis à jour le 29 mars 2026

Gestion des certificats SSL : automatiser le renouvellement avec Let’s Encrypt

En 2026, un site web sans certificat SSL est pénalisé par Google, bloqué par les navigateurs et inspire la méfiance des visiteurs. Let’s Encrypt, l’autorité de certification gratuite et automatisée, sécurise aujourd’hui plus de 400 millions de sites web dans le monde. Pourtant, 30 % des incidents liés aux certificats SSL sont causés par un oubli de renouvellement. L’automatisation du renouvellement n’est plus une option : c’est une nécessité pour garantir la continuité de service.

Sommaire

Comprendre les certificats SSL/TLS

Un certificat SSL/TLS remplit deux fonctions essentielles : il chiffre les échanges entre le navigateur et le serveur (confidentialité), et il authentifie l’identité du serveur (confiance). Sans certificat valide, les données transitent en clair sur le réseau et peuvent être interceptées.

Les types de certificats

  • DV (Domain Validation) : vérifie uniquement la propriété du domaine. Let’s Encrypt délivre ce type. Adapté à la majorité des sites.
  • OV (Organization Validation) : vérifie l’identité de l’organisation. Nécessaire pour certaines réglementations.
  • EV (Extended Validation) : vérification approfondie. Plus visible dans les navigateurs mais en perte d’usage.
  • Wildcard : couvre tous les sous-domaines d’un domaine (*.example.com). Disponible avec Let’s Encrypt.

Point clé : Un certificat Let’s Encrypt offre exactement le même niveau de chiffrement qu’un certificat payant. La différence porte uniquement sur le type de validation (DV vs OV/EV) et le support commercial. Pour 95 % des sites web de PME, un certificat Let’s Encrypt est parfaitement adapté et suffit aux exigences de sécurité et de référencement.

Let’s Encrypt : fonctionnement et avantages

Let’s Encrypt est une autorité de certification à but non lucratif, soutenue par des acteurs majeurs du web (Mozilla, Google, Cisco, OVH). Elle délivre des certificats SSL gratuits, automatisés et reconnus par tous les navigateurs.

Le protocole ACME

Let’s Encrypt utilise le protocole ACME (Automatic Certificate Management Environment) pour automatiser la validation de la propriété du domaine et la délivrance du certificat. Deux méthodes de validation sont disponibles :

  • HTTP-01 : le client ACME place un fichier de validation dans le répertoire .well-known/acme-challenge/ du serveur web. Simple et efficace pour les serveurs web classiques.
  • DNS-01 : le client ACME crée un enregistrement TXT dans le DNS du domaine. Nécessaire pour les certificats wildcard et les serveurs non accessibles depuis internet.
400 Mde sites sécurisés par Let’s Encrypt
90 joursdurée de validité des certificats
30 %des incidents SSL causés par un oubli de renouvellement

La durée de validité de 90 jours

Les certificats Let’s Encrypt ont une durée de validité de 90 jours, contre 1 an pour les certificats commerciaux. Ce choix délibéré pousse à l’automatisation du renouvellement, ce qui est en réalité plus sûr qu’un renouvellement manuel annuel souvent oublié.

Automatiser avec Certbot

Certbot est le client ACME officiel de Let’s Encrypt. Il gère la demande, l’installation et le renouvellement automatique des certificats. Disponible sur toutes les distributions Linux, il s’intègre nativement avec Apache et Nginx.

Installation et première demande

Sur une distribution Debian/Ubuntu avec Nginx, l’installation et la configuration initiale se font en quelques commandes. Certbot détecte automatiquement les domaines configurés dans Nginx et propose de les sécuriser.

Pour Apache, la procédure est similaire avec le plugin apache de Certbot. Le plugin configure automatiquement les VirtualHosts pour rediriger le trafic HTTP vers HTTPS et installe le certificat dans la configuration Apache.

Le renouvellement automatique

Certbot installe automatiquement un timer systemd ou une tâche cron qui tente le renouvellement deux fois par jour. Le renouvellement effectif n’intervient que lorsque le certificat expire dans moins de 30 jours. Cette fréquence de vérification garantit plusieurs tentatives en cas d’échec temporaire.

Pour vérifier que le renouvellement automatique fonctionne, la commande certbot renew –dry-run simule le processus sans modifier les certificats. Exécutez-la après chaque modification de configuration pour vous assurer que le renouvellement fonctionnera le moment venu.

Configurations avancées

Au-delà de la configuration basique, plusieurs scénarios nécessitent des configurations spécifiques.

Certificats wildcard

Les certificats wildcard (*.example.com) couvrent tous les sous-domaines d’un domaine. Ils sont indispensables quand le nombre de sous-domaines est dynamique ou très élevé. Avec Let’s Encrypt, les certificats wildcard nécessitent la validation DNS-01.

L’automatisation de la validation DNS-01 requiert un plugin Certbot compatible avec votre hébergeur DNS (Cloudflare, OVH, AWS Route 53, etc.). Le plugin modifie automatiquement les enregistrements DNS pour la validation, rendant le processus entièrement automatique.

Reverse proxy et conteneurs

Dans une architecture avec reverse proxy (Nginx, Traefik, HAProxy), le certificat SSL est généralement géré au niveau du reverse proxy. Traefik, populaire dans les architectures Docker, intègre nativement le support ACME et renouvelle automatiquement les certificats pour tous les services configurés.

  • Traefik : gestion ACME intégrée, idéal pour les architectures Docker/Kubernetes
  • Caddy : serveur web avec HTTPS automatique par défaut via ACME
  • Nginx Proxy Manager : interface graphique pour gérer les certificats Let’s Encrypt avec Nginx

Post-renouvellement : hooks

Certains services nécessitent un rechargement après le renouvellement du certificat. Certbot permet de configurer des hooks de post-renouvellement qui exécutent automatiquement les commandes nécessaires : rechargement de Nginx, redémarrage d’un service, copie du certificat vers un autre emplacement.

Monitoring et bonnes pratiques

Même avec l’automatisation en place, le monitoring des certificats reste indispensable. Un échec silencieux du renouvellement peut passer inaperçu jusqu’à l’expiration du certificat.

Les outils de monitoring SSL

  • Configurez une alerte dans votre outil de monitoring (Uptime Kuma, Datadog) pour vérifier l’expiration du certificat
  • Alertez 30 jours, 14 jours et 3 jours avant l’expiration
  • Vérifiez la chaîne de certification complète (certificat + intermédiaires)
  • Testez votre configuration SSL avec SSL Labs (ssllabs.com/ssltest) pour obtenir un grade A

Bonnes pratiques de sécurité TLS

Le certificat seul ne suffit pas. La configuration TLS du serveur web doit être durcie. Désactivez les protocoles obsolètes (TLS 1.0, TLS 1.1), utilisez uniquement des cipher suites modernes, activez HSTS (HTTP Strict Transport Security) et configurez les en-têtes de sécurité appropriés.

Questions fréquentes
3 questions
Oui, un certificat Let’s Encrypt offre le même niveau de chiffrement (AES-256) qu’un certificat commercial et est reconnu par tous les navigateurs. Pour un site e-commerce, le paiement est généralement géré par un prestataire externe (Stripe, PayPal) qui dispose de ses propres certificats. Votre certificat Let’s Encrypt sécurise le reste du site. La conformité PCI-DSS ne requiert pas un type spécifique de certificat, mais un chiffrement TLS 1.2 minimum correctement configuré.
Certbot tente le renouvellement deux fois par jour pendant les 30 derniers jours de validité du certificat. Si toutes les tentatives échouent (port 80 bloqué, DNS modifié, serveur indisponible), le certificat expire et les navigateurs affichent un avertissement de sécurité. C’est pourquoi le monitoring est essentiel : une alerte à 14 jours de l’expiration vous laisse le temps d’investiguer et de résoudre le problème manuellement.
Oui, les certificats Let’s Encrypt peuvent sécuriser n’importe quel service TLS : serveur mail (SMTP, IMAP, POP3), serveur VPN (OpenVPN, WireGuard), serveur FTP (FTPS) ou tout autre service. La méthode de validation DNS-01 est recommandée pour les services non-web car elle ne nécessite pas de serveur HTTP. Configurez les hooks de post-renouvellement pour recharger les services concernés après chaque renouvellement.

Besoin d’accompagnement ?

Odyssix met en place et maintient l’infrastructure SSL de vos serveurs. Configuration Let’s Encrypt, automatisation du renouvellement, durcissement TLS, monitoring : nous sécurisons vos échanges sans interruption de service.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter