Logo
Article Image
12 février, 20268 minutes de lecture

Migration PKI Peppol : de G2 à G3, ce que les Points d’Accès doivent savoir

Migration PKI Peppol G2 vers G3 : impacts, échéances et actions clés à anticiper pour les Points d’Accès afin d’assurer la continuité des échanges.

Author Image
Emilie Delaviere-invoicing Marketing Specialist

La Public Key Infrastructure (PKI) est l’un de ces piliers invisibles mais absolument critiques qui soutiennent l’ensemble du réseau Peppol. Sans elle, l’échange sécurisé des factures électroniques entre entreprises et administrations s’écroule. Pourtant, peu d’acteurs du marché comprennent réellement les enjeux techniques et réglementaires derrière la migration en cours des certificats OpenPeppol, du G2 au G3.

Chez Iopole, nous sommes Peppol Certified Service Provider et opérateur de flux. Nous accompagnons nos clients éditeurs logiciels et Points d’Accès Peppol en marque blanche pour traverser cette transition avec succès.

Cet article détaille la migration PKI, les implications pour les Points d’Accès et la manière dont Iopole sécurise ce processus pour ses clients.

Peppol et la PKI

Dans Peppol, chaque Point d’Accès (AP) et Service Metadata Publisher (SMP) s’authentifie et échange ses messages via des certificats numériques X.509. Ces certificats garantissent que :

  • Chaque AP communique avec des interlocuteurs de confiance.
  • Les messages AS4 (le protocole de communication sécurisé standard de Peppol) ne sont ni interceptés ni altérés.
  • La chaîne de conformité OpenPeppol reste intacte, de l’émetteur à l’utilisateur final.

Chaque certificat possède une chaîne de confiance hiérarchique : il est issu d’une autorité approuvée, et chaque certificat a une période de validité limitée ainsi que des paramètres techniques précis (clé publique, usages, dates, etc.)

Si un Peppol Certified Service Provider ne gère pas correctement un certificat (par exemple il ne l’installe pas, n’installe pas la bonne chaîne, ne le présente pas comme attendu par un interlocuteur AS4 ou par le testbed), alors il ne sera pas en mesure de s'authentifier dans le réseau et ne pourra ni émettre ni recevoir de documents. C’est une obligation technique stricte : soit on est aligné avec la bonne chaîne de confiance OpenPeppol, soit on ne peut pas communiquer sur le réseau.

Certificats Peppol

Les certificats Peppol ne sont pas des certificats TLS classiques. Ils sont émis par une Autorité de Certification (CA) agréée par OpenPeppol et suivent une chaîne de confiance spécifique. La délivrance de certificat est réalisée par l’autorité de certification DigiCert.

OpenPeppol distribue alors les certificats aux Peppol Certified Service Providers qui remplissent les conditions exigées (cf TestBed, on en parle plus bas).

Rôle des certificats :

  • Authentification AP ↔ AP : chaque Point d’Accès prouve son identité au réseau.
  • Sécurisation AS4 : signature et chiffrement des messages pour garantir intégrité et confidentialité.
  • Conformité réglementaire : seuls les certificats émis par Peppol permettent d’échanger des factures électroniques de manière légale.

Chaîne de confiance PKI

Chaque certificat repose sur un trust anchor (ou certificat racine) délivré par Peppol. La PKI Peppol est donc hiérarchique et contrôlée, garantissant que chaque acteur du réseau est identifié et fiable.

De G2 à G3 : ce qui change vraiment

La migration des certificats Peppol n’est pas un simple ajustement technique : elle marque un changement fondamental dans la manière dont le réseau sécurise et valide les échanges entre Points d’Accès.

Dans les faits, OpenPeppol change de fournisseur de certificat (l’autorité de certification CA) et de plateforme PKI. Le G2 (legacy) repose sur DigiCert Managed PKI v8 (MPKI8) alors que G3 est basée sur DigiCert One Trust Lifecycle (DOTL). Dans l’idée, ce changement apporte de nouvelles racines et intermédiaires, une meilleure gestion des certificats et une approche plus moderne du cycle de vie des clés.

Pour comprendre l’enjeu, il faut comparer la version actuelle (G2) et la nouvelle génération (G3).

Certificats Peppol G2

Le certificat G2 est utilisé aujourd’hui et restera valide jusqu’au 1er avril 2026. Il est émis via la plateforme MPKI8 de DigiCert, qui a servi de socle pendant plusieurs années.

Si cette plateforme a bien fonctionné, elle présente aujourd’hui plusieurs limites :

  • Ancien format de truststore : moins flexible pour les environnements modernes.
  • Contraintes sur l’enrôlement : certaines opérations nécessitent encore des procédures manuelles, peu adaptées à la montée en charge.
  • Gestion du cycle de vie limitée : renouvellement, révocation et suivi des certificats sont moins optimisés, ce qui complique l’anticipation des transitions futures.

G2 a donc permis à Peppol de se déployer efficacement, mais la plateforme atteint ses limites face aux besoins de sécurité, de scalabilité et de conformité réglementaire actuels.

Certificats Peppol G3

Le certificat G3 existe depuis le 11 aout 2025. G3 représente une évolution structurante. Il est émis via DOTL (DigiCert One Trust Lifecycle) et introduit plusieurs améliorations notables :

  • Nouveau trust anchor et nouveaux intermédiaires, garantissant une chaîne de confiance plus robuste.
  • Formats de keystore modernisés, compatibles avec les standards actuels et futurs. G3 adopte des formats standardisés, plus compatibles avec les infrastructures modernes et les pratiques de sécurité actuelles (PKCS#12 vs anciens formats propriétaires).
  • Gestion complète du cycle de vie des certificats. DOTL offre un cycle de vie de certificat plus robuste, avec options d’enrôlement sécurisées (CSR hors ligne), renouvellement automatique et révocation simplifiée. Chaque Peppol Certified Service Provider doit donc ajuster son infrastructure pour gérer ces nouveaux processus et garantir que les certificats G3 sont correctement validés à chaque échange.
  • Meilleures pratiques cryptographiques
  • ➙ Le nouveau PKI inclut des options d’enrôlement basées sur CSR (Certificate Signing Request).
  • ➙ Cela permet aux entités de générer leurs clés privées hors ligne, une meilleure pratique de sécurité, plutôt que de dépendre uniquement d’un portail web.
  • Stabilité à long terme des racines de confiance
  • ➙ Le trust anchor G3 a une durée de validité plus longue (10 ans), ce qui réduit la fréquence des migrations forcées dans le futur et sécurise davantage la chaîne de confiance.

À l’issue de la période de transition, toutes les communications Peppol devront se faire via G3.

Calendrier Peppol de migration des PKI

Capture d’écran 2026-02-09 110508.png
Capture d’écran 2026-02-09 110508.png

  • Entre le 11/02 et le 01/04, l’infrastructure Peppol doit gérer le dual capability.

  • Après le 01/04, tout Peppol Certified Service Provider qui n’aura pas migré sera hors réseau et non conforme.

Le Testbed : passage obligé pour la délivrance des certificats

Le Testbed Peppol est la plateforme de tests officielle centralisée qui permet de valider :

  • La conformité technique d’un AP (Access Point) avec les specs OpenPeppol.
  • Le support dual G2 + G3 durant la période de transition.
  • La réussite du test est un prérequis obligatoire pour demander un certificat de production G3.

⚠️ Il faut importer un certificat de test PKI Peppol dans le navigateur/keystore pour s’authentifier au Testbed.

On peut demander des certificats test ou production en spécifiant : AP/SMP, environnement cible, version de certificat (G2 ou G3). Pour G3, l’enrôlement peut se faire en Web-Based Enrollment ou via CSR. En parallèle, il faut s’assurer que l’environnement technique (AP, SMP) supporte la nouvelle PKI (G3) et installe correctement les truststores/keystores.

Avant de recevoir un certificat G3 de production, chaque Peppol Certified Service Provider doit passer par le Testbed Peppol :

  • Le Testbed valide que le Point d’Accès Peppol supporte les messages dual G2/G3
  • Il teste les échanges AS4, la signature, le chiffrement et la validité de la chaîne de confiance.
  • Sans testbed réussi, OpenPeppol ne délivrera pas le certificat G3 de production.

Chez Iopole, nous fournissons l’infrastructure technologique de nos clients. Ce sont donc nos équipes qui réalisent ce test pour les clients Points d’Accès en marque blanche et leur fournissons les résultats pour obtenir leur certificat de test et ensuite de production G3.

Une fois le test réussi, le demandeur se rapproche de OpenPeppol pour obtenir le certificat auprès de ces derniers.

Impact pour les Peppol Certified Service Providers

La migration de G2 vers G3 ne se limite pas à un simple changement de certificat : elle repose sur un changement profond de plateforme PKI, avec des implications concrètes pour tous les Points d’Accès.

En pratique, ces changements signifient que tout AP Peppol, qu’il soit classique ou en marque blanche, doit anticiper la mise à jour de ses keystores / trustores, la validation de la nouvelle chaîne G3 et la coexistence temporaire avec G2, sans quoi la communication sécurisée avec ses pairs serait impossible.

Pour les Peppol Certified Service Providers classiques :

  • Ils doivent gérer la coexistence G2/G3 pendant la période de transition.
  • Ils doivent s’assurer que leur infrastructure supporte les nouveaux truststores et keystores G3.

Pour les éditeurs de logiciels clients d’Iopole, la simple intégration de l’infra de compliance Iopole en API à leur solution suffit. Il n’y a rien à faire ;-)

Pour les Peppol Certified Service Providers en marque blanche :

  • Le client reste responsable de son certificat, mais ne gère pas l’infrastructure.
  • Iopole *ournit l’infrastructure et accompagne le client pour passer le Testbed et récupérer le certificat G3.

La marque blanche n’exonère pas de la conformité, mais Iopole diminue l’effort à fournir et le risque.

Comment Iopole sécurise la migration pour ses clients

Cette migration PKI n’est pas un simple changement technique, c’est un signal fort du réseau OpenPeppol :

  • La sécurité et la fiabilité des échanges sont non négociables.
  • Les Points d’Accès doivent anticiper et planifier pour rester conformes.
  • S’entourer d’un partenaire expert comme Iopole permet de déléguer la complexité tout en restant maître de son certificat et de sa conformité.

Iopole, en tant que Peppol Certified Service Provider, accompagne ses clients pour que cette transition soit fluide et maîtrisée.

Si vous êtes concerné par la migration PKI Peppol ou si vous envisagez de rendre votre logiciel Point d’Accès Peppol en marque blanche, échangeons. Nous vous montrerons comment rester compliant, sécurisé et opérationnel !

Articles récents

Webinaire Facturation Electronique pour les sociétés de conseil
26 février, 2026Annonces

Webinaire Facturation Electronique pour les sociétés de conseil

LIVE WEBINAR STAFIZ x IOPOLE Jeudi 12 mars 2026 - Logiciel de gestion staffing

 Editeurs logiciels & Plateformes agréées : Les points clés d’un projet de facturation électronique
23 février, 2026Informations

Editeurs logiciels & Plateformes agréées : Les points clés d’un projet de facturation électronique

Conférence lors de la journée Facture électronique organisée par Archimag et ACE by Archimag le 17 février 2026.

Facturation électronique 2026 : les choix techniques que les éditeurs ne peuvent plus repousser
13 février, 2026Annonces

Facturation électronique 2026 : les choix techniques que les éditeurs ne peuvent plus repousser

À l’approche de 2026, les éditeurs doivent faire des choix techniques structurants pour intégrer la facturation électronique sans impacter leur produit.