Actualités

IdentTrust DST Root CA X3 : le certificat de Let’s Encrypt risque de priver d’Internet de nombreux terminaux Bureau et Mobile, dès le 30 Septembre 2021 ! (ça va couper…)

Pour les professionnels ou initiés, cela n’est sans doute pas une nouvelle : depuis le 6 Novembre 2020, Let’s Encrypt, une autorité de certification fournissant des certificats numériques gratuits, venait de commencer à entamer le compte à rebours.

 

 

“Nous avons émis notre propre certificat racine («ISRG Root X1») et demandé qu’il soit approuvé par les principales plates-formes logicielles […] Certains logiciels qui n’ont pas été mis à jour depuis 2016 (environ lorsque notre racine a été acceptée dans de nombreux programmes racine) ne font toujours pas confiance à notre certificat racine, ISRG Root X1. Plus particulièrement, cela inclut les versions d’Android antérieures à 7.1.1. Cela signifie que ces anciennes versions d’Android ne feront plus confiance aux certificats émis par Let’s Encrypt […] Actuellement, 66,2% des appareils Android exécutent la version 7.1 ou supérieure. Les 33,8% restants des appareils Android finiront par recevoir des erreurs de certificat lorsque les utilisateurs visiteront des sites dotés d’un certificat Let’s Encrypt. Dans nos communications avec les grands intégrateurs, nous avons constaté que cela représente environ 1 à 5 % du trafic vers leurs sites. Espérons que ces chiffres seront inférieurs au moment où DST Root X3 expirera l’année prochaine“, était-il mentionné dans le communiqué originel de Let’s Encrypt, le 6 Novembre 2020. Pour pallier, toutefois et temporairement, au problème, une solution de contournement – uniquement sous Android, est-il précisé – a été formulée, le 21 Décembre 2020 par l’autorité de certification : un casse-tête d’une durée de trois ans (2024, au maximum, en terme de validité-certificat !) où éditeurs et constructeurs (?) devront travailler main dans la main s’ils veulent appliquer cette solution. “nous serons en mesure de fournir aux abonnés une chaîne contenant à la fois ISRG Root X1 et DST Root CA X3, garantissant un service ininterrompu à tous les utilisateurs et évitant les ruptures potentielles qui nous inquiétaient. Nous n’effectuerons pas notre changement de chaîne précédemment planifié le 11 janvier 2021. Au lieu de cela, nous passerons pour fournir cette nouvelle chaîne par défaut fin janvier ou début février”, était-il proposé, à l’époque également, le 21 Décembre 2020.

Finalement et au 7 Mai 2021, un dernier rappel a été émis par Let’s Encrypt pour signifier, entre les lignes, que le non-maintien de support pour certains systèmes (Bureau, Mobile) ne permettra pas d’avoir une quelconque atténuation : les solutions de contournements sont viables, in facto, pour peu que les fabricants ou éditeurs acceptent d’impulser une mise à jour, ici, exceptionnelle. Certes, il serait totalement surréaliste de maintenir à jour les versions très anciennes d’un système donné mais à la vue de l’impact que cela aura, il faudrait, sécuritairement, adopter une stratégie de support minimale, par éditeur et / ou par type de système, pour permettre, dans ce type de cas spécifique, maintenir un minimum un système, pour éviter de laisser des millions de personnes sur le bas-côté, comme s’apprête à le faire Windows 11, en excluant tout système n’ayant pas un module sécuritaire (carte mère) TPM v2.0, entre-autres.

Outre l’aspect éthique (il est souligné, en Novembre 2020, quelques 33,8 % de personnes ou profils utilisant encore un terminal sous Android : cela reviendrait donc couper l’accès à l’Internet à près d’un tiers des utilisateurs Android… !). Sur le vif, une question intervient donc : quel choix feront les éditeurs Web ? Dans l’attente d’une réponse à cette question, il sera recommandé à l’utilisateur concerné de continuer à naviguer sous Firefox Mobile (Android : v5.0 ou supérieure). Du côté des développeurs, des solutions d’adaptation stratégique à ce niveau risquent de s’imposer, si ce n’est déjà fait bien évidemment ; notamment sous OpenSSL (dès la version 1.0.2, est-il détaillé, dans un billet remontant au 13 Septembre 2021). Idem, concernant les solutions tournant sous Windows.

Du reste, pour les dommages collatéraux (les internautes) qui seront à la merci des choix des éditeurs ou entreprises développant des systèmes d’exploitation en version Bureau ou Mobile (macOS, Android, iOS, Windows…), voici un listing condensé des terminaux ou OS qui seront compatibles, avec la version minimale – ou égale – de support :

ISRG Root X1 (versions supérieures ou égales)DST Root CA X3 (versions supérieures ou égales)Non-plus compatibles (versions INFERIEURES ou EGALES)
WindowsXP SP3XP SP3XP SP3
macOS10.12.1“la plupart des versions”
iOS10 (l’iPhone 5, au minimum)
Android7.1.1 (sous cross-sign : dès la version 2.3.6)2.3.6
Mozilla Firefox50.02.0
UbuntuXenial, 16.04 (mise à jour à appliquer)12.04
DebianJessie, 8 (mise à jour à appliquer)Squeeze, 6
Java7 (7u151), 8 (8u141)7 (7u111), 8 (8u101)7 (7u111), 8 (8u101)
NSS3.263.11.9
Amazon FireOSNavigateur Web Silk
Cyanogen10
Jolla Sailfish OS1.1.2.16
Kindle3.4.1
Blackberry10.3.310.3.3
Console PS4 (firmware)5.005.00
Console de poche Nintendo 3DSx
Windows Live Mail (client-mail 2012, et non le WebMail)x
Console PS3x

 

Un travail est déjà mené (discussion) par Let’s Encrypt auprès de nombreux éditeurs pour le certificat ISRG Root X2. Un état des lieux a été recensés (actualisation au 24 Septembre 2021) pour tenter d’avoir une vue d’ensemble. Gageons que bon nombres d’éditeurs mais aussi de constructeurs (déploiement, mises à jour, support) tenteront de garder une oreille attentive et ouverte pour accélérer grandement des mises à jour patches exceptionnels sur certains systèmes d’exploitation… A veiller !

 

En complément, des liens vers des discussions (forums d’échanges développeurs) :




  • 100% J'apprécieVS
    0% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5