Un certificat de sécurité utilisé par de nombreux appareils expire ce 30 septembre 2021.
Sans ce certificat, ces appareils ne pourraient pas afficher de nombreux sites Web, alors que la plupart des sites Web et des plates-formes utilisent désormais la norme HTTPS.
Le 30 septembre 2021, le certificat Root émis par Let’s Encrypt “IndenTrust DST Root CA X3” va expirer.
Ce certificat est toujours utilisé par des millions d’appareils d’authentification, entre autres, les connexions HTTPS sont devenues omniprésentes sur le web.
Habituellement, l’utilisateur n’a pas vraiment à se soucier de la validité du certificat.
Après tout, à chaque mise à jour, ces certificats sont remplacés par d’autres, ce qui retardera la résiliation du certificat sur un appareil donné.
Le problème c’est qu’on ne vit pas dans le meilleur des mondes, et que la prise en charge des mises à jour est limitée dans le temps.
Du coup, les appareils qui n’ont pas été mis à jour depuis plusieurs années et qui utilisent encore le certificat IdenTrust DST Root CA X3 vont se retrouver brutalement privés d’internet.
L’expiration du certificat IndenTrust DST Root CA X3 va semer le chaos à partir du 30 septembre 2021
Cela aura d’ailleurs d’autant plus d’effet que Let’s Encrypt est devenu une autorité majeure dans la délivrance de ce type de certificats. La firme annonçait encore récemment avoir dépassé les 2 milliards de certificats délivrés. La raison de ce succès ? Let’s Encrypt délivre gratuitement ces certificats, ce qui a favorisé leur adoption.
Le 30 septembre 2021, le certificat Root émis par Let’s Encrypt “IndenTrust DST Root CA X3” va expirer. Ce certificat est encore utilisé par des millions d’appareils pour valider, entre autres, les connexions HTTPS devenues monnaie courante sur le web. En temps normal, les utilisateurs n’ont pas vraiment à se soucier des fins de validité des certificats.
Après tout, à chaque mise à jour, ces certificats sont remplacés par d’autres, ce qui repousse la fin de validité des certificats sur un appareil donné. Le problème c’est qu’on ne vit pas dans le meilleur des mondes, et que la prise en charge des mises à jour est limitée dans le temps. Du coup, les appareils qui n’ont pas été mis à jour depuis plusieurs années et qui utilisent encore le certificat IdenTrust DST Root CA X3 vont se retrouver brutalement privés d’internet.
L’expiration du certificat IndenTrust DST Root CA X3 va semer le chaos à partir du 30 septembre 2021
Cela aura d’ailleurs d’autant plus d’effet que Let’s Encrypt est devenu une autorité majeure dans la délivrance de ce type de certificats. La firme annonçait encore récemment avoir dépassé les 2 milliards de certificats délivrés. La raison de ce succès ? Let’s Encrypt délivre gratuitement ces certificats, ce qui a favorisé leur adoption.
L’alternative, ce sont des acteurs privés comme Verisign qui facturent ce service. En soit, malgré cette situation, Let’s Encrypt n’est pas vraiment responsable de l’obsolescence programmée des appareils concernés. C’est en réalité leur fabriquant, qui, en ne délivrant plus de mise à jour, condamne les certificats que contiennent ces appareils à expirer.
Le post de blog mentionne la liste suivante des appareils, systèmes d’exploitation et programmes concernés par cette fin de validité. Nous avons ajouté la PS4 après lecture de cette autre page sur les potentiels appareils concernés. Notez par ailleurs que Android < 7.1.1 signifie aussi que les smartTV dotées d’anciennes versions d’Android / Android TV seront également touchées :
- OpenSSL <= 1.0.2
- Windows < XP SP3
- macOS < 10.12.1
- iOS < 10 (Les iPhone 5 sont les plus anciens à pouvoir installer iOS 10)
- Android < 7.1.1
- Mozilla Firefox < 50
- Ubuntu < 16.04
- Debian < 8
- Java 8 < 8u141
- Java 7 < 7u151
- NSS < 3.26
- Amazon FireOS (navigateur Silk Browser)
- PS4 (certaines version du firmware >= 5.0)
Notez que dans le rayon consoles, la PS3 et la Nintendo 3DS étaient déjà incompatibles avec le certificat IndeTrust DST Root CA X3. Il sera difficile sur la plupart des appareils de contourner le problème – faute de mise à jour constructeur. Si vous pouvez éditer les certificats sur les appareils concernés, il y a néanmoins peut-être un peu d’espoir.
Let’s Encrypt a en effet émis un nouveau certificat root baptisé ISRG Root X1 (cross-signed). L’autorité donne la marche à suivre suivante, qui ne fonctionnera, on ne souligne, que sur les appareils sur lesquels vous pouvez apporter de vraies modifications (les iPhone, et les consoles, sont entre autres, a priori, exclues, de même que les appareils Android mentionnés dans la liste) :
- Supprimez le certificat root IdenTrust DST Root CA X3
- Installez manuellement la version non “cross-signed” du certificat ISRG Root X1
- Si vous utilisez une commande OpenSSL pour installer le certificat, ajoutez si possible le flag –trusted_first
- Faites en sorte qu’un serveur propose une chaine de certification alternative qui réfère directement vers le ISRG Root X1