Aujourd'hui, 30 septembre, La durée de vie du certificat racine IdenTrust a expiré et est-ce que ce certificat a été utilisé pour signer le certificat Let's Encrypt (ISRG Root X1), contrôlés par la communauté et fournissent des certificats gratuitement à tous.
La société a garanti la confiance des certificats Let's Encrypt sur une large gamme d'appareils, de systèmes d'exploitation et de navigateurs tout en intégrant le propre certificat racine de Let's Encrypt dans les magasins de certificats racine.
Il était initialement prévu qu'après DST Root CA X3 obsolète, le projet Let's Encrypt il passera à la génération de signatures en utilisant uniquement votre certificat, mais une telle étape entraînerait une perte de compatibilité avec beaucoup d'anciens systèmes qui ne le faisaient pas. En particulier, environ 30% des appareils Android en usage ne disposent pas de données sur le certificat racine Let's Encrypt, dont le support n'est apparu qu'à partir de la plateforme Android 7.1.1, sortie fin 2016.
Let's Encrypt n'a pas prévu de conclure un nouvel accord de signature croisée, car cela impose une responsabilité supplémentaire aux parties à l'accord, les prive d'indépendance et les oblige à se conformer à toutes les procédures et règles d'une autre autorité de certification.
Mais en raison de problèmes potentiels sur un grand nombre d'appareils Android, le plan a été révisé. Un nouvel accord a été signé avec l'autorité de certification IdenTrust, en vertu duquel un autre certificat intermédiaire à signature croisée Let's Encrypt a été créé. La signature croisée sera valable trois ans et restera compatible avec les appareils Android à partir de la version 2.3.6.
Toutefois, le nouveau certificat intermédiaire ne couvre pas beaucoup d'autres systèmes hérités. Par exemple, après l'expiration du certificat DST Root CA X3 (aujourd'hui le 30 septembre), les certificats Let's Encrypt ne seront plus acceptés sur les micrologiciels et les systèmes d'exploitation non pris en charge, dans lesquels, pour garantir la confiance dans les certificats Let's Encrypt, vous devrez ajouter manuellement le Racine ISRG. Certificat X1 vers le magasin de certificats racine. Les problèmes se manifesteront dans:
OpenSSL jusqu'à et y compris la branche 1.0.2 (la maintenance de la branche 1.0.2 a été interrompue en décembre 2019) ;
- NSS <3,26
- Java 8 <8u141, Java 7 <7u151
- les fenêtres
- macOS <10.12.1
- iOS <10 (iPhone <5)
- Android <2.3.6
- Mozilla Firefox <50
- Ubuntu <16.04
- Debian <8
Dans le cas d'OpenSSL 1.0.2, le problème est causé par une erreur qui empêche la gestion correcte des certificats contre-signé si l'un des certificats racine impliqués dans la signature expire, bien que d'autres chaînes de confiance valides soient préservées.
Le problème est apparu pour la première fois l'année dernière après l'expiration du certificat AddTrust utilisé pour la signature croisée sur les certificats de l'autorité de certification Sectigo (Comodo). Le cœur du problème est qu'OpenSSL a analysé le certificat comme une chaîne linéaire, alors que selon la RFC 4158, le certificat peut représenter un diagramme circulaire distribué dirigé avec diverses ancres de confiance qui doivent être prises en compte.
Les utilisateurs d'anciennes distributions basées sur OpenSSL 1.0.2 se voient proposer trois solutions pour résoudre le problème :
- Supprimez manuellement le certificat racine IdenTrust DST Root CA X3 et installez le certificat racine ISRG Root X1 autonome (pas de signature croisée).
- Spécifiez l'option "–trusted_first" lors de l'exécution des commandes openssl verify et s_client.
- Utilisez un certificat sur le serveur qui est certifié par un certificat racine SRG Root X1 autonome qui n'est pas signé de manière croisée (Let's Encrypt offre une option pour demander un tel certificat). Cette méthode entraînera une perte de compatibilité avec les anciens clients Android.
Par ailleurs, le projet Let's Encrypt a franchi le cap des deux milliards de certificats générés. Le cap du milliard a été atteint en février de l'année dernière. Chaque jour, 2,2 à 2,4 millions de nouveaux certificats sont générés. Le nombre de certificats actifs est de 192 millions (le certificat est valable trois mois) et couvre environ 260 millions de domaines (il y a un an il couvrait 195 millions de domaines, il y a deux ans - 150 millions, il y a trois ans - 60 millions) .
Selon les statistiques du service Firefox Telemetry, la part mondiale des demandes de pages via HTTPS est de 82 % (il y a un an - 81 %, il y a deux ans - 77 %, il y a trois ans - 69 %, il y a quatre ans - 58 %).
source: https://scotthelme.co.uk/