En novembre dernier, Let's Encrypt avait prévenu que les anciens téléphones Android fonctionnant avec les versions d'Android antérieures à la version 7.1.1 ne pourraient plus visiter une grande partie du Web sécurisé à partir de septembre 2021. En effet, ces appareils ne pourront plus profiter des certificats de sécurité émis par Let's Encrypt. Mais l'autorité de certification a annoncé la semaine dernière avoir trouvé une solution à ce problème. La solution de contournement trouvée permettra de prolonger de trois ans la compatibilité des anciens téléphones Android avec ses certificats grâce à un nouvel accord avec IdenTrust.Let's Encrypt est une autorité de certification (AC) à but non lucratif et relativement récente, mais c'est aussi l'une des plus importantes au monde. Ce service a joué un rôle majeur dans la mise en place d'un système HTTPS pour l'ensemble du Web. Selon un article publié par l'Université du Michigan en 2019, Let's Encrypt est la plus grande autorité de certification au monde, qui a contribué à doubler le nombre de sites Web sécurisés en fournissant un service gratuit et en facilitant la mise en œuvre du protocole HTTPS. En février cette année, Let's Encrypt a révélé qu'il avait émis son milliardième certificat, en partant de zéro il y a seulement 4 ans.
La liste des certificats de confiance est généralement établie par le fournisseur de votre système d'exploitation ou de votre navigateur, de sorte que toute nouvelle autorité de certification a un long déploiement qui implique l'ajout à la liste des certificats de confiance par chaque système d'exploitation et navigateur existants ainsi que l'envoi de mises à jour à chaque utilisateur. Pour être rapidement opérationnel, Let's Encrypt s’est appuyé sur une signature croisée d'une AC établie, IdenTrust, de sorte que tout navigateur ou système d'exploitation qui faisait confiance à IdenTrust pouvait désormais faire confiance à Let's Encrypt, et le service pouvait commencer à émettre des certificats utiles.
Lors de son lancement en 2016, Let's Encrypt a également émis son propre certificat racine ("ISRG Root X1"
et a demandé à ce que les principales plateformes logicielles lui fassent confiance, la plupart l'ayant accepté cette année-là. Mais plusieurs années plus tard, alors que le certificat "DST Root X3" d'IdenTrust, sur lequel s’est appuyé Let's Encrypt, doit expirer en septembre 2021, le temps est venu pour l’autorité de certification de se suffire à elle-même et de s'appuyer sur son propre certificat racine.Malheureusement, il y a un gros problème, car 33,8 % des utilisateurs actifs d'Android utilisent encore des versions d'Android plus anciennes que la version 7.1.1, selon les statistiques officielles de Google. Compte tenu des 2,5 milliards d'utilisateurs actifs mensuels d'Android, cela représente 845 millions de personnes qui ont un magasin de certificats racines gelé en 2016.
Dans un billet de blog publié en novembre, Let's Encrypt a sonné l'alarme en disant que ce serait un problème : « C'est une sacrée contrainte. Nous nous sommes engagés à ce que tout le monde sur la planète ait des communications sécurisées et respectueuses de la vie privée. Et nous savons que les personnes les plus touchées par le problème de mise à jour d'Android sont celles que nous voulons le plus aider, c'est-à-dire les personnes qui ne pourront peut-être pas acheter un nouveau téléphone tous les quatre ans. Malheureusement, nous ne nous attendons pas à ce que les numéros d'utilisation d'Android changent beaucoup avant l'expiration de l’ISRG Root X1 ».
Un certificat de confiance expiré aurait endommagé les applications et les navigateurs qui dépendent du magasin de l’autorité de certification du système Android. Les développeurs d'applications individuelles auraient pu passer à un autre certificat, et les utilisateurs avertis auraient pu installer Firefox (qui fournit sa propre boutique d'administration). Mais de nombreux services seraient toujours interrompus.
Une nouvelle signature croisée permettra aux vieux téléphones Android de continuer à fonctionner
Dans sa nouvelle annonce publiée lundi dernier, Let's Encrypt dit qu’il a trouvé une solution de contournement « grâce à la réflexion innovante de [sa] communauté et [de ses] merveilleux partenaires d'IdenTrust ». Les partenaires mettront en œuvre une nouvelle solution de signature croisée qui fonctionnera jusqu'en 2024.
« IdenTrust a accepté d'émettre une signature croisée de 3 ans pour notre ISRG Root X1 à partir de leur DST Root CA X3. La nouvelle signature croisée sera quelque peu inhabituelle, car il s'étend au-delà de l'expiration du DST Root CA X3. Cette solution fonctionne parce qu'Android n'applique pas intentionnellement les dates d'expiration des certificats utilisés comme ancres de confiance. ISRG et IdenTrust ont contacté nos auditeurs et nos programmes racine pour examiner ce plan et s'assurer qu'il n'y avait pas de problèmes de conformité », lit-on.
« Lorsqu'il y a une mise à jour d'Android, le fabricant et l'opérateur mobile doivent tous deux intégrer ces modifications dans leur version personnalisée avant de l'envoyer. Souvent, les fabricants décident que cela ne vaut pas la peine. Le résultat est mauvais pour les personnes qui achètent ces appareils : beaucoup sont bloqués sur des systèmes d'exploitation qui sont obsolètes depuis des années », a dit Let's Encrypt dans le billet de novembre.
Bientôt, Let's Encrypt commencera à fournir aux abonnés les deux certificats ISRG Root X1 et DST Root CA X3, qui, dit-il, garantiront « un service ininterrompu à tous les utilisateurs et éviteront la rupture potentielle qui nous préoccupe ».
« Nous n'effectuerons pas le changement de chaîne prévu le 11 janvier 2021. Au lieu de cela, nous passerons à la fourniture de cette nouvelle chaîne par défaut fin janvier ou début février. La transition ne devrait pas avoir d'impact sur les abonnés de Let's Encrypt, tout comme notre passage à la chaîne R3 au début de ce mois », lit-on.
Plusieurs pourraient se poser la question de savoir ce qui change exactement suite à cette nouvelle signature croisée. Pour répondre à cette préoccupation, Let's Encrypt a écrit :
« Aujourd'hui, lorsqu'un abonné va chercher son certificat dans notre API, nous fournissons par défaut la chaîne suivante : Certificat de l'abonné <- R3 <- DST Root CA X3. Après ce changement, nous fournirons plutôt cette chaîne par défaut : Certificat d'abonné <- R3 <- ISRG Root X1 <– DST Root CA X3. Cela signifie que la chaîne par défaut que nous fournissons aux abonnés sera plus importante qu'auparavant, car elle contient deux intermédiaires au lieu d'un seul. Cela rendra les "handshakes" TLS plus importantes et légèrement moins efficaces, mais le compromis en vaut la peine pour la compatibilité supplémentaire ».
Selon Let's Encrypt, les utilisateurs finaux n'auront rien à faire - ils ne s'apercevront même pas qu'ils ont failli perdre l'accès aux sites Web les plus sécurisés s'ils n'ont jamais pris connaissance de ce problème. La nouvelle signature croisée expirera au début de 2024, et on espère que les versions d'Android de 2016 et avant seront définitivement retirées d'ici là.
Source : Let's Encrypt
Et vous ?
Que pensez-vous de la solution de compatibilité supplémentaire pour permettre aux plus vieux appareils Android de continuer d’aller sur les sites Web sécurisés après septembre 2021 ? Après cette période supplémentaire, en 2024, pensez-vous qu’il n’y aura plus d’appareils Android avec un système inférieur à la version 7.1.1 ?Voir aussi :
Sur les anciennes versions d'Android, de nombreux sites sécurisés par Let's Encrypt pourraient cesser de fonctionner en 2021, un tiers des appareils Android sont concernés L'autorité de certification Let's Encrypt annonce avoir déjà délivré un milliard de certificats SSL/TLS, depuis son lancement en 2015 Un bogue dans un logiciel utilisé par Let's Encrypt pousse la société à révoquer plus de 3 millions de certificats ce 4 mars, vous pouvez vérifier si vous êtes affectés ou pas La liste des alternatives à Let's Encrypt offrant des certificats gratuits via ACME s'agrandit, et comporte des options comme ZeroSSL pour mieux protéger les sites Web 
Envoyé par TotoParis
. Alors d'accord avec Tanaka59.
