Pour gérer vos consentements :
Categories: MobilitéOS mobiles

Let’s Encrypt trouve une parade à l’obsolescence d’Android

Plus d’un tiers des appareils Android bientôt privés de navigation web sécurisée ? C’était le sens d’une alerte que Let’s Encrypt avait lancée début novembre. L’autorité de certification à but non lucratif déplorait la non-intégration, sur les appareils en question, de son certificat racine ISRG Root X1.

Elle avait commencé à émettre ce dernier en 2015. En attendant que les éditeurs de navigateurs et de systèmes d’exploitation le mettent en liste blanche, il avait fait l’objet d’une signature via un certificat tiers. En l’occurrence, DST Root X3, fourni par IdenTrust.

Depuis 2018, ISRG Root X1 figure sur la liste des certificats de confiance dans les principaux OS et navigateurs. Mais il y a une limite à la compatibilité descendante. Notamment sur Android. Les versions antérieures à la 7.1.1 – sortie en décembre 2016 – ne prennent pas en charge ISRG Root X1, à moins d’avoir reçu une mise à jour spécifique.

Au moment d’émettre l’alerte, Let’s Encrypt estimait que 33,8 % des appareils Android en circulation étaient dans ce cas. Leurs utilisateurs risquaient de rencontrer des erreurs en tentant de se connecter à des sites utilisant ISRG Root X1.
L’autorité excluait alors de nouer un nouveau partenariat avec un tiers certifiant, sous peine de devoir effectuer indéfiniment la démarche. Elle admettait ainsi redouter l’après-30 septembre 2021, date d’expiration de DST Root X3.

Certificats : la souplesse d’Android

Cette semaine, le ton a changé : l’alerte n’est plus d’actualité, nous assure-t-on. Dans l’absolu, la solution paraît banale : un nouvel accord avec IdenTrust pour signer ISRG Root X1 via DST Root X3. Sauf que cette signature a une particularité : elle restera valide jusqu’à début 2024, c’est-à-dire bien au-delà de la date d’expiration de DST Root X3.

Cette validité ne sera pas « universelle », mais elle s’appliquera sur Android. Et pour cause : l’OS de Google ne tient pas compte des dates d’expiration des certificats utilisés comme ancres de confiance (= racines). Les normes technologiques le lui permettent.

Dans ce contexte, Let’s Encrypt va réintégrer, entre fin janvier et début février, ISRG Root X1 dans sa chaîne de certificats fournie par défaut. À partir de juin 2021, la chaîne alternative sans DST Root X3 (en bleu sur le schéma ci-dessous) sera priorisée. Les entités finales auront cependant toujours la possibilité de s’appuyer sur le certificat d’IdenTrust, en configurant leur client ACME.

La nouvelle chaîne par défaut à venir en janvier impliquera des négociations TLS un peu plus longues, puisqu’elle comportera deux intermédiaires : ISRG Root X1 et R3. Ce dernier a récemment remplacé, dans la hiérarchie Let’s Encrypt, le certificat X3, qui expirera en 2021.

Ce sursis jusqu’en 2024 ne doit pas, affirme Let’s Encrypt, dissuader les éditeurs d’une réflexion sur le parc Android. L’autorité leur recommande d’inviter les utilisateurs concernés à installer Firefox Mobile, rétrocompatible jusqu’à Android 4.1. La raison : le navigateur n’utilise pas la liste de certificats du système d’exploitation. Il a la sienne… maintenue à jour.

Illustration principale © maxkabakov – shutterstock.com

Recent Posts

Violation de données : une hausse record des coûts

Les coûts liés aux violations de données ont atteint un niveau record entre mai 2020…

5 heures ago

Règlement IA : les GAFAM haussent le ton

L'ITIF, lobby de référence de la tech américaine, livre une estimation de ce que le…

8 heures ago

Windows Server : fin du canal semi-annuel

Les prochaines éditions de Windows Server auront un seul canal stable : le LTSC, avec…

11 heures ago

Pradeo : « Pegasus rend le cyber-espionnage plus accessible »

Les logiciels espions comme Pegasus devraient faire l'objet d'une stricte réglementation, selon Clément Saad, président…

1 jour ago

Google Cloud : vers des API plus stables ?

Critiqué pour la gestion du cycle de vie de ses API, Google Cloud prend des…

1 jour ago

Malwares : les codeurs surveillent leur langage

BlackBerry attire l'attention sur ce qui pousse les concepteurs de malwares à basculer entre langages…

1 jour ago