Pour gérer vos consentements :
Categories: MobilitéOS mobiles

Let’s Encrypt trouve une parade à l’obsolescence d’Android

Plus d’un tiers des appareils Android bientôt privés de navigation web sécurisée ? C’était le sens d’une alerte que Let’s Encrypt avait lancée début novembre. L’autorité de certification à but non lucratif déplorait la non-intégration, sur les appareils en question, de son certificat racine ISRG Root X1.

Elle avait commencé à émettre ce dernier en 2015. En attendant que les éditeurs de navigateurs et de systèmes d’exploitation le mettent en liste blanche, il avait fait l’objet d’une signature via un certificat tiers. En l’occurrence, DST Root X3, fourni par IdenTrust.

Depuis 2018, ISRG Root X1 figure sur la liste des certificats de confiance dans les principaux OS et navigateurs. Mais il y a une limite à la compatibilité descendante. Notamment sur Android. Les versions antérieures à la 7.1.1 – sortie en décembre 2016 – ne prennent pas en charge ISRG Root X1, à moins d’avoir reçu une mise à jour spécifique.

Au moment d’émettre l’alerte, Let’s Encrypt estimait que 33,8 % des appareils Android en circulation étaient dans ce cas. Leurs utilisateurs risquaient de rencontrer des erreurs en tentant de se connecter à des sites utilisant ISRG Root X1.
L’autorité excluait alors de nouer un nouveau partenariat avec un tiers certifiant, sous peine de devoir effectuer indéfiniment la démarche. Elle admettait ainsi redouter l’après-30 septembre 2021, date d’expiration de DST Root X3.

Certificats : la souplesse d’Android

Cette semaine, le ton a changé : l’alerte n’est plus d’actualité, nous assure-t-on. Dans l’absolu, la solution paraît banale : un nouvel accord avec IdenTrust pour signer ISRG Root X1 via DST Root X3. Sauf que cette signature a une particularité : elle restera valide jusqu’à début 2024, c’est-à-dire bien au-delà de la date d’expiration de DST Root X3.

Cette validité ne sera pas « universelle », mais elle s’appliquera sur Android. Et pour cause : l’OS de Google ne tient pas compte des dates d’expiration des certificats utilisés comme ancres de confiance (= racines). Les normes technologiques le lui permettent.

Dans ce contexte, Let’s Encrypt va réintégrer, entre fin janvier et début février, ISRG Root X1 dans sa chaîne de certificats fournie par défaut. À partir de juin 2021, la chaîne alternative sans DST Root X3 (en bleu sur le schéma ci-dessous) sera priorisée. Les entités finales auront cependant toujours la possibilité de s’appuyer sur le certificat d’IdenTrust, en configurant leur client ACME.

La nouvelle chaîne par défaut à venir en janvier impliquera des négociations TLS un peu plus longues, puisqu’elle comportera deux intermédiaires : ISRG Root X1 et R3. Ce dernier a récemment remplacé, dans la hiérarchie Let’s Encrypt, le certificat X3, qui expirera en 2021.

Ce sursis jusqu’en 2024 ne doit pas, affirme Let’s Encrypt, dissuader les éditeurs d’une réflexion sur le parc Android. L’autorité leur recommande d’inviter les utilisateurs concernés à installer Firefox Mobile, rétrocompatible jusqu’à Android 4.1. La raison : le navigateur n’utilise pas la liste de certificats du système d’exploitation. Il a la sienne… maintenue à jour.

Illustration principale © maxkabakov – shutterstock.com

Recent Posts

Ransomwares : que paient les PME en France ?

6 PME françaises sur 10 victimes d'une attaque de ransomware disent avoir payé jusqu'à 40…

15 heures ago

5G : le Canada rejette Huawei

Le gouvernement de Justine Trudeau a décidé, comme son voisin américain, de bannir le géant…

16 heures ago

Dell Technologies : les 5 dirigeants les mieux rémunérés

Les cinq principaux dirigeants de Dell Technologies ont obtenu une rémunération totale combinée de 93…

17 heures ago

WhatsApp s’ouvre aux entreprises, avec une API basée sur le cloud

Mark Zuckerberg et le groupe Meta ont trouvé un moyen de générer des revenus B2B…

18 heures ago

Windows 11 : le portail de téléchargement usurpé par des hackers

Des pirates ont détourné le portail officiel de téléchargement du système d’exploitation Windows 11 pour…

22 heures ago

Sauvegarde et restauration : Veeam dévoile la v12

Veeam dévoile la mise à niveau de son offre Backup & Replication (v12) et dévoile…

2 jours ago