Let's Encrypt trouve une parade à l'obsolescence d'Android

Let’s Encrypt est parvenu à contourner un problème de certificat qui aurait pu compromettre la navigation web sécurisée sur les appareils Android anciens.

Plus d’un tiers des appareils Android bientôt privés de navigation web sécurisée ? C’était le sens d’une alerte que Let’s Encrypt avait lancée début novembre. L’autorité de certification à but non lucratif déplorait la non-intégration, sur les appareils en question, de son certificat racine ISRG Root X1.

Elle avait commencé à émettre ce dernier en 2015. En attendant que les éditeurs de navigateurs et de systèmes d’exploitation le mettent en liste blanche, il avait fait l’objet d’une signature via un certificat tiers. En l’occurrence, DST Root X3, fourni par IdenTrust.

Depuis 2018, ISRG Root X1 figure sur la liste des certificats de confiance dans les principaux OS et navigateurs. Mais il y a une limite à la compatibilité descendante. Notamment sur Android. Les versions antérieures à la 7.1.1 – sortie en décembre 2016 – ne prennent pas en charge ISRG Root X1, à moins d’avoir reçu une mise à jour spécifique.

Au moment d’émettre l’alerte, Let’s Encrypt estimait que 33,8 % des appareils Android en circulation étaient dans ce cas. Leurs utilisateurs risquaient de rencontrer des erreurs en tentant de se connecter à des sites utilisant ISRG Root X1.
L’autorité excluait alors de nouer un nouveau partenariat avec un tiers certifiant, sous peine de devoir effectuer indéfiniment la démarche. Elle admettait ainsi redouter l’après-30 septembre 2021, date d’expiration de DST Root X3.

Certificats : la souplesse d’Android

Cette semaine, le ton a changé : l’alerte n’est plus d’actualité, nous assure-t-on. Dans l’absolu, la solution paraît banale : un nouvel accord avec IdenTrust pour signer ISRG Root X1 via DST Root X3. Sauf que cette signature a une particularité : elle restera valide jusqu’à début 2024, c’est-à-dire bien au-delà de la date d’expiration de DST Root X3.

Cette validité ne sera pas « universelle », mais elle s’appliquera sur Android. Et pour cause : l’OS de Google ne tient pas compte des dates d’expiration des certificats utilisés comme ancres de confiance (= racines). Les normes technologiques le lui permettent.

Dans ce contexte, Let’s Encrypt va réintégrer, entre fin janvier et début février, ISRG Root X1 dans sa chaîne de certificats fournie par défaut. À partir de juin 2021, la chaîne alternative sans DST Root X3 (en bleu sur le schéma ci-dessous) sera priorisée. Les entités finales auront cependant toujours la possibilité de s’appuyer sur le certificat d’IdenTrust, en configurant leur client ACME.

La nouvelle chaîne par défaut à venir en janvier impliquera des négociations TLS un peu plus longues, puisqu’elle comportera deux intermédiaires : ISRG Root X1 et R3. Ce dernier a récemment remplacé, dans la hiérarchie Let’s Encrypt, le certificat X3, qui expirera en 2021.

Ce sursis jusqu’en 2024 ne doit pas, affirme Let’s Encrypt, dissuader les éditeurs d’une réflexion sur le parc Android. L’autorité leur recommande d’inviter les utilisateurs concernés à installer Firefox Mobile, rétrocompatible jusqu’à Android 4.1. La raison : le navigateur n’utilise pas la liste de certificats du système d’exploitation. Il a la sienne… maintenue à jour.

Lire aussi : Lassés d’Android ? Ubuntu 20.04 est porté sur smartphones