Pour gérer vos consentements :
Categories: Sécurité

Let’s Encrypt contrarié par l’obsolescence du parc Android

À quand l’autonomie pour Let’s Encrypt ? Dans l’absolu, l’autorité de certification à but non lucratif vole déjà de ses propres ailes, sous l’égide d’Internet Security Research Group, société d’intérêt public que financent notamment l’EFF et Mozilla. Mais elle reste dépendante d’IdenTrust.

Ce lien remonte à 2015. Let’s Encrypt commençait alors à émettre son certificat racine ISRG Root X1. En attendant que les éditeurs de navigateurs et de systèmes d’exploitation le mettent en liste blanche, il a fait l’objet d’une signature via un certificat tiers. En l’occurrence, celui d’IdenTrust : DST Root X3.

Depuis 2018, ISRG Root X1 figure sur la liste des certificats de confiance dans les principaux OS et navigateurs. Mais il y a une limite à la compatibilité descendante. Notamment sur Android. Les versions antérieures à la 7.1 – sortie en août 2016 – ne prennent pas en charge ISRG Root X1. À moins d’avoir reçu une mise à jour spécifique.

Plus d’un tiers (33,8 %) des appareils Android en circulation seraient dans ce cas. Leurs utilisateurs risquent d’être confrontés à des erreurs lorsqu’ils tenteront de se connecter à des sites qui utilisent ISRG Root X1. Let’s Encrypt se montre de moins en moins optimiste quant à la « modernisation » de ce parc. Mais l’organisation se refuse à nouer un nouveau partenariat avec une autorité de certification tierce. « Nous engager à prendre en charge les vieilles versions d’Android reviendrait à effectuer indéfiniment [cette démarche] », résume-t-elle.

Let’s Encrypt joue la montre

Quel palliatif dans ce contexte ? Pour le moment, la connexion avec IdenTrust reste opérationnelle : le certificat DST Root X3 expirera le 30 septembre 2021. Let’s Encrypt souhaite de longue date couper le cordon, mais les motifs sus-exposés ont déjà entraîné plusieurs reports. Il est désormais question du 11 janvier 2021. À cette date, un changement sera effectué sur l’API. Objectif : par défaut, fournir aux sites web des certificats liés directement à ISRG Root X1. Et non plus à DST Root X3.

La transition ne sera cependant pas subite. Les éditeurs pourront choisir de continuer à s’appuyer sur DST Root X3. Ce en exploitant la propriété de relation « alternative » implémentée depuis cet été dans le protocole ACME. Certbot, l’outil de gestion de certificats associé à Let’s Encrypt, la prend en charge depuis sa version 1.6.0, grâce à l’option –preferred-chain.

Cela ne pourra pas durer éternellement, alerte Let’s Encrypt. En tout cas au-delà du 30 septembre 2021 (le partenariat avec IdenTrust, qui doit arriver à échéance le 17 mars 2021, devrait pouvoir être renouvelé jusque-là). Ensuite, il appartiendra aux éditeurs de trancher : abandonner les vieux appareils ? basculer en HTTP non sécurisé ? changer de certificat racine ?… Let’s Encrypt propose une autre solution : demander aux utilisateurs concernés d’installer Firefox Mobile, compatible jusqu’à Android 4.1. La raison : le navigateur n’utilise pas la liste de certificats d’Android. Il a la sienne… maintenue à jour.

Photo d’illustration © maxkabakov – Fotolia

Recent Posts

Einstein Automate a un an : où en est Salesforce ?

Il y a un an, Salesforce inaugurait la bannière Einstein Automate. Comment les produits qu'elle…

3 heures ago

SaaS « souverain » : OVHcloud et Talentsoft font cause commune

OVHcloud et Talentsoft, entreprise récemment acquise par Cegid, proposent une offre cloud de gestion du…

21 heures ago

Microsoft a-t-il vraiment éliminé les mots de passe ?

L'option de connexion sans mot de passe se diffuse sur les comptes Microsoft. Mais il…

21 heures ago

Semi-conducteurs : l’UE pousse pour l’autosuffisance

La Commission européenne annonce son intention de créer un écosystème européen pour la production de…

1 jour ago

L’Open Source Initiative nomme Stefano Maffulli directeur exécutif

Animateur et contributeur de l'écosystème, Stefano Maffulli devient le premier directeur exécutif de l'OSI, qui…

2 jours ago

Cloud : le moteur d’une économie axée sur le numérique

Hors équipements et prestations, le segment "en tant que service" représenterait plus de 64% du…

2 jours ago