L’un des fournisseurs de certificat HTTPS, Let’s Encrypt, est sur le point de devenir obsolète. Méfiez-vous, cela pourrait détériorer votre système.
Cette organisation à but non lucratif assure la sécurité de navigation des utilisateurs en cryptant la connexion entre l’appareil et Internet. Let’s Encrypt est un service de confiance et stable, mais Scott Helme a annoncé une nouvelle assez inquiétante. En effet, le certificat racine de l’entreprise — l’IdentTrust DST Root CA X3 — expirera le jour du 30 septembre à venir. Une fois cette date passée, elle perdrait sa fonction, remettant en question la fiabilité de la source.
Let’s Encrypt : la version obsolète menace les vieux systèmes
Les utilisateurs de Let’s Encrypt n’ont rien à craindre même si le certificat atteint sa date limite, le 30 septembre. Seuls les appareils les plus anciens pourraient en subir des conséquences massives. C’était le cas de Stripe, Roku et des pilotes Red Hat lors de l’expiration de la CA externe AddTrust en mai. Pour mieux avertir le public, le chercheur en sécurité informatique, Helme, s’est exprimé dans son blog. « Compte tenu de la différence de taille relative entre Let’s Encrypt et AddTrust, j’ai le sentiment que l’expiration de la racine IdenTrust peut potentiellement causer plus de problèmes », affirme-t-il.
Effectivement, la menace s’étend aux appareils qui ne sont pas mis à jour régulièrement et aux smartphones de longue date. Par exemple, ceux qui utilisent les anciennes versions de macOS 2016 et Windows XP (avec Service Pack 3) sont susceptibles de rencontrer des problèmes. Les exécuteurs d’Open SSL 1.0.2 et moins risquent de se détériorer. C’est aussi le cas pour les PlayStation qui n’ont pas de firmware récent.
Comment éviter ces problèmes ?
Pour aider les utilisateurs à s’épargner des dommages que peut causer le Let’s Encrypt obsolète, la firme propose des solutions. D’abord, pour régler le « problème de longue date et bien connu avec les mises à jour du système d’exploitation » d’Android, le certificat ISRG Root X1 est idéal. Ce dernier est exclusif du système et ne sera expiré qu’en 2035.
Ces appareils — notamment le Nougat 7.1.1 et moins — sont un peu méfiants par rapport à la sûreté du certificat HTTPS. Néanmoins, Let’s encrypt a conçu une version croisée de son propre certificat. Cela pourrait protéger les Android pendant au moins 3 ans. Mais certains dispositifs peuvent encore être sujets à des problèmes. La deuxième solution consiste alors à installer Firefox, surtout recommandée pour les versions Lollipop 5.0. « Firefox est actuellement unique parmi les navigateurs » explique Let’s Encrypt. « Il est livré avec sa propre liste de certificats racines de confiance », continue-t-il.
Depuis sa création en 2014, ce fournisseur a distribué plus de 2 milliards de certificats, selon TechCrunch. Les utilisateurs des versions d’OpenSSL obsolètes et des vieux systèmes d’exploitation doivent ainsi redoubler de vigilance face à ces avertissements.
- Partager l'article :