Un certificat root expiré pourrait poser des soucis d'accès au web pour de vieux appareils

Mickaël Bazoge |

Les utilisateurs d'appareils anciens sont susceptibles de rencontrer des soucis sur le web à partir de demain, 30 septembre, à partir de 16h01. L'expiration d'un certificat racine va en effet empêcher la quasi-totalité des navigateurs de charger des sites internet sur ces terminaux. De vieux iPhone et Mac sont potentiellement concernés.

Le coupable, c'est le certificat IdentTrust DST Root CA X3 utilisé par Let's Encrypt, une organisation qui s'est donné pour mission de faire passer les sites en HTTPS, plus sécurisé que le HTTP (lire : Let’s Encrypt a distribué un milliard de certificats HTTPS gratuits). Le problème ici, c'est qu'un certificat de sécurité expiré empêche le navigateur de valider la conformité du site web visité. L'internaute va donc se retrouver avec des services en ligne indisponibles.

Ouf, mon Mac est bon pour le service.

Le chercheur en sécurité Scott Helme a identifié le problème sur son blog. Il faut tout d'abord savoir que pour l'immense majorité des internautes, ce 30 septembre sera un jeudi comme un autre. Ceux qui possèdent un Mac équipé de MacOS 10.12.1 (Sierra) et au-delà, ainsi que ceux qui ont un iPhone au-delà d'iOS 10 (l'iPhone 5 peut accueillir cette version) seront épargnés, tout comme les utilisateurs d'Android 7.1.11 et plus, ainsi que ceux sous Windows XP SP3 et au-delà.

Ce qui signifie que les utilisateurs de produits équipés de versions antérieures de leurs systèmes d'exploitation rencontreront des soucis sur internet à partir de demain. Pour les Mac, il est toujours possible de changer le certificat « à la main », à partir de l'application Trousseaux d'accès. Il faut remplacer l'IdentTrust DST Root CA X3 par l'ISRG Root X1, fourni par Let's Encrypt, dont la date de validité court jusqu'en 2035. Des informations techniques supplémentaires sont disponibles sur le site d'OpenSSL.

Autre solution : utiliser Firefox qui est livré avec sa propre liste de certificats racine, rappelle Let's Encrypt. Pour tous les autres appareils, il n'y aura pas de souci s'ils sont mis à jour régulièrement.


  1. Il n'y aura pas de difficulté sur les appareils Android à partir de la version 2.3.6 s'ils ont reçu le certificat ISRG Root X1.  ↩︎


avatar math65 | 

Et après les gens ne comprennent pas pourquoi je râle quand ils sont sur des systènes TRÈS, TRÈS, vieux...

avatar occam | 

@math65

Râlez autant que vous voudrez.
À coeur joie.
Ne vous en privez pas.

Mais quand des utilisateurs de Mac se voient dire par Apple « Au delà de cette limite, votre ticket n’est plus valable, » alors que ces mêmes machines tournent parfaitement sous Windows 10, avec les plus récentes mises à jour, vous comprendrez certainement que ce sont eux qui râlent.

avatar CorbeilleNews | 

@math65

Et moi je râle contre ceux qui veulent un nouvel ordi/téléphone/voiture tous les 3 à 5 ans selon l’objet

A vouloir toujours plus neuf car les anciens systèmes sont de moins en moins maintenus (même si là c’est quand même environ 20 ans) on pollue et on ne se rend plus compte de où vient le danger…

avatar koko256 | 

@CorbeilleNews

Et moi je râle contre ceux qui râlent.

Illustration d'une chaîne de certificat de râlerie qui termine par un auto-râlé.

avatar CorbeilleNews | 

@koko256

Macg : communauté de râleurs et de fanboys ? 😜

avatar starsk | 

Oui il faut résister un peu. J'utilise au quotidien un iPhone SE 2016, un MacBook Pro 2015, Un MacPro 2010, un Ipad 5... Toutes ces machines marchent comme des horloges. Je changerai en cas de panne ou d'abandon de mise à jour ( une solution vient d'être trouvée pour faire tourner BigSur et Monterey en tout sécurité sur mon MacPro... et je n'ai meme pas enccore updaté mon tel en ios15... donc on continue... ) Je vais quand même tester le web demain avec un vieux MacPro 2006 qui tourne encore ( très bien ) sous Lion...

avatar koko256 | 

@starsk

Et aussi pour les fringues, la vaisselle, les biscuits sablés alors que l'on préfère chocolat, les draps, le papier peint, les vélos... Avant de juger ou de s'étaler de sobriété, autant prend tout en compte et pas seulement iPhone et MacBook.

avatar starsk | 

Mais mon petit koko, ce n'est pas parce que tu n'as pas les derniers fringues à la mode qu'il te faut paniquer... cours vite acheter le dernier Iphone 13... fais vite avant que le 14 n'arrive...

avatar marc_os | 

@ math65

Mon MBP de 2008 (avec SSD) fonctionne parfaitement.
Mais avec macOS 10.11 El Capitan max. (Et j'utilise Firefox dessus.)
Merci de respecter ceux qui utilisent du vieux matos, par choix ou par nécessité (financière entre autres.)

avatar debione | 

@ marc_os:

C'est ce que je fais avec mon vieux matos Apple, utiliser les applications tierces qui elles fonctionnent encore très bien contrairement aux applications natives... Et que je n'ai pas ce problème sous win .

avatar marc_os | 

@ debione

Le problème est que Safari n'évolue plus sur les vieux OS et que les sites web exigent les toutes dernières versions... D'où la nécessité d'utiliser Firefox qui continue ou plutôt continuait d'évoluer. Du coup, on dirait que ça commence là aussi à sentir le sapin... 😉

PS: Je vais continuer à garder ce vieux MBP longtemps car M-Audio a cessé de mettre à jour le driver de mon boîtier de numérisation audio Firewire pourtant considéré comme du matériel quasi pro à l'époque... On investit dans du matériel qui fonctionne toujours parfaitement des années plus tard, et voilà comment on est remercié. 🤢

avatar ssssteffff | 

Ce problème a été identifié par LetsEncrypt en novembre 2020, ils étaient censés avoir trouvé une solution de contournement via du cross-signed. Le billet de ce chercheur est-il une fausse alerte, ou bien une « faille » dans la solution de contournement de LetsEncrypt a-t-elle été trouvée ?

https://web.developpez.com/actu/311491/Let-s-Encrypt-trouve-une-solution-de-contournement-pour-les-plus-vieux-appareils-Android-ils-auraient-perdu-l-acces-a-la-plupart-des-sites-Web-securises-a-partir-de-septembre-prochain/

avatar blackcode | 

Totale fausse alerte de ce « chercheur en sécurité ». Lemonde.fr l’explique d’ailleurs... Étant concerné par le sujet il m’est très familier. Le cross-sign fait bien gagner 3 ans à À droid 7 et inférieur. Pour iOS c’est 9 et inférieur qui n’y n’ont pas le X1 et pour qui le cross-sign ne marche pas (car implémentation plus stricte et correcte dans l’esprit).

Honnêtement déçu de la couverture de macg sur le sujet. J’espère qu’un article plus détaillé sortira ou une correction/clarification sera faite.

avatar occam | 

« Autre solution : utiliser Firefox qui est livré avec sa propre liste de certificats racine »

Sauf que Firefox ESR 78, qui marchait encore sous El Capitan, n’est plus mis à jour, et que la nouvelle version ESR, Firefox 91, requiert au moins Sierra.

avatar Franck971 | 

Il y a des gens qui utilises xp sp3 ou antérieur pour aller sur internet !!

avatar debione | 

et chose incroyable, ça marche...

avatar rikki finefleur | 

on a une veille machine au boulot qui marche h24.. et qui a 15 ans.. Un packard bell ...

avatar claude72 | 

J'ai un principe simple : tant que ça s'allume quand on appuie sur le bouton "Marche", ça doit pouvoir continuer à être utilisé…
Mon MacPro est sous OS 10.7.5 (avec une fork de Firefox + Firefox ESR45) et ma tablette est sous Android 4.2 (avec Firefox) : je verrais bien demain ce qui fonctionnera encore !

(et donc je râle après les co…@rd de webmestres incompétents qui ne sont pas capables de faire des sites accessibles à des navigateurs anciens.)

avatar Sindanárië | 

@claude72

Je plussoie 👍🏼👍🏼👍🏼👍🏼👍🏼👍🏼

avatar hawker | 

@claude72
Totalement d'accord, il faut garder les vieux appareils au max, par contre, ce qui me gave, c'est ceux qui ont du matos vieux de 15 ans et qui viennent chialer parce que les dernieres versions des OS/logiciels ne supportent plus leur matos: Il faut savoir accepter de tourner sur du vieux logiciel aussi.

avatar marc_os | 

@ hawker

Tu es prêt à financer ceux qui n'ont pas les moyens de se payer le dernier cri et qui n'ont pas les compétences pour bidouiller ?
Tu sais, ça fait beaucoup de monde.
Il y a même des gens qui ne gagnent pas le SMIC figure toi car condamnés au mi-temps.
Et nos gentils gouvernements obligent tout le monde à s'équiper pour maintes opérations administratives.
Vous voulez renouveler votre carte vitale ?
C'est désormais impossible sans passer par Internet.
Ma mère en a fait l'amère expérience.
Et maintenant qu'elle a un compte, mais pas d'ordi, elle ne reçoit plus les résumés de la sécu par la poste comme c'était le cas avant.
Du coup, notre gouvernement la rendue dépendante d'autrui.
Alors qu'elle va bon pied bon œil.
Et ce n'est pas la seule.
Nos gouvernements sont devenus inhumains.
Et pas qu'eux.

avatar debione | 

@marc_os:

C'est la fameuse ubérisation... On retrouve ce truc partout, tu dois faire le boulot des caissiers, de l'administration, de la direction de l'école etc etc... Et c'est pas pour autant que l'on t'offre un rabais en faisant comme cela...

avatar marc_os | 

@ debione

C'est pourquoi je boycotte autant que possible les caisses automatiques. Sauf quand la caissière* est exécrable et s'offusque quand on lui fait remarquer que le tapis où on doit poser ses articles est mouillé et sale...

(*) Curieusement, je ne me rappelle pas si j'ai jamais eu affaire à un caissier....

avatar antoinelefrendam | 

@marc_os

Entièrement d’accord avec toi

avatar Moonwalker | 

De toute façon, à l’heure actuelles, un système comme OS X El Capitan embarque déjà un grand nombre de certificat expirés. Un de plus, un de moins...

Utilisez Firefox ESR ou Opera encore mis à jour dernièrement.

avatar BeePotato | 

Une raison de plus de haïr cette lubie de la généralisation du HTTPS…

avatar YetOneOtherGit | 

@BeePotato

"Une raison de plus de haïr cette lubie de la généralisation du HTTPS…"

😳😳😳😳😳

avatar oomu | 

oui, la Haine est un sentiment naturel. Je suis moi même une boule de haine pure (et un gros nez rouge geekesque) 100% naturelle

mais c'est un mal pour un bien. Il faut qu'on en passe par là pour sécuriser et continuer le travail de chiffrement TOTAL du net (et de tout vers tout).

voyez cela comme des douleurs de croissance;

chaque échec, étape, petit soucis, sont l'occasion d'apprendre et améliorer les outils d'automatisation et gestion des chaînes de sécurité.

avatar BeePotato | 

@ oomu : « mais c'est un mal pour un bien. Il faut qu'on en passe par là pour sécuriser et continuer le travail de chiffrement TOTAL du net (et de tout vers tout). »

Chiffrement total qui sert à quoi ?
L’immense majorité du web n’a aucun besoin d’être chiffré, et c’est bien pour ça que jusque là le HTTP et le HTTPS cohabitaient pacifiquement. Et puis un jour, des gens ont décrété qu’il fallait maintenant du HTTPS partout.

Au passage, je ne suis pas sûr que ça représente un gain en termes de sécurité : en généralisant l’usage des certificats, on multiplie le nombre de cas de certificats arrivés au bout de leur période de validité, et on rend du coup plus banal l’usage de la procédure permettant de contourner ce souci. Du coup, moins de méfiance face à un message signalant un problème de certificat.

La haine est ici justifiée.

avatar Steve Molle | 

Foutu pour foutu, autant bien bousiller la planète en changeant son iPhone, son mac ou sa voiture chaque 3 ans pour avoir le dernier certificat

avatar oomu | 

c'est une situation exceptionnelle, qui n'est pas appelée à se répéter.

avatar chels75 | 

Pour les OS comme MacOS ou Windows il faut ajouter un nouveau certificat racine dans le magasin de certificats. Certes il faut s’y connaître un peu. Pour les autres OS tels que iOS je ne suis pas sûr que cela soit possible (?)

avatar oomu | 

sur ios, il suffit de cliquer sur le lien d'un certificat d'autorité au format PEM (ou DER), et ios demandera confirmation s'il faut l'ajouter

idem si vous l'envoyez en attachement par courrier électronique.

Le certificat se retrouvera dans Réglages / Général / Profils.

avatar jcp25 | 

Ce serait bien si quelqu'un pouvait faire un tuto sur la façon de rajouter le certificat dans un vieux mac.
De A à Z car ce n'est pas si simple..
Ou récupérer le .pem
Comment l'installer
Comment l'autoriser
Merci

avatar oomu | 

cette page donne l'ensemble des certificats d'autorité/Racine de LetsEncrypt:
https://letsencrypt.org/certificates/

ici vous trouverez le certificat d'autorité X1

ISRG Root X1 (RSA 4096, O = Internet Security Research Group, CN = ISRG Root X1)
Self-signed: der, pem, txt
Cross-signed by DST Root CA X3: der, pem, txt

au format PEM: https://letsencrypt.org/certs/isrg-root-x1-cross-signed.pem

(pem, txt, der, c'est pareil, juste des manières différentes de fournir le même certificat, prenez le PEM)

MacOS comprend le format .PEM, juste téléchargez le CA X1 au format pem, double cliquez dessus. MacOS affichera un assistant d'importation, validez.

A partir de là, safari et autres logiciels l'auront à disposition.

avatar jcp25 | 

@oomu

Merci beaucoup.

Si j'ai bien compris le self-signed doit être manuellement autorisé alors que le cross-signed contient le cert intermédiaire.

avatar oomu | 

@jcp25

sur un ancien système, oui.

Il est auto-signé ("self signé") par Letsencrypt lui même, ce qui est normal parce que justement LetsEncrypt est un organisme de certification de certificat reconnu de confiance par l'industrie.

"cross-signed contient le cert intermédiaire."

oui, si j'ai bien suivi c'est ça.

et le cert intermédiaire était censé aider à la migration. Après y a des raisons techniques (dû à comment les systèmes fonctionnement, les critères de validation etc) qui font qu'au final non; Mais là ça dépasse le temps que j'ai consacré à mémoriser les détails ;)

avatar jcp25 | 

@oomu

Merci,
Cela correspond à ce qui était stocké dans mémoire poussiéreuse ! Et un deuxième avis...
Je verrai demain...

avatar Faabb | 

@oomu

Merci beaucoup !

avatar jcp25 | 

@oomu

Et le fait que le DST Root CA X 3 soit toujours dans le trousseau racines du système ? Car on ne peut pas le virer.
Merci encore

avatar oomu | 

@jcp25

ça ne pose pas de soucis que vous ayez des certificats d'autorité en trop.

ça permet juste de valider ds certificats qui s'en servirait. s'il est périmé, ben tant pis, le système n'en fera rien.

ils sont fournis par Apple, donc ils sont hors de porté (sauf à forcer les choses) de l'utilisateur.

avatar TomCom | 

J'ai voulu mettre à jour mon mini de 2014 sous Sierra récemment, mais je déteste les icônes carrées de High Sierra, Mojave a des problèmes de Bluetooth avec mes périphériques Logitech et j'ai trop d'apps et d'utilitaires irremplaçables en 32 bits ou passés en abonnement comme 1Password pour utiliser Catalina et suivants.
Quand Safari fait des siennes j'utilise Chrome ou Firefox, et puis c'est tout.
Mon mini n'a que deux coeurs mais ils montent à 3,2 GHz et ça me suffit pour l'instant avec 16 Go de RAM et deux SSD. J'attends sagement la sortie du nouveau grand iMac pour aviser, vu que mon écran Dell a bientôt 9 ans.

avatar Faabb | 

@TomCom

Vous pourriez utiliser open core legacy patcher (OCLP) pour installer Big sur ou même Monterey sur votre Mac mini. Ça fonctionne parfaitement et les mises à jours régulières se font via les préférences système.

avatar stefhan | 

Je viens de rencontrer le problème sur un iPhone 11 Pro iOS 14.8 (18H17) : Safari ne veut pas me laisser accéder à certains sites. Quel est le problème ici ?

avatar DPH91070 | 

Je suis sur iPhone 11 et iOS 15.0 et je rencontre le souci de certificat https://ozecollege.yvelines.fr

avatar stefhan | 

Je viens de tester : effectivement je ne peux pas non plus y accéder.

Agaçant car cela pénalise mes clients aussi !

avatar oomu | 

effectivement, ios 14 sur un iphone X se plaint que le certificat du site est signé par une autorité qui sera bientôt rejeté.

Le certificat de ce collège est signé avec le certificat d'autorité (CA) : R3 de letsencrypt, j'ai bien écrit _R_3, pas X, qui était censé être un certificat intermédiaire.

De ce que je comprends, des certificats ont encore été signé avec ce R3, alors qu'ils auraient du être signé avec le nouveaux X1 (valide pour longtemps lui).

pourtant le site fournit aussi le CA à jour, le X1 (les sites webs peuvent fournir une chaîne de certificats : plusieurs certificats publiques en même temps)
mais ios s'en fiche, le R3 était déjà expiré, ios n'aime pas.

Probablement que le soit doit regénérer un nouveau certificat à jour pour être signé que par le X1 uniquement.

-
en attendant, ios vous permet de "visiter" le site quand même. dans le gros popup d'alerte, en bas.

avatar DPH91070 | 

Il permet de visiter, mais une fois connecté, rien de plus d'affiché 🤨

avatar 0MiguelAnge0 | 

iPhone 5 n’est eligible à iOS10. Il est bloqué sur iOS9.

Pages

CONNEXION UTILISATEUR