Un certificat root expiré pourrait poser des soucis d'accès au web pour de vieux appareils

Mickaël Bazoge | 29/09/2021 à 20:00

Les utilisateurs d'appareils anciens sont susceptibles de rencontrer des soucis sur le web à partir de demain, 30 septembre, à partir de 16h01. L'expiration d'un certificat racine va en effet empêcher la quasi-totalité des navigateurs de charger des sites internet sur ces terminaux. De vieux iPhone et Mac sont potentiellement concernés.

Le coupable, c'est le certificat IdentTrust DST Root CA X3 utilisé par Let's Encrypt, une organisation qui s'est donné pour mission de faire passer les sites en HTTPS, plus sécurisé que le HTTP (lire : Let’s Encrypt a distribué un milliard de certificats HTTPS gratuits). Le problème ici, c'est qu'un certificat de sécurité expiré empêche le navigateur de valider la conformité du site web visité. L'internaute va donc se retrouver avec des services en ligne indisponibles.

Le chercheur en sécurité Scott Helme a identifié le problème sur son blog. Il faut tout d'abord savoir que pour l'immense majorité des internautes, ce 30 septembre sera un jeudi comme un autre. Ceux qui possèdent un Mac équipé de MacOS 10.12.1 (Sierra) et au-delà, ainsi que ceux qui ont un iPhone au-delà d'iOS 10 (l'iPhone 5 peut accueillir cette version) seront épargnés, tout comme les utilisateurs d'Android 7.1.1¹ et plus, ainsi que ceux sous Windows XP SP3 et au-delà.

Ce qui signifie que les utilisateurs de produits équipés de versions antérieures de leurs systèmes d'exploitation rencontreront des soucis sur internet à partir de demain. Pour les Mac, il est toujours possible de changer le certificat « à la main », à partir de l'application Trousseaux d'accès. Il faut remplacer l'IdentTrust DST Root CA X3 par l'ISRG Root X1, fourni par Let's Encrypt, dont la date de validité court jusqu'en 2035. Des informations techniques supplémentaires sont disponibles sur le site d'OpenSSL.

Autre solution : utiliser Firefox qui est livré avec sa propre liste de certificats racine, rappelle Let's Encrypt. Pour tous les autres appareils, il n'y aura pas de souci s'ils sont mis à jour régulièrement.

Il n'y aura pas de difficulté sur les appareils Android à partir de la version 2.3.6 s'ils ont reçu le certificat ISRG Root X1. ↩︎

Pour aller plus loin :

Le web, source d’obsolescence trop souvent ignorée

Une tech plus verte : comment Qarnot veut faire calculer des chaudières

Apple dévoile un « mode Lockdown » pour limiter au maximum les attaques sur iPhone et Mac

Troisième bêta pour macOS Ventura

Le MacBook Air M2 en précommande le 8 juillet et disponible le 15 juillet

SFR remanie ses offres fibre avec des prix promo pendant deux ans

debione | 30/09/2021 à 14:59

@ 0MiguelAnge0:

Fout le à la poubelle, t'as l'air ou d'un vieux ou d'un pauvre avec....

le petit point qui s'éloigne là-bas, c'est moi qui suit déjà loin dehors...

oomu | 01/10/2021 à 00:26

@debione

cte violence de si bon matin :)

Pierre H | 30/09/2021 à 19:42

Ah je me demande si c'est pour ça que mon iPad (iOS12) refuse de relever mes mails de ma messagerie secondaire qui est chez no-log.org... Certificat expiré, et si je vais directement sur le webmail, ça me dit Serveur introuvable, alors que depuis le Mac ça marche nickel...

claude72 | 30/09/2021 à 22:30

Pour le moment, mon MacPro sous OS 10.7.5 et ma tablette Android 4.2 se connectent toujours aux principaux sites dont j'ai besoin (impôts, banque, drives, VPC…). On verra bien à l'usage !

Mickjagger | 01/10/2021 à 01:07

Merci à toutes les contributions d’Oomu et tous les autres qui m'ont un peu éclairé. Je suis sous El Capitan sur un MBP 2012 et j'avais des problèmes avec les mails aussi (un compte mail géré par infomaniak).
Par contre j'ai 2 questions en suspens :
- dans mon trousseau d’accès, je me retrouve avec ISRG root X1 (autorité de certification racine) expire le 4 juin 2035. C’est sur celui-ci que j’ai cliqué sur « Se fier » puis j’ai dû choisir « Toujours approuver » pour que mes sites bloqués et ma boite mail se chargent désormais. Pouvez-vous me confirmer que c’était bien la bonne méthode et qu’elle est vraiment OK pour la sécurité ?

-2e interrogation : j’ai un second ISRG root X1 dans la liste des certifs. Il a une icone « Autorité de certification intermédiaire » + expire le lundi 30 sept 2024. Mais il affiche « Le certificat est invalide (racine expirée) ». Dans les infos, on voit que l’émetteur était DST Root CA X3. Donc ce truc « intermédiaire » est inutile désormais, mais on peut le laisser dans le trousseau?
Et enfin dans mon cas, je serais donc tranquille jusqu’en 2024 ou bien 2035?

jcp25 (non vérifié) | 01/10/2021 à 06:57

@Mickjagger

En fait il y a chez Let's encrypt deux certificats
- le self signed
- le cross signed
C'est le self signed qu'il faut utiliser et comme tu l'as fait l'autoriser.
Le cross signed est un certificat intermédiaire qui pointe sur une racine expirée. Donc on peut le virer.
Testé sur plusieurs machines en 10.10 et 10.11 avec des sites qui étaient en erreur hier soir.
--
Mes souvenirs sur les certificats racines étant anciens et flous, j'avais demandé à Oomu son avis. Et comme moi, il pensait qu'il fallait utiliser le cross signed.
Et NON ! C'est l'autre !
Et en se replongeant dedans, c'est logique... Errare humanum est. Sed persevare diabolicum !

Mickjagger | 01/10/2021 à 12:52

Ok merci pour ces précisions !
Heureusement qu'il y a les forums et articles sur le sujet...
Mais je n'imagine pas les complications pour les gens pas du tout expérimentés ou un peu âgés avec une vieille machine.

jcp25 (non vérifié) | 01/10/2021 à 14:25

@Mickjagger

Heureusement qu'il y a les forums et articles sur le sujet...
--
Oui car ce n'est pas aussi simple que cela paraît.
J'aurais aimé que MacG fasse un article complet et simple.
Au moins, il aurait été référencé sur Google.
Bon, maintenant que l'on a la manip qui marche, on pourra la transmettre !
JC

Mandataire | 01/10/2021 à 11:37

Bonjour

Comment se fait-il que depuis hier 16:00 des sites…
… soient toujours accessibles.
… d'autres seulement si autorisation donnée à "Cette connexion n’est pas privée".
… et enfin une troisième catégorie qui affiche

"Certificat de signature OCSP invalide dans la réponse OCSP.
(Code d'erreur : sec_error_ocsp_invalid_signing_cert)
La page que vous essayez de consulter ne peut pas être affichée car
l'authenticité des données reçues ne peut être vérifiée."

Preneur d’explications ou liens, s’il vous plaît, merci.

Lightman | 15/10/2021 à 14:31

Mandataire | 01/10/2021 à 11:52

… en remontant l'horloge Système d’un jour la troisième catégorie est à nouveau accessible.

Donc si bien compris, charger le certificat self signed de Let's encrypt dans le trousseau.

Comme une première de ce côté du clavier et pas trop Geek, preneur d’un "pas à pas" pour le faire, s’il vous plaît, merci.

Mandataire | 01/10/2021 à 11:55

La deuxième aussi…

Donc charger le self signed de Let's encrypt dans le trousseau semble incontournable pour retour à la normale.

Du moins en attendant une gosse mise à jour matériel/OS.

Mandataire | 01/10/2021 à 12:21

Merci au Contributeurs

https://forums.macg.co/threads/comment-valider-un-certificat-avant-lexpiration-de-identtrust-dst-root-ca-x3.1364137/

Voir si ça fonctionne correctement avec la remise à l’heure du Système.

Mandataire | 01/10/2021 à 12:42

Ça ne fonctionnait pas après la remise à l’heure… mais après re-lecture des commentaires voici celui qui a résolu le dysfonctionnement:

Donc c'est bien avec Firefox que je suis allé chercher le lien https://letsencrypt.org/certs/isrgrootx1.pem et Firefox m'a aussi proposé de le mettre dans les certificats, et en effet il faut choisir "Système" pour que tous les utilisateurs en profitent, ou "Session" pour un seul utilisateur, j'ai aussi choisi "Système".
Le certificat n'était pas validé, mais en ouvrant le certificat (double-clic) dans le trousseau j'ai déroulé le menu "se fier" puis j'ai sélectionné "toujours approuver" au lieu de "réglages par défaut", ça fonctionne nickel !