Il existe des rapports massifs de problèmes de connectivité de sites Web sur les Mac et les appareils Android plus anciens sur Internet en raison de certificats Let's Encrypt expirés.
Par exemple, les utilisateurs de Mac reçoivent un message d'erreur "Votre connexion n'est pas sécurisée" avec le code d'erreur NET :: ERR_CERT_DATE_INVALID. Le problème est observé dans Google Chrome et d'autres navigateurs Web Chromium lors de la tentative de connexion à certains sites.
Ce problème est dû au fait que le certificat racine Let's Encrypt a expiré le 30 septembre 2021. Let's Encrypt est une organisation à but non lucratif qui a émis plus de 2 milliards de certificats depuis sa création.
Les certificats émis par un certificat racine expiré ne sont plus approuvés. Let's Encrypt essaie de résoudre les problèmes avec un nouveau certificat racine à signature croisée valide jusqu'au 30 septembre 2024.
Let's Encrypt a publié des listes de plates-formes susceptibles de rencontrer des problèmes de connectivité après le 30 septembre 2021.
Les problèmes de compatibilité affectent les anciennes versions de macOS et iOS, les anciennes distributions Linux et les anciens appareils mobiles exécutant Android 2.3.6 ou une version antérieure.
Le problème est observé sur les plateformes suivantes :
Blackberry jusqu'à la version 10.3.3
Android jusqu'à la version 2.3.6
Nintendo 3DS
Windows XP jusqu'au SP3
Les certificats signés SHA-2 ne sont pas traités
Java 7 jusqu'à 7u111
Java 8 jusqu'à 8u101
Windows Live Mail (client de messagerie 2012, pas de messagerie Web)
les certificats sans CRL ne sont pas traités
Console de jeux PS3
Console de jeu PS4 avec firmware antérieur à 5.00
La validation du certificat Let's Encrypt ne sera pas effectuée sur les plateformes suivantes
macOS jusqu'à la version 10.12.1
iOS jusqu'à la version 10
Mozilla Firefox jusqu'à la version 50
Ubuntu 12.04 jusqu'à et y compris 16.04 Xenial
Debian « Squeeze » 6.0 à « Jessie » 8.0
Java 8 de la version 8u101 incluse à la version 8u141
Java 7 de la version 7u111 incluse à la version 7u151
NSS de la version 3.11.9 incluse à la version 3.26
Amazon FireOS (Silk Browser) (plage de versions inconnue)
Cyanogène à partir de la version 10 (la version à laquelle ISRG Root X1 a été ajouté est inconnue)
Jolla Sailfish OS à partir de la version 1.1.2.16 (la version à laquelle ISRG Root X1 a été ajoutée est inconnue)
Kindle à partir de la version 3.4.1 (la version à laquelle ISRG Root X1 a été ajouté est inconnue)
Blackberry à partir de la version 10.3.3 (version inconnue, qui a ajouté ISRG Root X1)
Console de jeu PS4 avec firmware à partir de la version 5.00 incluse (la version à laquelle ISRG Root X1 a été ajoutée est inconnue)
Selon Let's Encrypt, les nouvelles versions d'iOS ou de macOS ne sont pas affectées par ce problème, mais selon les rapports, ce n'est pas le cas.
Le chercheur Scott Helmes confirme qu'il a rencontré des problèmes dans iOS 11, 13 et 14, ainsi que plusieurs versions de macOS qui ne sont "que quelques versions mineures derrière" la version actuelle.
Il y a eu de nombreux rapports de problèmes sur le net dans les nouvelles versions d'iOS et de macOS lors de la tentative d'accès à des sites servant un certificat Let's Encrypt R3 Intermediate expiré. J'ai personnellement vu des bogues dans iOS 11, 13 et 14, ainsi que plusieurs versions de macOS qui ne sont que quelques versions mineures derrière les versions actuelles. Il n'y a pas encore de correctifs côté client.
Helms a créé un site de test pour vérifier si votre appareil est concerné par le problème.
Solution de contournement:
Il n'est pas clair à ce stade si les utilisateurs peuvent faire quelque chose de leur côté. Une option que les utilisateurs ont est d'utiliser le navigateur Firefox, qui utilise son propre magasin de certificats. Les connexions qui échouent dans un navigateur Chromium devraient fonctionner correctement dans Firefox sur le même système.
Avez-vous rencontré des problèmes de connexion aux sites après le 30 septembre 2021 ?
2021-10-04 15:24:33
Auteur: Vitalii Babkin