De nombreux anciens appareils électroniques différents ne pourront plus se connecter à de nombreux sites le 30 septembre en raison de l'expiration du certificat racine numérique IdenTrust DST Root CA X3, qui a été utilisé pour signer les certificats émis par Let's Encrypt. Le problème peut affecter des millions de gadgets à travers le monde.
La signature croisée a garanti que les systèmes peuvent faire confiance aux certificats Let's Encrypt sur un large éventail d'appareils, de systèmes d'exploitation et de navigateurs tout en intégrant le propre certificat racine de Let's Encrypt dans les magasins de certificats racine. Cependant, le nouveau certificat intermédiaire ISRG Root X1 ne couvre pas de nombreux autres systèmes hérités. Par exemple, une fois le DST Root CA X3 obsolète, les certificats Let's Encrypt ne seront plus acceptés dans de nombreux micrologiciels et systèmes d'exploitation. Pour vous assurer que les certificats Let's Encrypt sont approuvés, vous devrez ajouter manuellement la racine ISRG X1 au magasin de certificats racine.
Ordinateurs portables MacBook basés sur macOS 10.12.0 et versions antérieures, smartphones iPhone et iPad qui ne peuvent pas être mis à jour au moins vers les consoles de jeux iOS 10, PlayStation 3 et PlayStation 4 avec un firmware antérieur à 5.00, ainsi que Nintendo 3DS, anciens téléviseurs intelligents et les appareils IoT utilisés dans le réseau domestique.
De plus, des problèmes de connexion peuvent être observés sur tout gadget nécessitant une connexion sécurisée à un serveur spécifique. Certains appareils perdront l'accès aux mêmes services de streaming, tels que Netflix. Des problèmes peuvent survenir avec les services postaux et les clients bancaires.
Sont également à risque : les utilisateurs d'appareils basés sur Android 2.3.6 et plus anciens, les systèmes basés sur Windows XP Service Pack 2 (SP3 doit être installé), les clients OpenSSL version 1.0.2 et plus anciens, les versions Ubuntu inférieures à 16.04, Debian 8 et plus ancien, Java 8 inférieur à la version 8u141, Java 7 inférieur à la version 7u151, NSS inférieur à 3.26. Les utilisateurs d'anciennes distributions basées sur OpenSSL 1.0.2 se voient proposer trois solutions de contournement pour résoudre le problème :
Supprimez manuellement le certificat racine IdenTrust DST Root CA X3 et installez le certificat racine ISRG Root X1 autonome (sans signature croisée) ;
L'option "--trusted_first" peut être spécifiée lors de l'exécution des commandes openssl verify et s_client ;
Utilisez un certificat côté serveur signé avec un certificat SRG Root X1 autonome qui n'est pas signé de manière croisée.
2021-09-29 19:23:29
Auteur: Vitalii Babkin