Il y a quelques semaines nous partageons ici sur le blog l'actualité de Let's Encrypt (une autorité de certification à but non lucratif et contrôlée par la communauté qui fournit des certificats gratuitement à tous) a averti les utilisateurs d'un changement imminent dans la génération de signature, ce qui poserait des problèmes et surtout une perte de compatibilité avec environ 33% des appareils Android en cours d'utilisation.
Et c'était parce qu'il annonçait la transition vers la génération de signatures en utilisant uniquement son certificat racine, sans utiliser de certificat signé par l'autorité de certification IdenTrust.
Il a été mentionné qu'à partir du 11 janvier 2021, des modifications seront apportées à l'API Let's Encrypt et par défaut, les clients ACME recevront des certificats ISRG Root X1 sans signature croisée.
Le nouveau type de certificat racine Let's Encrypt a été mentionné pour être compatible avec tous les navigateurs modernes, mais il n'est reconnu qu'à partir d'Android 7.1.1, sorti fin 2016 (si vous voulez en savoir plus sur l'actualité, vous pouvez consulter la publication dans le lien suivant).
Mais maintenant, Let's Encrypt a annoncé que le plan a été révisé et cette compatibilité avec les anciens appareils Android se poursuivra pendant au moins trois ans de plus.
Le changement d'API prévu le 11 janvier, ce qui implique une transition vers la délivrance par défaut de certificats certifiés uniquement par le certificat racine ISRG Root X1, sans signature croisée, a été reporté à juin 2021.
Nous sommes heureux d'annoncer que nous avons développé un moyen pour les anciens appareils Android de conserver leur capacité à visiter les sites qui utilisent des certificats Let's Encrypt après l'expiration de nos courtiers signés. Nous ne prévoyons plus de changements en janvier qui pourraient entraîner des problèmes de compatibilité pour les abonnés Let's Encrypt.
En même temps, il a été décidé comme option d'offrir la possibilité de demander un certificat alternatif, certifié selon l'ancien schéma de validation croisée et en maintenant la compatibilité avec les appareils du magasin de certificats racine auxquels le certificat Let's Encrypt n'a pas été ajouté.
Un certificat alternatif sera généré fin janvier ou début février 2021 dans le cadre d'un accord complémentaire avec l'autorité de certification IdenTrust. En plus du certificat racine ISRG Root X1 appartenant à Let's Encrypt, ce certificat sera croisé à l'aide du certificat DST Root CA X3 d'IdenTrust.
La signature croisée sera valable trois ans, qui est inférieure à la période de validité du certificat racine principal ISRG Root X1.
Étant donné que la signature croisée expirera avant la signature avec le certificat racine principal de Let's Encrypt, il est possible que des problèmes similaires à l'incident avec l'expiration du certificat racine AddTrust utilisé pour la signature croisée dans les certificats de l'autorité de certification Sectigo (Comodo ).
Les navigateurs ont correctement géré l'expiration des certificats croisés AddTrust, mais cela a causé des plantages massifs sur les systèmes OpenSSL et GnuTLS, même si le certificat racine principal de Comodo était toujours valide et que la chaîne de confiance avec le certificat actuel persistait.
Pour s'assurer que le nouveau certificat Let's Encrypt ne crée pas de problèmes de compatibilité similaires, les autorités de certification IdenTrust et Let's Encrypt ont l'intention de revoir le schéma implémenté à l'aide d'auditeurs externes.
Pour rappel, le certificat racine appartenant à Let's Encrypt est compatible avec tous les navigateurs modernes, mais il n'est reconnu qu'à partir de la plateforme Android 7.1.1, sortie fin 2016. Selon les statistiques disponibles, seulement 66,2% des Tous les appareils Android utilisent Android 7.1 et les versions plus récentes.
33,8% des appareils Android utilisés ne disposent pas de données du certificat racine Let's Encrypt, c'est-à-dire qu'ils nécessitent un certificat supplémentaire signé avec un certificat racine compatible avec les versions précédentes d'Android pour continuer à fonctionner correctement. Si vous essayez d'ouvrir des sites signés uniquement avec le certificat racine Let's Encrypt sur ces appareils, une erreur s'affichera.
Enfin, si vous souhaitez en savoir plus Vous pouvez vérifier les détails de l'actualité dans la note originale à laquelle vous pouvez accéder à le lien suivant.