Le 30 Septembre 2021, un changement va se produire qui rendra certains périphériques non mis à jour incapables d’authentifier les certificats Let’s Encrypt. Décryptage.
Let’s Encrypt communique par mail et sur sa documentation concernant ce changement. Néanmoins, le message est en anglais et peut sembler assez obscure pour quiconque ne connaît pas tout du fonctionnement des certificats TLS.
Qu’est-ce que Let’s Encrypt ?
Let’s Encrypt est une autorité de certification. Les certificats délivrés gratuitement par cette autorité permettent quiconque d’obtenir un site en HTTPS, et d’effectuer des connexions SSL/TLS à tous ses services (emails, FTP, etc…), via des connexions chiffrées, donc sécurisées, protégeant ainsi de tout éventuel intrus sur le réseau qui pourrait autrement observer le contenu de vos connexions.
Que sont les CA et quel est le souci ?
Afin qu’un certificat soit digne de confiance pour votre appareil, il faut qu’un CA (certificate authority) valide la légitimité de l’organisme de certification. Et ce CA doit être présent dans le système d’exploitation du périphérique (Windows, Linux, Mac OS, Android, iOS). Or, les CA ont une date d’expiration de quelques années, ils doivent donc être périodiquement mis à jour.
Initialement, Let’s Encrypt utilisait le CA « DST Root CA X3 » qui leur a permis d’être très largement supportés. Ce CA a déjà été remplacé par « ISRG Root X1 » mais les deux restent encore disponibles. Le changement à venir concerne donc l’expiration de l’ancien CA « DST Root CA X3 », le 30 septembre 2021.
Si Let’s Encrypt fait tout son possible pour étendre au maximum la compatibilité des anciens périphériques, les plus anciens périphériques vont devenir incompatibles.
Quels périphériques seront impactés ?
On peut ainsi déduire des CA supportés par les différents OS (systèmes d’exploitation), ceux qui ne seront bientôt plus compatibles. Les périphériques impactés étant assez anciens, peu d’utilisateurs devraient remarquer un quelconque changement.
Pour supporter ce changement, il faudra désormais au minimum :
- Windows : XP SP3
- MacOS : 10.12.1
- Android : 2.3.6
- iPhone : IOS 10 (iPhone 5 et supérieurs)
- Linux : Ubuntu 16.04 / Debian 8 (en effectuant les mises à jour des paquets ca-certificates)
- Firefox : 50.0
- Java : 8u141 , 7u151
Parmi les incompatibles notables :
- Android : Inférieurs à 2.3.6, Cyanogen v9 et inférieurs, Jolla Sallifish OS inférieurs à v1.1.2.16
- Kindle : inférieur à v3.4.1
- Blackberry : inférieurs à 10.3.3
- Playstation : PS4 inférieure à 5.0
- Nintendo : 3DS
- Logiciels : Windows Live Mail 2012
Conclusion
Les périphériques non mis à jour qui seront prochainement incompatibles sont intrinsèquement non sécurisés et ne devraient dans tous les cas plus être utilisé pour une quelconque application personnelle ou professionnelle impliquant vos données. Si vous utilisez l’un de ces périphériques pour naviguer sur internet, cela vous fait une excellente raison de considérer leur mise à jour ou remplacement avant le 30 Septembre 2021.