IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Let's Encrypt trouve une solution de contournement pour les plus vieux appareils Android,
Ils auraient perdu l'accès à la plupart des sites Web sécurisés à partir de septembre prochain

Le , par Stan Adkens

211PARTAGES

8  0 
En novembre dernier, Let's Encrypt avait prévenu que les anciens téléphones Android fonctionnant avec les versions d'Android antérieures à la version 7.1.1 ne pourraient plus visiter une grande partie du Web sécurisé à partir de septembre 2021. En effet, ces appareils ne pourront plus profiter des certificats de sécurité émis par Let's Encrypt. Mais l'autorité de certification a annoncé la semaine dernière avoir trouvé une solution à ce problème. La solution de contournement trouvée permettra de prolonger de trois ans la compatibilité des anciens téléphones Android avec ses certificats grâce à un nouvel accord avec IdenTrust.

Let's Encrypt est une autorité de certification (AC) à but non lucratif et relativement récente, mais c'est aussi l'une des plus importantes au monde. Ce service a joué un rôle majeur dans la mise en place d'un système HTTPS pour l'ensemble du Web. Selon un article publié par l'Université du Michigan en 2019, Let's Encrypt est la plus grande autorité de certification au monde, qui a contribué à doubler le nombre de sites Web sécurisés en fournissant un service gratuit et en facilitant la mise en œuvre du protocole HTTPS. En février cette année, Let's Encrypt a révélé qu'il avait émis son milliardième certificat, en partant de zéro il y a seulement 4 ans.


La liste des certificats de confiance est généralement établie par le fournisseur de votre système d'exploitation ou de votre navigateur, de sorte que toute nouvelle autorité de certification a un long déploiement qui implique l'ajout à la liste des certificats de confiance par chaque système d'exploitation et navigateur existants ainsi que l'envoi de mises à jour à chaque utilisateur. Pour être rapidement opérationnel, Let's Encrypt s’est appuyé sur une signature croisée d'une AC établie, IdenTrust, de sorte que tout navigateur ou système d'exploitation qui faisait confiance à IdenTrust pouvait désormais faire confiance à Let's Encrypt, et le service pouvait commencer à émettre des certificats utiles.

Lors de son lancement en 2016, Let's Encrypt a également émis son propre certificat racine ("ISRG Root X1" et a demandé à ce que les principales plateformes logicielles lui fassent confiance, la plupart l'ayant accepté cette année-là. Mais plusieurs années plus tard, alors que le certificat "DST Root X3" d'IdenTrust, sur lequel s’est appuyé Let's Encrypt, doit expirer en septembre 2021, le temps est venu pour l’autorité de certification de se suffire à elle-même et de s'appuyer sur son propre certificat racine.

Malheureusement, il y a un gros problème, car 33,8 % des utilisateurs actifs d'Android utilisent encore des versions d'Android plus anciennes que la version 7.1.1, selon les statistiques officielles de Google. Compte tenu des 2,5 milliards d'utilisateurs actifs mensuels d'Android, cela représente 845 millions de personnes qui ont un magasin de certificats racines gelé en 2016.

Dans un billet de blog publié en novembre, Let's Encrypt a sonné l'alarme en disant que ce serait un problème : « C'est une sacrée contrainte. Nous nous sommes engagés à ce que tout le monde sur la planète ait des communications sécurisées et respectueuses de la vie privée. Et nous savons que les personnes les plus touchées par le problème de mise à jour d'Android sont celles que nous voulons le plus aider, c'est-à-dire les personnes qui ne pourront peut-être pas acheter un nouveau téléphone tous les quatre ans. Malheureusement, nous ne nous attendons pas à ce que les numéros d'utilisation d'Android changent beaucoup avant l'expiration de l’ISRG Root X1 ».

Un certificat de confiance expiré aurait endommagé les applications et les navigateurs qui dépendent du magasin de l’autorité de certification du système Android. Les développeurs d'applications individuelles auraient pu passer à un autre certificat, et les utilisateurs avertis auraient pu installer Firefox (qui fournit sa propre boutique d'administration). Mais de nombreux services seraient toujours interrompus.

Une nouvelle signature croisée permettra aux vieux téléphones Android de continuer à fonctionner

Dans sa nouvelle annonce publiée lundi dernier, Let's Encrypt dit qu’il a trouvé une solution de contournement « grâce à la réflexion innovante de [sa] communauté et [de ses] merveilleux partenaires d'IdenTrust ». Les partenaires mettront en œuvre une nouvelle solution de signature croisée qui fonctionnera jusqu'en 2024.

« IdenTrust a accepté d'émettre une signature croisée de 3 ans pour notre ISRG Root X1 à partir de leur DST Root CA X3. La nouvelle signature croisée sera quelque peu inhabituelle, car il s'étend au-delà de l'expiration du DST Root CA X3. Cette solution fonctionne parce qu'Android n'applique pas intentionnellement les dates d'expiration des certificats utilisés comme ancres de confiance. ISRG et IdenTrust ont contacté nos auditeurs et nos programmes racine pour examiner ce plan et s'assurer qu'il n'y avait pas de problèmes de conformité », lit-on.


« Lorsqu'il y a une mise à jour d'Android, le fabricant et l'opérateur mobile doivent tous deux intégrer ces modifications dans leur version personnalisée avant de l'envoyer. Souvent, les fabricants décident que cela ne vaut pas la peine. Le résultat est mauvais pour les personnes qui achètent ces appareils : beaucoup sont bloqués sur des systèmes d'exploitation qui sont obsolètes depuis des années », a dit Let's Encrypt dans le billet de novembre.

Bientôt, Let's Encrypt commencera à fournir aux abonnés les deux certificats ISRG Root X1 et DST Root CA X3, qui, dit-il, garantiront « un service ininterrompu à tous les utilisateurs et éviteront la rupture potentielle qui nous préoccupe ».

« Nous n'effectuerons pas le changement de chaîne prévu le 11 janvier 2021. Au lieu de cela, nous passerons à la fourniture de cette nouvelle chaîne par défaut fin janvier ou début février. La transition ne devrait pas avoir d'impact sur les abonnés de Let's Encrypt, tout comme notre passage à la chaîne R3 au début de ce mois », lit-on.

Plusieurs pourraient se poser la question de savoir ce qui change exactement suite à cette nouvelle signature croisée. Pour répondre à cette préoccupation, Let's Encrypt a écrit :

« Aujourd'hui, lorsqu'un abonné va chercher son certificat dans notre API, nous fournissons par défaut la chaîne suivante : Certificat de l'abonné <- R3 <- DST Root CA X3. Après ce changement, nous fournirons plutôt cette chaîne par défaut : Certificat d'abonné <- R3 <- ISRG Root X1 <– DST Root CA X3. Cela signifie que la chaîne par défaut que nous fournissons aux abonnés sera plus importante qu'auparavant, car elle contient deux intermédiaires au lieu d'un seul. Cela rendra les "handshakes" TLS plus importantes et légèrement moins efficaces, mais le compromis en vaut la peine pour la compatibilité supplémentaire ».

Selon Let's Encrypt, les utilisateurs finaux n'auront rien à faire - ils ne s'apercevront même pas qu'ils ont failli perdre l'accès aux sites Web les plus sécurisés s'ils n'ont jamais pris connaissance de ce problème. La nouvelle signature croisée expirera au début de 2024, et on espère que les versions d'Android de 2016 et avant seront définitivement retirées d'ici là.

Source : Let's Encrypt

Et vous ?

Que pensez-vous de la solution de compatibilité supplémentaire pour permettre aux plus vieux appareils Android de continuer d’aller sur les sites Web sécurisés après septembre 2021 ?
Après cette période supplémentaire, en 2024, pensez-vous qu’il n’y aura plus d’appareils Android avec un système inférieur à la version 7.1.1 ?

Voir aussi :

Sur les anciennes versions d'Android, de nombreux sites sécurisés par Let's Encrypt pourraient cesser de fonctionner en 2021, un tiers des appareils Android sont concernés
L'autorité de certification Let's Encrypt annonce avoir déjà délivré un milliard de certificats SSL/TLS, depuis son lancement en 2015
Un bogue dans un logiciel utilisé par Let's Encrypt pousse la société à révoquer plus de 3 millions de certificats ce 4 mars, vous pouvez vérifier si vous êtes affectés ou pas
La liste des alternatives à Let's Encrypt offrant des certificats gratuits via ACME s'agrandit, et comporte des options comme ZeroSSL pour mieux protéger les sites Web

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tanaka59
Membre extrêmement actif https://www.developpez.com
Le 02/01/2021 à 19:53
Bonjour,

Citation Envoyé par TotoParis Voir le message
C'est vrai et faux en même temps : je ne regrette pas le passage de la TV à la TNT. Je ne regrette pas les anciens terminaux IBM 3270 4 couleurs d'un poids colossal. Je ne regrette pas les cartes perforées et les mémoires à tore de ferrite. Avec comme seul argument "ça marche encore", on roulerait encore encore en Ford T...Fort belle voiture, oui, mais un peu dépassée :
Le problème de fond reste l'obsolescence programmé ... 36 mois pour un smartphone en moyenne c'est court :/
4  0 
Avatar de ManPaq
Membre actif https://www.developpez.com
Le 09/01/2021 à 9:37
Mon galaxy note 4 tourne sur Android 6.0.1: SnapDragon 805 à 2,6Ghz sur 4 coeurs, 3 Go de RAM, processeur graphique Adreno à 600 Mhz, stockage interne de 6Go + carte SD... Batterie, stylepen et carte SD changés! Me dîtes pas qu'il est obsolète et qu'il faut le comparer à un boulier à côté des nouveaux smartphones!!! A moins de mettre bonbon, on s'en tire de nos jours avec la même configuration! . Alors d'accord avec Tanaka59.
4  0 
Avatar de TotoParis
Membre confirmé https://www.developpez.com
Le 02/01/2021 à 17:08
Citation Envoyé par tanaka59 Voir le message
Bonjour,

Encore une façon "déguisée" de faire de l'obsolescence programmé ... de masse . Bon ici en contournant de manière temporaire avec les navigateurs Firefox on peut sauver les meubles quelques temps.

Il n’empêche cette situation fait penser à "la voiture n'a plus de radio FM, maintenant c'est la RNT/DAB+ changeons de voiture ... alors que celle ci roule parfaitement bien ..."

C'est de l'obsolescence programmé . Ces derniers mois on peut citer la fin des tuner tnt MPEG2 , la fin de la 2g mobile, la fin de windows phone, la fin des attribution de bandes FM en décembre 2021 , en 2022 des département 100% fibre ... A chaque fois du matos rendu inutilisable alors qu'il fonctionne parfaitement.

La solution proposé avec Firefox avec des certificats alternatifs n'est que palliatif. Tôt ou tard l'usager devra changer de smartphone .
C'est vrai et faux en même temps : je ne regrette pas le passage de la TV à la TNT. Je ne regrette pas les anciens terminaux IBM 3270 4 couleurs d'un poids colossal. Je ne regrette pas les cartes perforées et les mémoires à tore de ferrite. Avec comme seul argument "ça marche encore", on roulerait encore encore en Ford T...Fort belle voiture, oui, mais un peu dépassée :
1  0