Auteur Sujet: 1er octobre 2021: nombreux changements pour Let's Encrypt (Lu 28609 fois)

vivien · « **Réponse #48 le:** 12 décembre 2020 à 17:07:01 »

Voici les informations sur le logiciel.

Je découvre des mises à jour qui ne changent rien au niveau de correctif sécu d'Android qui reste au 1er 2018 !

En fait, je me demande ce que cette mise à jour de 2020 apporte.

ASKS évolue de la version1.4 à la version 1.4.5, ce serait la raison de la mise à jour ?

à gauche la mise à jour 2018, à droite la mise à jour 2020.

vivien · « **Réponse #49 le:** 12 décembre 2020 à 17:19:31 »

Navigateur par défaut, Samsung Internet version 13.0.1.64, basé sur Chrome 83, toujours pas de confiance dans le certificat racinde de Let's Encrypt ISRG Root X1 :

Let's Encrypt Autority X3 est le plus haut niveau : A noter qu'il a été émis par «ISRG Root X1» et été émis le 6/10/2016 (la date sera différent avec Chrome)

vivien · « **Réponse #50 le:** 12 décembre 2020 à 17:25:34 »

Pour Chrome, je n'arrive plus à avoir d'erreur, ce serait lié a la version de Chrome qui a évoluée et Chrome 87 serait en mesure d'aller chercher le second chemin dans la chaîne des certificats, comme un vieux Firefox de 2015 non mis à jour ?

En regardant le certificat, je note que la racine est toujours le certificat «DST Root X3» d'IdenTrust (durée de validité de 21ans, rien que ça), donc on va avoir un problème mi-2021 sur ce téléphone.

Le certificat intermédiaire, le Let's Encrypt Authority X3 a été émis le 17 mars 2016 (il expire le 17 mars 2021) car il a été émis par «DST Root CA X3» alors qu'avec Samsung Internet le Let's Encrypt Authority X3 a été émis le 6/10/2016 et expire le 6/10/2021. Pourquoi une telle différence ?

vivien · « **Réponse #51 le:** 12 décembre 2020 à 17:42:57 »

Même capture avec la même version de Chrome, mais avec un Samsung Galaxy s8 sous Android 9 :

- le certificat racine utilisé est le certificat de Let's Encrypt «ISRG Root X1»

- le certificat intermédiaire, le Let's Encrypt Authority X3 a été émis par «ISRG Root X1» et été émis le 6 octobre 2016 (il expire le 6 octobre 2021)

kazyor · « **Réponse #52 le:** 12 décembre 2020 à 19:19:31 »

Le plus simple dans cette histoire, serait de faire une app/tuto pour ajouter manuellement le certificat racine ISRG Root X1, non ?

kazyor · « **Réponse #53 le:** 12 décembre 2020 à 19:47:23 »

Citation de: kazyor le 12 décembre 2020 à 19:19:31

Le plus simple dans cette histoire, serait de faire une app/tuto pour ajouter manuellement le certificat racine ISRG Root X1, non ?

Bon ben, ça ne marche même pas.
Testé avec DigiCert, Github et un Android 4.3

vivien · « **Réponse #54 le:** 12 décembre 2020 à 20:33:21 »

Il faut que chaque application, en plus des navigateurs, intègrent le certificat de Let's Encrypt «ISRG Root X1» pour fonctionner sur Android 7.0 et plus ancien :

- Twitter
- Facebook
- SpeedTest
- ...

Bref, je pense que cela va être un carnage, beaucoup d’applications utilisant directement ou indirectement Let's Encrypt vont oublier et ne fonctionneront plus sous Androd 7.0 et inférieur.

hwti · « **Réponse #55 le:** 12 décembre 2020 à 22:06:59 »

Citation de: kazyor le 12 décembre 2020 à 19:19:31

Le plus simple dans cette histoire, serait de faire une app/tuto pour ajouter manuellement le certificat racine ISRG Root X1, non ?

Ca dépend des versions d'Android, mais à priori avec Android 7 par défaut les applications ne font pas confiance aux certificats utilisateur.
Pour modifier les certificats système, il faut rooter.

hwti · « **Réponse #56 le:** 12 décembre 2020 à 22:16:13 »

L'ouverture des liens web dans les applications peut se faire via la fonctionalité "Chrome Custom Tabs", auquel cas si Chrome intègre ISRG Root X1 ça suffit.
Pour les WebView, hors AOSP elles sont soit fournies par Chrome indirectement, ou "Android System Webview" sur le play store.

Le problème est surtout pour les applications qui font des requêtes elles-mêmes, tout dépend quels sont les certificats utilisés pour les services qu'elles utilisent.

alain_p · « **Réponse #57 le:** 21 décembre 2020 à 22:42:46 »

Let's Encrypt annonce avoir trouvé une solution pour prolonger le support de ses certificats dans Android < 7.1.1. Son partenaire IdenTrust va émettre un certificat croisé pour signer le certificat de Let'sEncrypt ISRG Root X1, qui va étendre de 3 ans la validité des certificats de Let's Encrypt sur ces systèmes :

Citer

Extending Android Device Compatibility for Let's Encrypt Certificates

Dec 21, 2020 • Josh Aas and Aaron Gable

We’re happy to announce that we have developed a way for older Android devices to retain their ability to visit sites that use Let’s Encrypt certificates after our cross-signed intermediates expire. We are no longer planning any changes in January that may cause compatibility issues for Let’s Encrypt subscribers.
....
IdenTrust has agreed to issue a 3-year cross-sign for our ISRG Root X1 from their DST Root CA X3. The new cross-sign will be somewhat novel because it extends beyond the expiration of DST Root CA X3. This solution works because Android intentionally does not enforce the expiration dates of certificates used as trust anchors. ISRG and IdenTrust reached out to our auditors and root programs to review this plan and ensure there weren’t any compliance concerns.

As such, we will be able to provide subscribers with a chain which contains both ISRG Root X1 and DST Root CA X3, ensuring uninterrupted service to all users and avoiding the potential breakage we have been concerned about.
...

https://letsencrypt.org/2020/12/21/extending-android-compatibility.html

vivien · « **Réponse #58 le:** 22 décembre 2020 à 08:27:41 »

C'est une bonne nouvelle, ces 3 ans vont permettre d'avoir une partie importante des Andoird 7.0 est plus anciens soient renouvelées.

Cela laisse le temps à Chrome d'intégrer son propre magasin de certificat et aux fabricants de terminaux de proposer une mise à jour spéciale pour rajouter les racines nécessaires, même si cela à peu de chance de se produire.

renaud07 · « **Réponse #59 le:** 27 décembre 2020 à 17:04:22 »

C'est légèrement HS, mais il est tout à fait possible de mettre à jour les certificats sur XP, même si ce n'est pas très recommandé de surfer avec, pour dépanner ça marche très bien. Et Chrome reconnaît à priori bien le nouveau cerificat ISRG Root X1.

Pour ce faire, un petit utilitaire a été créé : https://msfn.org/board/topic/175170-root-certificates-and-revoked-certificates-for-windows-xp/page/3/?tab=comments#comment-1110568

Auteur Sujet: 1er octobre 2021: nombreux changements pour Let's Encrypt (Lu 28609 fois)

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

kazyor

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

kazyor

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

hwti

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

hwti

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

alain_p

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

renaud07

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt