Auteur Sujet: 1er octobre 2021: nombreux changements pour Let's Encrypt (Lu 28829 fois)

Zweit · « **Réponse #84 le:** 27 septembre 2021 à 13:33:27 »

Citation de: vivien le 26 septembre 2021 à 22:00:06

Après le 29 septembre 2021

Notre chaîne par défaut et notre chaîne alternative ne changeront pas, mais DST Root CA X3 expirera. Les appareils Android depuis la version 2.3.6 continueront de fonctionner. Les appareils non Android qui ne reçoivent pas de mises à jour du système afficheront des erreurs de certificat. Sur certaines plates-formes, l'utilisation de Firefox sera une solution de contournement, car Firefox obtient des mises à jour même sur de nombreux systèmes d'exploitation obsolètes.

Nous publierons périodiquement de nouveaux intermédiaires pour remplacer E1, E2, R3 et R4. Ces intermédiaires seront signés par ISRG Root X1 ou ISRG Root X2, selon leur type de clé.

Donc si je comprends bien, je ne devrais pas être gêné avec mon vieux Galaxy A5 premier du nom (2015) qui est est bloqué en 6.0.1 faute de mises à jour de la part de Samsung, du moins jusqu'en 2024 ? Je n'ai pas prévu de changer de téléphone cette année, mais c'était plus ou moins dans l'optique de l'année prochaine...

vivien · « **Réponse #85 le:** 27 septembre 2021 à 14:12:56 »

Oui, j'ai modifié le titre du sujet : "1er octobre 2021: nombreux changements pour Let's Encrypt"

Les mobiles Android < 7.1.1 ont le droit à 3 ans de plus fonctionnement. La faille de sécurité exploitée pour permettre aux Android de continuer de fonctionner ne fonctionnera pas avec d'autres vieux systèmes d'exploitation.

Quand l’accès à Internet ne fonctionne pas avec Internet Explorer ou Chrome, il faut passer à Firefox, qui a son propre magasin de certificat de confiance et qui gère ISRG Root X1 depuis Firefox 50.

La problématique la plus importante semble être sur les serveurs où OpenSSL 1.0.2 (encore très rependu) posera problème, si le certificat DST Root CA X3 est encore dans le magasin, tout en étant expiré.

C'est pour cela que plusieurs distributions Linux diffusent des mises à jour pour supprimer DST Root CA X3 afin de forcer OpenSSL a utiliser le chemin alternatif ISRG Root X1.

Le 1er octobre 2021, les plus grands impacts ne seront pas les PC, mais tout ce qui est embarqué, objet connecté. Si votre enceinte connectée Wi-Fi veut se connecter à une radio Let's Encrypt, il lui faut la mise à jour (ou une version d'OpenSSL récente)

J’espère pour Auchan, que leur caisse n'a pas besoin de se connecter à un domaine sécurisé par Let's Encrypt...

Citation de: vivien le 26 septembre 2020 à 21:37:25

Photo prise en septembre 2020 par @najihel dans un Auchan : Totalement incompréhensible, sur du matériel aussi sensible, complexe et récent.

hwti · « **Réponse #86 le:** 27 septembre 2021 à 14:24:03 »

Citation de: vivien le 27 septembre 2021 à 09:35:42

J'ai trouvé un cas où cela devrait poser problème : Le téléchargement des mises à jour de sécurité pour Ubuntu 14.04 LTS et Ubuntu 16.04 LTS.
Le support de ces distributions sont assurés pendant 10 ans, avec l'Ubuntu Advantage subscription (gratuit pour un usage personnel).

La version d'OpenSSL n'est pas et ne sera mis à jour en OpenSSL version 1.1.0 ou ultérieure (les patchs de sécurité sont backporté dans OpenSSL 1.0.2).

Les mises à jour sont téléchargées https://esm.ubuntu.com/ (c'est bien du https par défaut qu'utilise apt-get pour ce dépôt)

Vous voulez voir avec quel certificat est utilisé par les dépots de mise à jour de sécurité ? C'est Let's Encrypt !

La solution ? Faire les mises à jour pendant le fenêtre où c'est possible : entre le 23 septembre et 30 septembre 2021

Pour ne pas casser les certificats qui n'auraient pas intégrés ISRG Root X1, la suppression du certificat racine expiré DST Root CA X3 du magasin de confiance utilisé par le client OpenSSL 1.0.2 n'a été proposé en tant que mise à jour de sécurité que le 23 septembre 2021 pour Ubuntu, ce qui laisse une semaine pour faire les mises à jour et éviter le blocage des mise à jour et d'autres choses.

Si vous avez OpenSSL 1.0.2, il est donc très important de faire toutes les mises à jour de sécurité avant le 30 septembre.

Pour Ubuntu 16.04, il y a déjà une mise à jour qui est passée normalement.
https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/1928989 (openssl 1.0.2g-1ubuntu4.20) force X509_V_FLAG_TRUSTED_FIRST (le "Workaround 2" décrit sur le blog OpenSSL).

Zweit · « **Réponse #87 le:** 27 septembre 2021 à 15:22:56 »

Citation de: vivien le 27 septembre 2021 à 14:12:56

Oui, j'ai modifié le titre du sujet : "1er octobre 2021: nombreux changements pour Let's Encrypt"

Les mobiles Android < 7.1.1 ont le droit à 3 ans de plus fonctionnement. La faille de sécurité exploitée pour permettre aux Android de continuer de fonctionner ne fonctionnera pas avec d'autres vieux systèmes d'exploitation.

Merci pour ces précisions

vivien · « **Réponse #88 le:** 27 septembre 2021 à 18:31:38 »

Citation de: hwti le 27 septembre 2021 à 14:24:03

Pour Ubuntu 16.04, il y a déjà une mise à jour qui est passée normalement.
https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/1928989 (openssl 1.0.2g-1ubuntu4.20) force X509_V_FLAG_TRUSTED_FIRST (le "Workaround 2" décrit sur le blog OpenSSL).

Exact. Le patch a été mis à disposition à partir du 19 août 2021.

vivien · « **Réponse #89 le:** 30 septembre 2021 à 20:55:15 »

Ubuntu 16.04 LTS

J'ai fais le test sur un Ubuntu 16.04 sur lequel j'ai laissé Ubuntu faire les mises à jour de sécurité sans faire les mises à jour qui ne sont pas de sécurité.
Autre point important il n'y a pas d'abonnement Ubuntu Advantage, donc les dernières mises à jour de sécurité pour Let's Encrypt ne sont pas disponibles (cela fait 5 mois qu'il n'y a plus de mises à jour).

Hier tout est ok, en ligne de commande comme pour les navigateurs :

Coté navigateur, Firefox 88 n'a aucune raison de poser problème vu qu'il intègre son propre magasin de certificat racine.
Chrome 90 fait confiance à ISRG Root X1 car le système l'embarque.
Par contre Epiphany 3.18.11 bloque, probablement à cause d'OpenSSL 1.0.2. Après avoir fait les mises à jour qui ne sont pas de sécurité c'est ok.

Wget est OK, mais pas Curl, probablement à cause d'OpenSSL 1.0.2 :

vivien · « **Réponse #90 le:** 30 septembre 2021 à 22:09:14 »

Ubuntu 14.04 LTS

Ubuntu 14.04 n'a plus de mise à jour depuis deux ans et demi (hors abonnement Ubuntu Advantage que je n'ai pas)

ISRG Root X1, le certificat racine de Let's Encrypt est bien présent, Les certificats avaient donc bien été maintenu à jour.

A cause de OpenSSL 1.0.1, ni wget, ni Curl ne fonctionnent :

Pour les navigateurs web :
- Firefox 66.0.3 : Tout fonctionne
- Chromium 65 : Tout fonctionne
- Epiphany : 3.10.3 (WebKit 2.4.10) : blocage
- Arora 0.11.0 (WebKit 531.21) : blocage avec une erreur SSL
- Dillo 3.0.3 : blocage avec une erreur SSL
- QupZilla 1.6.0 (WebKit 531.21) : blocage avec une erreur SSL

willemijns · « **Réponse #91 le:** 01 octobre 2021 à 00:10:21 »

Ca semble passer à 0h08 avec lafibre.info avec un android 5.1 .......

hwti · « **Réponse #92 le:** 01 octobre 2021 à 06:46:13 »

Citation de: vivien le 30 septembre 2021 à 20:55:15

.
Par contre Epiphany 3.18.11 bloque, probablement à cause d'OpenSSL 1.0.2. Après avoir fait les mises à jour qui ne sont pas de sécurité c'est ok.

C'est GnuTLS, qui a le mérite bug que OpenSSL 1.0.2.
https://bugs.launchpad.net/ubuntu/+source/gnutls28/+bug/1928648

Citation de: vivien le 30 septembre 2021 à 20:55:15

Wget est OK, mais pas Curl, probablement à cause d'OpenSSL 1.0.2 :

curl >= 7.71 positionne X509_V_FLAG_TRUSTED_FIRST pour OpenSSL 1.0.2.
Les versions plus anciennes faisaient mal le test, et ne l'utilisaient que pour OpenSSL 1.0.2a.

vivien · « **Réponse #93 le:** 01 octobre 2021 à 09:21:17 »

Ubuntu 12.04 LTS

Afin de libérer de l'espace de stockage dans les serveurs de téléchargement officiels et dans les serveurs miroirs, les mises à jour d'Ubuntu 12.04 sont aussi retirées des serveurs de téléchargement officiels. Pour avoir les dernières mises à jour, il faut changer les dépôts, cela se fait simplement avec des deux commandes :

sudo sed -i -e "s/fr.archive.ubuntu.com/old-releases.ubuntu.com/g" /etc/apt/sources.list
sudo sed -i -e "s/security.ubuntu.com/old-releases.ubuntu.com/g" /etc/apt/sources.list

Les dernières mises à jour proposées intègrent ISRG Root X1, le certificat racine de Let's Encrypt.

Mais comme Ubuntu 14.04 ou Ubuntu 16.04, on peut avoir des problèmes lié à GnuTLS ou OpenSSL.
La solution ?
Il suffit de supprimer le certificat DST Root CA X3 qui est expiré :
sudo rm /etc/ssl/certs/DST_Root_CA_X3.pem

Ensuite vous arriverez à faire fonctionner parfaitement les sites Let's Encrypt, même avec le navigateur Arora 0.11 (basé sur WebKit 534.34).

alain_p · « **Réponse #94 le:** 01 octobre 2021 à 13:28:20 »

Citation de: vivien le 01 octobre 2021 à 09:21:17

La solution ?

do-release-upgrade

vivien · « **Réponse #95 le:** 01 octobre 2021 à 13:35:27 »

Je ne pousse pas a garder de vieux système d'exploitation, mais il peut y avoir des contraintes, comme les mini-pc Atom équipé de 8 Go de mémoire flash (j'ai même un modèle équipé de 4 Go de mémoire flash). Avaoir aussi peu de disque limite fortement l'installation d'OS récent, plus que la RAM de 1 Go.

Dans l'industrie, c'est fréquent d'avoir de vieux Linux embarqué.

Windows 3.11 est utilisé en 2021 dans les trains par la Deutsche Bahn en Allemagne

Citation de: vivien le 13 août 2021 à 13:03:26

Quel système d’exploitation pour un des ordinateur de bord de le Deutsche Bahn en Allemagne ?

Cela pose la question de l'évolution bien trop rapide de l'informatique pour des secteurs où il faut de la stabilité...

C'est un Pentium 100 Mhz avec 16 Mo de mémoire vive, disque dur IBM IDE de 5 Go tournant sous Windows 95.

Source : @CptKrustenkaese

Il reste des versions qui tournent sous Windows 3.11 :

Auteur Sujet: 1er octobre 2021: nombreux changements pour Let's Encrypt (Lu 28829 fois)

Zweit

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

1er octobre 2021: nombreux changements pour Let's Encrypt

hwti

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

Zweit

1er octobre 2021: nombreux changements pour Let's Encrypt

vivien

2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt

vivien

1er octobre 2021: nombreux changements pour Let's Encrypt

vivien

1er octobre 2021: nombreux changements pour Let's Encrypt

willemijns

1er octobre 2021: nombreux changements pour Let's Encrypt

hwti

1er octobre 2021: nombreux changements pour Let's Encrypt

vivien

1er octobre 2021: nombreux changements pour Let's Encrypt

alain_p

1er octobre 2021: nombreux changements pour Let's Encrypt

vivien

1er octobre 2021: nombreux changements pour Let's Encrypt