Auteur Sujet: 1er octobre 2021: nombreux changements pour Let's Encrypt  (Lu 28341 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
1er octobre 2021: nombreux changements pour Let's Encrypt
« le: 05 décembre 2020 à 16:52:15 »
En 2021, les versions d'Android antérieures à 7.1.1 ne feront plus confiance aux certificats émis par Let's Encrypt

Je trouve étonnant qu'on en parle si peu, vu la position qu'a pris Let's Encrypt, utilisé par la majorités des sites web aujourd'hui (plus de 225 million de sites web et environ 1,5 millions de certificats émis par jour).

Depuis 2016 Let's Encrypt demande à tous les systèmes d’exploitation d'intégrer son certificat racine: ISRG Root X1. Tous les systèmes d’exploitations ont alors publiées des mises à jour pour intégrer ISRG Root X1.

Tous ? Non, outre Windows XP, beaucoup de Smartphones Android ne reçoivent les nouvelles versions d'Android depuis 4 ans. En septembre 2020, seul 66,2% des smartphones Android en septembre 2020 intègrent le certificat racine de Let's Encrypt ISRG Root X1 (Android 7.1.2 est sorti le 5 décembre 2016, il y a 4 ans jour pour jour, mais de nombreux smartphones ne l'ont pas reçu, comme par exemple le Samsung Galaxy S6, smartphone très populaire sortie en 2015, qui est resté bloqué en 7.0 avec les dernières mises à jour). Certains Smartphones commercialisés en 2017 étaient sous Android 7.0 et n'ont reçus aucune mise à jour vers Android 7.1 ou 8.0.

33,8% des smartphones Android ne feront plus confiance aux certificats émis par Let's Encrypt en 2021 (progressivement à compter du 11 janvier 2021 et le 1er septembre 2021, date d'expiration du certificat racine DST Root X3, les versions d'Android antérieures à 7.1.1). Le certificat «DST Root X3» d'IdenTrust était utilisé temporairement, le temps que le certificat ISRG Root X1 soit intégré dans les différents systèmes d’exploitations.

Seul l'utilisation de Firefox permettra aux versions d'Android antérieures à 7.1.1 d'avoir un accès aux très nombreux sites avec un certificat émis par Let's Encrypt : Firefox est actuellement le seul navigateur à livrer sa propre liste de certificats racine de confiance, elle est donc mise à jour en même temps que le navigateur.

Voici les messages qui s'afficheront avec Google Chrome sur de nombreux sites internet dans quelques mois :


La racine ISRG X1 et la certification croisée avec la racine “DST Root CA X3” d’IdenTrust (nommée “TrustID X3 Root”) :


vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #1 le: 05 décembre 2020 à 16:56:02 »
Voici la traduction d'un article publié par Let's Encrypt, qui explique la situation et pourquoi il n'y a pas de solutions :

Lorsqu'une nouvelle autorité de certification (CA) entre en scène, elle est confrontée à une énigme: pour être utile aux gens, elle a besoin que son certificat racine soit approuvé par une grande variété de systèmes d'exploitation (OS) et de navigateurs. Cependant, cela peut prendre des années pour que les systèmes d'exploitation et les navigateurs acceptent le nouveau certificat racine, et même plus longtemps pour que les gens mettent à niveau leurs appareils vers les versions plus récentes qui incluent ce changement. La solution courante: une nouvelle autorité de certification demandera souvent à une autorité de certification existante et de confiance une signature croisée, pour qu'elle soit rapidement approuvée par de nombreux appareils.

Il y a cinq ans, lorsque Let's Encrypt a été lancé, c'est exactement ce que nous avons fait. Nous avons obtenu une signature croisée d'IdenTrust. Leur «DST Root X3» existe depuis longtemps, et toutes les principales plates-formes logicielles lui font déjà confiance: Windows, Firefox, macOS, Android, iOS et une variété de distributions Linux. Cette signature croisée nous a permis de commencer à émettre des certificats tout de suite et de les rendre utiles à beaucoup de gens. Sans IdenTrust, Let's Encrypt n'aurait peut-être jamais eu lieu et nous leur sommes reconnaissants pour leur partenariat. Entre-temps, nous avons émis notre propre certificat racine («ISRG Root X1») et demandé qu'il soit approuvé par les principales plates-formes logicielles.

Maintenant, ces plates-formes logicielles font confiance à notre certificat racine depuis des années. Et le certificat racine DST Root X3 sur lequel nous nous sommes appuyés pour nous faire décoller va expirer - le 1er septembre 2021. Heureusement, nous sommes prêts à nous débrouiller seuls et à nous fier uniquement à notre propre certificat racine.

Cependant, cela introduit des problèmes de compatibilité. Certains logiciels qui n'ont pas été mis à jour depuis 2016 (environ lorsque notre racine a été acceptée par de nombreux programmes racine) ne font toujours pas confiance à notre certificat racine, ISRG Root X1. Plus particulièrement, cela inclut les versions d'Android antérieures à 7.1.1. Cela signifie que ces anciennes versions d'Android ne feront plus confiance aux certificats émis par Let's Encrypt.

Android a un problème de longue date et bien connu avec les mises à jour du système d'exploitation. Il existe de nombreux appareils Android dans le monde dotés de systèmes d'exploitation obsolètes. Les causes sont complexes et difficiles à résoudre: pour chaque téléphone, le système d'exploitation Android de base est généralement modifié par le fabricant et un opérateur de téléphonie mobile avant qu'un utilisateur final ne le reçoive. Lorsqu'il y a une mise à jour vers Android, le fabricant et l'opérateur de téléphonie mobile doivent intégrer ces modifications dans leur version personnalisée avant de l'envoyer. Souvent, les fabricants décident que cela ne vaut pas la peine. Le résultat est mauvais pour les personnes qui achètent ces appareils: beaucoup sont bloqués sur des systèmes d'exploitation obsolètes depuis des années.

Google ne fournit plus de numéros de version sur son tableau de bord de distribution, mais vous pouvez toujours obtenir des données en téléchargeant Android Studio.

Voici à quoi ressemblaient les chiffres en septembre 2020:

Distribution de la version Android à partir de septembre 2020

Actuellement, 66,2% des appareils Android utilisent la version 7.1 ou supérieure. Les 33,8% restants des appareils Android finiront par recevoir des erreurs de certificat lorsque les utilisateurs visitent des sites disposant d'un certificat Let's Encrypt. Dans nos communications avec les grands intégrateurs, nous avons constaté que cela représente environ 1 à 5% du trafic vers leurs sites. Espérons que ces chiffres seront inférieurs à l'expiration de DST Root X3 l'année prochaine, mais le changement n'est peut-être pas très significatif.

Que pouvons-nous faire à ce sujet? Eh bien, même si nous aimerions améliorer la situation des mises à jour Android, nous ne pouvons pas faire grand-chose. Nous ne pouvons pas non plus nous permettre d'acheter un nouveau téléphone au monde. Pouvons-nous obtenir une autre signature croisée? Nous avons exploré cette option et cela semble peu probable. C'est un gros risque pour une autorité de certification de signer le certificat d'une autre autorité de certification, car elle devient responsable de tout ce que fait cette autorité de certification. Cela signifie également que le destinataire de la signature croisée doit suivre toutes les procédures définies par l'AC de signature croisée. Il est important pour nous de pouvoir être autonomes. En outre, le problème de mise à jour Android ne semble pas disparaître. Si nous nous engageons à prendre en charge les anciennes versions d'Android, nous nous engageons à rechercher indéfiniment des signatures croisées auprès d'autres autorités de certification.

C'est assez difficile. Nous nous engageons à ce que tout le monde sur la planète dispose de communications sécurisées et respectueuses de la vie privée. Et nous savons que les personnes les plus touchées par le problème de mise à jour d'Android sont celles que nous souhaitons le plus aider - les personnes qui ne pourront peut-être pas acheter un nouveau téléphone tous les quatre ans. Malheureusement, nous ne nous attendons pas à ce que les chiffres d'utilisation d'Android changent beaucoup avant l'expiration de DST Root X3. En sensibilisant maintenant à ce changement, nous espérons aider notre communauté à trouver la meilleure voie à suivre.


Si vous êtes propriétaire du site

À compter du 11 janvier 2021, nous prévoyons d'apporter une modification à notre API afin que les clients ACME servent, par défaut, une chaîne de certificats menant à ISRG Root X1. Cependant, il sera également possible de servir une chaîne de certificats alternative pour le même certificat qui mène à DST Root X3 et offre une compatibilité plus large. Ceci est implémenté via la relation de liaison «alternative» ACME. Ceci est pris en charge par Certbot à partir de la version 1.6.0. Si vous utilisez un autre client ACME, veuillez consulter la documentation de votre client pour voir si la relation de lien «alternative» est prise en charge.

Il y aura des propriétaires de sites qui recevront des plaintes d'utilisateurs et nous sommes reconnaissants que ce ne soit pas idéal. Nous travaillons dur pour alerter les propriétaires de sites afin que vous puissiez planifier et préparer. Nous encourageons les propriétaires de sites à déployer un correctif temporaire (passage à la chaîne de certificats alternative) pour que votre site continue de fonctionner pendant que vous évaluez ce dont vous avez besoin pour une solution à long terme: si vous devez exécuter une bannière demandant à vos utilisateurs Android sur des systèmes d'exploitation plus anciens de installez Firefox, arrêtez de prendre en charge les anciennes versions d'Android, revenez à HTTP pour les anciennes versions d'Android ou passez à une autorité de certification installée sur ces anciennes versions.


Si vous obtenez des certificats Let's Encrypt via votre fournisseur d'hébergement

Votre fournisseur d'hébergement peut servir le DST Root X3 jusqu'en septembre 2021, ou il peut décider de passer à la chaîne de certificats menant à ISRG Root X1 après le 11 janvier 2021. Veuillez les contacter si vous avez des questions!


Si vous utilisez une ancienne version d'Android

Si vous utilisez une ancienne version d'Android, nous vous recommandons d' installer Firefox Mobile , qui prend en charge Android 5.0 et supérieur au moment de la rédaction.

Pourquoi l'installation de Firefox aide-t-elle? Pour le navigateur intégré d'un téléphone Android, la liste des certificats racine de confiance provient du système d'exploitation - qui est obsolète sur ces anciens téléphones. Cependant, Firefox est actuellement unique parmi les navigateurs - il est livré avec sa propre liste de certificats racine de confiance. Ainsi, toute personne qui installe la dernière version de Firefox bénéficie d'une liste à jour d'autorités de certification de confiance, même si son système d'exploitation est obsolète.

Nous apprécions votre compréhension et votre soutien, maintenant et au fil des ans, alors que nous continuons à grandir en tant qu'autorité de certification, en veillant à ce que les gens du monde entier aient accès au cryptage. Nous fournirons toutes les mises à jour futures sur la façon dont cette transition racine affecte les appareils Android via notre message sur le forum de la communauté. Notre communauté est toujours prête à vous aider si vous avez des questions sur ce changement: community.letsencrypt.org.

Nous dépendons des contributions de nos supporters pour fournir nos services. Si votre entreprise ou organisation souhaite parrainer Let's Encrypt, veuillez nous envoyer un e-mail à sponsor@letsencrypt.org. Nous vous demandons d'apporter une contribution individuelle si cela est dans vos moyens.


Si vous êtes un développeur d'applications

Si vous développez une application Android, vous pouvez envoyer une mise à jour qui ajoute ISRG Root X1 en tant que racine de confiance dans le contexte de votre application. Il y a une discussion sur les moyens de le faire dans ce fil de discussion du forum et sur ce problème GitHub.


Source: Let's Encrypt, le 6 novembre 2020 par Jacob Hoffman-Andrews, traduit rapidement par Vivien.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #2 le: 05 décembre 2020 à 17:02:08 »
Le "classique" problème de la fragmentation d'Android.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #3 le: 05 décembre 2020 à 17:39:04 »
Enfin là c'est plus qu'un problème, ces version d'Android représentent entre 1 à 5% du trafic en fonction des sites web.

Savez-vous comment vérifier la liste des certificats sur un Smartphone Android ?

Gabi

  • Abonné SFR THD (câble)
  • *
  • Messages: 94
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #4 le: 05 décembre 2020 à 17:43:37 »
Seul l'utilisation de Firefox permettra aux versions d'Android antérieures à 7.1.1 d'avoir un accès aux très nombreux sites avec un certificat émis par Let's Encrypt : Firefox est actuellement le seul navigateur à livrer sa propre liste de certificats racine de confiance, elle est donc mise à jour en même temps que le navigateur.

Cela pourrait bientôt changer... Il y a eu une annonce officielle récemment du Chrome Root Program : https://groups.google.com/g/mozilla.dev.security.policy/c/3Q36J4flnQs/m/VyWFiVwrBQAJ. On trouve aussi depuis quelques semaines la liste de pré-requis pour les autorités de certification (https://www.chromium.org/Home/chromium-security/root-ca-policy)
A voir, mais si Google est toujours en mesure de pousser des mises à jour de Chrome à ces appareils via le Play Store, cela pourrait changer en partie la donne.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #5 le: 05 décembre 2020 à 17:58:21 »
Je me demande si cela sera mis dans les navigateurs par défaut (cela ne fait que quelques années que c'est Chrome qui est installé par défaut)

"Samsung Internet Browser" mis par exemple par défaut par Samsung est bien mis à jour via le play store (dernière mise à jour v 13.0.1.64 du 18 novembre 2020) pour un smartphone Samsung Galaxy S6 sous Android 7.0 mais vas-il intégrer les certificats ? (C'est bien un navigateur basé sur Chrome, mais Samsung intègre des correctifs sans forcément mettre à jour Chromium, la version du 18 novembre 2020 se base sur Chromium 83.0.4103, version du  19 mai 2020 !)

Maintenant le problème n'est pas que pour les navigateurs web, les applications ont également besoin du certificat ISRG Root X1 si les ressources https utilisent un certificat Let's Encrypt, ce qui est souvent le cas pour au moins une partie des ressources utilisées.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #6 le: 05 décembre 2020 à 18:10:21 »
On a des détails sur les autres devices Android non téléphones ?

Je pense surtout aux TV, dont une très grande partie tourne sous Android. Bientôt les frigos ?
Quid des mises à jour de ces devices là ? J'imagine que c'est le même bordel que les téléphones, avec les constructeurs en intermédiaires entre Google et l'utilisateur final, et leurs fameuses surcouches ?

Car Vivien tu l'as bien précisé : Let's Encrypt n'impacte pas que le web pur (aka : la navigation de sites webs), mais toute API ou appli qui en interne a besoin d'appels https sur du Let's Encrypt, c'est à dire beaucoup d'appli (puisqu'aujourd'hui on a la bonne idée de tout encapsuler dans https, même du DNS c'est pour dire ...)

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #7 le: 05 décembre 2020 à 18:16:52 »
Le "classique" problème de la fragmentation d'Android.

Démontré plein de fois que ce n'est pas vraiment un "problème" et encore moins "classique" et au contraire une des forces d'Android qui lui a permis de prendre le dessus et de devenir l'OS mobile dominant. Apres y'a qu'a voir les parts de marché d'Android pour avoir la réponse. Mais on ne va pas refaire ce débat ici.

Le problème de sites n'ayant pas de certifs corrects ou pas adapté a leur visiteurs n'est pas du tout spécifique aux mobiles, j'en croise tout les jours avec un navigateur desktop.

C'est pour moi un faux problème que d'accuser le coté utilisateur/mobile alors que le coupable est du coté des sites web et services.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #8 le: 05 décembre 2020 à 18:19:54 »
C'est pour moi un faux problème que d'accuser le coté utilisateur/mobile alors que le coupable est du coté des sites web et services.

J'ai un peu de mal à comprendre ta conclusion : c'est aux sites web de ne pas utiliser Let's Encrypt ?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #9 le: 05 décembre 2020 à 18:23:07 »
J'ai un peu de mal à comprendre ta conclusion : c'est aux sites web de ne pas utiliser Let's Encrypt ?

oui bien sur si une partie significative de tes utilisateurs ont des appareils obsoletes et pas a jour tu t'adaptes a tes utilisateurs et pas l'inverse.
C'est le minimum quand on est pro. Tu ne vas leur dire: ben maintenant changer de smartphone sinon vous pourrez plus accéder a mon service parce que j'ai la flemme de changer mon certificat?



vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #10 le: 05 décembre 2020 à 18:37:36 »
Moi j'aurais plutôt mis la faute sur Google, qui aurait du faire bien avant ce qu'il va faire pour Android 12 : Google va permettre d’installer facilement des mises à jour système en passant par le Play Store (project Mainline)

Désormais, Google est capable de déployer une mise à jour de sécurité via le Play Store de son propre chef, sans attendre Samsung, Xiaomi ou OnePlus.

On peut penser que la liste de certificats racine de confiance fera partie du lot qui sera dorénavant géré par Google et donc mis à jour pendant de nombreuses années (si j'ai bien compris Google envisage de le faire pour les émojis, afin de permettre aux utilisateurs de pouvoir bénéficier des dernières émoticônes bien plus rapidement, il serait donc incompréhensible que la mise à jour des émoticônes soit prise en charge et pas les certificats racine)

Un article sur le sujet : These Android users may need to change their phones to brows ..

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
2021: Android 7 et antérieures ne feront plus confiance à Let's Encrypt
« Réponse #11 le: 05 décembre 2020 à 20:28:15 »
Je cherche un site pour vérifier ISRG Root X1 avec un certificat valide.

J'ai pensé à https://valid-isrgrootx1.letsencrypt.org/ mais il a un double chemin ISRG Root X1 + DST Root X3 :



Et donc cela fonctionne même avec Ubuntu 15.04 (installé sans aucune mise à jour) de façon a être certain de ne pas avoir ISRG Root X1 (impossible de l'avoir avant sa création)

Le Firefox ci-dessous passe donc par DST Root X3 pour valider le certificat :