Auteur Sujet: 1er octobre 2021: nombreux changements pour Let's Encrypt (Lu 43672 fois)

« **Réponse #108 le:** 02 octobre 2021 à 14:23:09 »

Citation de: Free_me le 02 octobre 2021 à 08:50:43

j'ai pas dis que c'etait pas inutilisable...
une renault 5 de 1982 reste fonctionnelle, ca reste une vielle bouse

"tres performant" => on a le droit de rigoler ou pas ? ou alors tu compares par rapport a un pc des années 2000 ?
Non. Ca reste utilisable, rien de plus.

Vu la stagnation des performance d'Intel, c'est pas un gouffre non plus... Le dernier MacMini Intel (2018) est 2 à 3 fois plus puissant que celui de 2011 (en comparant les i5)... En 7 ans, ça casse pas 3 pattes à un canard, et le gap n'a rien d'extraordinaire... donc de là à rigoler et à parler de vieille bouse... Un peu de mauvaise foi?

vivien · « **Réponse #109 le:** 06 octobre 2021 à 08:06:46 »

Finalement quels ont été les principaux impacts des changements de Let's Encrypt ?

Pour l’utilisation de navigateurs web l'impact le plus important semble être coté MacOS : Le support des versions de MacOS est de courte durée et Mac OS X El Capitan (10.11) sortie en juin 2015 n'a pas le droit au certificat ISRG Root X1.

3 solutions sont possibles pour les nombreux utilisateurs impactés :
- Mettre à jour MacOS vers la version suivante (si c'est possible)
- Utiliser Firefox qui a son propre magasin de certificat et qui embarque ISRG Root X1 depuis Firefox 50
- Rajouter manuellement le certificat ISRG Root X1. Je n'ai pas de Mac, donc voici un tutoriel que je n'ai pas testé :

--------------------------------------------
1. Download this Root Certificate:
--------------------------------------------

NAME:
"ISRG Root X1"
(✅ Self-signed, ❌ NOT Cross-signed)

URL:
https://letsencrypt.org/certs/isrgrootx1.der

--------------------------------------------
2. Verify that the fingerprints match:
--------------------------------------------

So you know that the Root Certificate I've linked to is in fact the one that LE provides and Apple has certified/trusted.

This is for *your* safety since you *shouldn't* trust me.

FINGERPRINT (SHA-1):
CABD2A79A1076A31F21D253635CB039D4329A5E8

SOURCE:
https://letsencrypt.org/certificates/ (Active > ISRG Root X1 > Self-signed > der)
https://crt.sh/?id=9314791

WHAT APPLE SHIPS 10.12.1+:
https://support.apple.com/en-us/HT207189
- Search for: "ISRG Root X1"

You should see that the fingerprints match between and .

--------------------------------------------
4. Install the certificate:
--------------------------------------------

- Via "Keychain Access.app"
- `File > Import Items...`

You can install it into either the `login` or `system` keychain. But not `System Roots` (which is where it *would* be, if we were on 10.12.1+)

- login = Current user only
- system = All users

--------------------------------------------
5. Manually "Trust" that certificate:
--------------------------------------------

- Find it ("ISRG Root X1") in the list and double click on it.
- Open the "▶ Trust" area.
- Set: `When using this certificate:` to `Always Trust`
- Close the window, which will ask you to verify with your login password.

🏁 Done!

vivien · « **Réponse #110 le:** 06 octobre 2021 à 09:12:17 »

Quels sont les impacts en-dehors des navigateurs web ?

Il y a de nombreux impacts sur des utilitaires Linux (les principaux navigateurs ne sont pas impactés).

Ce n'est pas lié à l'absence de ISRG Root X1, mais au fait que pour maintenir la compatibilité avec les Android < 7.1, le serveur envoie le ISRG Root X1 signé par DST Root CA X3. Certains utilitaires, si la racine DST Root CA X3 est toujours présente voit la chaîne avec une racine expirée et refuse, même si la racine ISRG Root X1 est présente. On a beaucoup parlé de OpenSSL 1.0.2, mais cela va bien au-delà.

Je donne un exemple concret avec Ubuntu 20.04 : J'ai l'habitude de me connecter aux dépôts Ubuntu en https (ce n'est pas le comportement par défaut, mais c'est officiellement supporté, il suffit de choisir un miroir qui gère le https pour la configuration soit automatiquement basculée en https)

Sur un serveur Ubuntu 20.04 et un PC Ubuntu 20.04 qui avaient été mis à jour début septembre, début octobre impossible de faire les mises à jour :

J'ai basculé les dépôt en http et j'ai fais toutes les mises à jour, sauf celle qui retire la racine DST Root CA X3 :

J'ai ensuite remis les dépôts en https et j'ai testé en ligne de commande pour avoir plus de détail sur l'erreur :

APT est incapable de se connecter en https à un dépôt signé par Let's Encrypt si la racine DST Root CA X3 expirée est encore présente sur le système (elle n'a été retirée par une mise à jour que fin septembre)

A noter que APT d'Ubuntu 16.04 ne semble pas affecté par ce problème, j'avais réalisé le test en oubliant exprès la mise à jour qui retire la racine DST Root CA X3 expirée et cela fonctionnait sur un dépot signé par Let's Encrypt.

eahlys · « **Réponse #111 le:** 06 octobre 2021 à 09:39:15 »

Le support des versions de macOS est de courte durée, mais les updates sont systématiquement proposées à énormément de Mac/MacBooks, donc au final il faut le vouloir pour être bloqué sur El Captain quand même

hwti · « **Réponse #112 le:** 06 octobre 2021 à 10:20:38 »

Citation de: vivien le 06 octobre 2021 à 09:12:17

On a beaucoup parlé de OpenSSL 1.0.2, mais cela va bien au-delà.

Je donne un exemple concret avec Ubuntu 20.04
[...]
APT est incapable de se connecter en https à un dépôt signé par Let's Encrypt si la racine DST Root CA X3 expirée est encore présente sur le système (elle n'a été retirée par une mise à jour que fin septembre)

Si on regarde les dépendances, apt utilise GnuTLS.
GnuTLS avait un bug similaire à OpenSSL 1.0.2, ça a été corrigé en 3.6.14.
Pas de chance, Ubuntu 20.04 a toujours GnuTLS 3.6.13.

ericse · « **Réponse #113 le:** 06 octobre 2021 à 10:21:02 »

Oui, sauf erreur, El Capitan concerne les machines de 2009 et moins, les suivantes peuvent être mise à jour en High Sierra au minimum.

Une autre procédure pour mettre à jour le certificat que j'ai trouvée (mais pas testée personnellement) :

Avec Firefox (à jour) ouvre https://letsencrypt.org/certs/isrgrootx1.pem
Accepte l'ouverture avec KeyChain (par défaut)
Accepte l'installation dans le Trousseau

EDIT: Cela va l'installer dans le trousseau Session, donc valable uniquement pour l'utilisateur courant, mais c'est déjà ça

Shinochaz · « **Réponse #114 le:** 06 octobre 2021 à 14:54:47 »

Citation de: ericse le 06 octobre 2021 à 10:21:02

Oui, sauf erreur, El Capitan concerne les machines de 2009 et moins, les suivantes peuvent être mise à jour en High Sierra au minimum.

Une autre procédure pour mettre à jour le certificat que j'ai trouvée (mais pas testée personnellement) :
Avec Firefox (à jour) ouvre https://letsencrypt.org/certs/isrgrootx1.pem
Accepte l'ouverture avec KeyChain (par défaut)
Accepte l'installation dans le Trousseau
EDIT: Cela va l'installer dans le trousseau Session, donc valable uniquement pour l'utilisateur courant, mais c'est déjà ça

Comme je l'ai dit plus haut, il y a un risque de me retrouver avec un écran noir si je mets mon OS à jour pour une version plus récente étant donné que depuis sa réparation, c'est comme si mon mac avait été "hacké",, mon en théorie il supporte jusqu'à High Sierra. Il faudrait que je tente une mise à jour un de ces quatre mais en ayant bien pris soin de limiter à fond les risques (installation de l'OS sur une clé USB dans un premier temps, clonage de la partition de restauration...), parce que plus que l'obsolescence matérielle, c'est l'obsolescence logicielle que je commence à sentir passer lentement mais sûrement...

Sinon ta méthode est la bonne. Cependant une fois que le certificat est installé, il faut l'ouvrir en double-cliquant dessus, dérouler le menu "se fier" et "toujours approuver". Bien entendu, pour de telles manipulations, il faut avoir les droits d'administration de la machine.

lm2 · « **Réponse #115 le:** 09 avril 2023 à 22:43:22 »

Citation de: vivien le 05 décembre 2020 à 16:52:15

En 2021, les versions d'Android antérieures à 7.1.1 ne feront plus confiance aux certificats émis par Let's Encrypt

Je trouve étonnant qu'on en parle si peu,

Désolé de déterrer, mais ce qui m'alarme le plus, c'est que ce SSL semble bloquer également la connexion de pas mal de choses.
pour avoir travaillé récemment sur les technos blackberry anciennes, c'est étonnant de voir que par ex sur les tablettes vendues en 2016, quand on la réinitialise : l'assistant d'installation abouti sur l'acceptation du cluf, le contrat à accepter.
si il n'est pas accepté, impossible d'utiliser l'appareil. Certains fabricants android (dont les grandes marques) font pareil : sans accepter le contrat de marque, impossible d'avoir accès à l'interface utilisateur.
Or, pour ces appareils bberry vendus en 2016, donc pas si vieux, l'assistant est façonné pour télécharger le CLUF, selon la région.
Et devinez quoi?
meme avec internet, bien que leurs infras aient été débranchées, impossible d'aller plus loin : en wifi ou data, le contrat n'acceptera pas.
j'ai vu plusieurs anciens appareils de cette marque passer à la poubelle à cause de ce satané cluf. Pire encore, les protocoles imap/smtp, bien pratiques pour le mailing, ne semblent plus passer ; cette tendance commence à également s'inscrire sur les android jusqu'en version 4, qui comme les iphone jusqu'au 4, finissent échoués comme des 3310 améliorés (comprendre applis de base+ confort tactile mais zéro usage internet)

quelque chose qui me fait fortement tousser...