Plop
Certes un certificat a une durée de vie limitée et en effet y a un certif constructeur dans la chaîne de certification. Mais rien n'empêche de renouveler un certif expiré… Les specs de BPI+ parlent de clé public du CA Root stockée sur la mémoire (évidemment non-volatile) du modem. Pas du certif stocké dans une ROM :insert troll face here: Techniquement le CMTS envoie toute la chaîne de certification, la clé publique (à renouveler le cas échéant) stockée sur le modem devrait suffit à vérifier toute la chaîne
Et généralement ça se renouvelle *avant* expiration, pas après. Avant c'est à dire en prévoyant une marge épaté à la situation. (quand il a trouzemilles clients qui doivent avoir la nouvelle clé publique du CA root sur leurs modem, et si ça prend par exemple 2 mois (simple exemple) de le déployer pour les n clients, commencer la compagne de renouvellement plus 2 mois avant la date d'expiration histoire de se laisser de la marge en cas où Murphy s'en mêle)
Je ne vois aucune bonne raison de désactiver le chiffrement si c'est juste une histoire de certif qui va bientôt expirer. Une mise à jour pour envoyer le nouvelle clé publique du certif Root EuroDOCSIS et c'est réglé…
Quelqu’un qui fait une conneries dans la conf quelque part c'est plus probable. ET je ne dit que c'est forcément la seule possibilité/la raison pour la quelle SFR a actuellement désactivé le chiffrement. Je dis juste que c'est probable.
Ou alors, le certif a déjà expiré et quelqu’un est en panique et a trouvé que c’était une bonne idée de désactiver le chiffrement pour pas que ça gueule et que refuse de se connecter… Mais c'est étrange qu'ils l'auraient par renouvelé depuis tout ce temps… Sachant que ce n'est pas tellement différent d'un certif TLS dans le principe¹.
Je n'ai jamais pu voir les métadonnées dudit certif dans l'interface admin du modem SFR et donc qui est la CA Root pour pouvoir creuser, (Un certif étant par définition public, c'est complètement stupide de cacher ces infos mais bon… ) Mais
- À priori il n'existe que 2 CA Root pour DOCSIS². Un pour « le vrai » DOCSIS (Implem utilisée en Amérique du Nord) et un pour EuroDOCSIS (implem' utilisée en Europe). Les 2 utilisant des certifs/clés publiques différentes, entre autres.
- Le certif Root, si c'est comme pour TLS, peut être payant, et les CA en profitent le facturer un max (des sommes complètement délirante) si le client est une entreprise, car en théorie sursigner leurs certifs TLS c'est leurs vendre une « assurance » (intervention rapide si le certif ne fonctionne pas comme prévu)… Faut voir si le même délire est appliqué pour let certifs (Euro)DOCSIS
Si SFR raque pour avoir chaine de certif EuroDOCSIS valide sur ses modems, y a peut-être un génie de financier chez SFR qui a décidé de « faire des économies » sur ça, allez savoir… Sachant que dans les specs de (Euro)DOCSIS, depuis un certain temps déjà (à priori depuis au moins (Euro)DOCSIS 1.1³), BPI(+) est requis, pas optionnel…
1,2,3 :
https://www.excentis.com/system/files/resources/eurodocsis.bpireq_v7.pdf