Let’s Encrypt a été fondée en 2012 et est devenue publique en 2014, dans le but d’améliorer la sécurité sur le Web. L’objectif devait être atteint en fournissant un accès gratuit et automatisé aux certificats SSL et TLS qui permettraient aux sites Web de passer au HTTPS sans avoir à dépenser d’argent.

Des centaines de millions de sites font confiance à Let’s Encrypt pour leurs besoins en certificats HTTPS. La sécurité HTTPS permet de protéger les sites et les utilisateurs et rend plus difficile pour les acteurs malveillants de voler des informations privées.

Le projet vient d’annoncer qu’à partir du 1er septembre 2021, certains logiciels plus anciens cesseront de faire confiance à leurs certificats. Voyons pourquoi cela s’est produit et ce que cela signifie pour l’avenir.

Les certificats expirent

Lorsque Let’s Encrypt est devenu public pour la première fois au début de 2016, ils ont émis leur propre certificat racine, sous le nom ISRG Root X1. Cependant, il faut du temps aux entreprises pour inclure des certificats racine mis à jour dans leur logiciel, donc jusqu’à récemment, tous les certificats Let’s Encrypt étaient signés par un certificat IdenTrust, DST Root X3. Ce certificat existait depuis beaucoup plus longtemps et était déjà pris en charge par la grande majorité des systèmes d’exploitation et des navigateurs utilisés régulièrement. Cela a permis à Let’s Encrypt de démarrer en attendant que la majorité des logiciels prennent en charge leur propre certificat racine.

Le problème qui se profile à l’horizon est l’expiration de DST Root X3, le 1er septembre 2021. Bien sûr, pour ceux qui utilisent des systèmes d’exploitation et des navigateurs à jour, il n’y a pas de problème majeur. Mais pour ceux sur des plates-formes qui n’ont pas été mises à jour depuis 2016 environ et qui ne prennent pas en charge le certificat ISRG Root X1, les choses vont casser. Cela affecte toute communication sécurisée qui utilise leurs certificats, qu’il s’agisse de naviguer sur des sites Web avec HTTPS activé ou d’établir des connexions via SSL ou SFTP.

La société note que le marché des téléphones Android est peut-être le plus gros sujet de préoccupation. Comme la plupart des réseaux de télécommunications personnalisent le logiciel Android, ainsi que le fabricant du combiné lui-même, il faut une coordination entre de nombreuses organisations pour mettre à jour le système d’exploitation d’un téléphone Android. Il y a également peu d’incitation financière pour les entreprises à prendre en charge les téléphones déjà vendus. Ainsi, de nombreux utilisateurs se retrouvent totalement exclus des mises à jour du système d’exploitation, car les réseaux ou les fabricants négligent tout simplement de faire le travail.

Données sur la base installée d’Android, en septembre 2020.

Les utilisateurs d’Android sur les versions antérieures à 7.1.1 sont ceux qui seront confrontés à des problèmes lorsque DST Root X3 expirera le 1er septembre de l’année prochaine. Sur la base de statistiques récentes, ces utilisateurs représentent environ un tiers de la base d’utilisateurs Android – un nombre important. Avec une estimation prudente qui associe les utilisateurs d’Android dans leur ensemble représentant environ 80% de la base totale installée de smartphones, et environ 3 milliards d’utilisateurs de smartphones dans le monde, les calculs de fond de l’enveloppe nous montrent qu’il reste environ 750 millions d’utilisateurs susceptibles d’avoir des problèmes an.

Bien sûr, des solutions de contournement sont possibles. Bien que le système d’exploitation Android, et probablement le navigateur Web, soient obsolètes depuis longtemps, rien n’empêche les utilisateurs d’installer un logiciel plus récent prenant en charge le certificat ISRG Root X1. Firefox est disponible en tant que navigateur sur la plate-forme et contient sa propre liste de certificats racine de confiance, ce qui en fait une solution de contournement utile pour une utilisation quotidienne du Web. Pour les développeurs, il est possible d’inclure ISRG Root X1 en tant que certificat de confiance dans une application individuelle, et des discussions sont en cours entre ceux qui empruntent cette voie. Après tout, l’ajout d’un nouveau certificat de confiance consiste simplement à placer un fichier dans un répertoire, mais vous avez besoin des autorisations root pour le faire, ce qui sur les téléphones Android verrouillés signifie un jailbreak.

Let’s Encrypt pourrait également rechercher une signature croisée auprès d’une autre autorité de certification, comme à ses débuts. Cependant, les autorités de certification assument une certaine responsabilité pour les certificats qu’elles signent, et il est peu probable qu’une autre autorité de certification souhaite assumer ce fardeau pour Let’s Encrypt. En particulier, comme l’entité est une organisation à but non lucratif, il y a peu d’argent à gagner. En tant que pilier majeur de l’évolution d’Internet vers le cryptage HTTPS comme norme, Let’s Encrypt considère qu’il est important que le projet soit autonome, plutôt que de s’appuyer sur d’autres organisations à but lucratif. Étant donné que leur certificat racine est maintenant largement reconnu, en dehors de ces cas extrêmes de 2016 et avant, cela semble être une bonne décision.

La sécurité sur Internet étant désormais plus importante que jamais, c’est un problème qui ne disparaît pas. Afin de bien jouer avec tous les autres ordinateurs du réseau mondial, les mises à jour régulières représentent tout simplement le coût des affaires. L’avantage d’avoir un fournisseur de certificats ouvert comme Let’s Encrypt est que leur transparence sur les problèmes et leur communication claire donnent aux hébergeurs Web, aux développeurs et aux utilisateurs finaux plus de temps pour faire face aux changements à venir.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici