Please rotate your device!

Le 1er Septembre 2021, Let’s Encrypt ne sera plus supporté sur 33.8% des smartphones et tablettes Android

Let’s Encrypt, c’est quoi déjà?

Let’s Encrypt est un consortium de plusieurs centaines d’éditeurs et fabricants dans le monde qui ont décidé de mettre à disposition du plus grand nombre des Certificats SSL gratuits.

Sans rentrer dans le débat de pourquoi gratuit ou pourquoi payant, Let’s Encrypt a pu depuis sa création délivrer près d’1 milliard de certificats!

Une aubaine pour les particuliers et leurs blogs, mais aussi de nombres sociétés, TPE ou PME se sont appuyés sur cette gratuité pour la protection de leur site Internet, Webmail, extranet.

Et ce titre criard, doit-il vraiment faire si peur?

Malheureusement oui!

Tout d’abord, essayons de comprendre le problème : le Certificat de l’Autorité de certification sur lequel s’appuyait Let’s Encrypt pour générer ses certificats gratuits (DST Root X3) expire le 1er Septembre 2021.

En conséquence, les certificats générées depuis cette racine ne seraient plus acceptés par les navigateurs au 1er Septembre 2021. C’est à cet effet que Let’s Encrypt a déployé en 2018 un nouveau Certificat d’autorité de certification (ISRG Root X1).

Ce certificat d’Autorité a été accepté par la majorité des éditeurs (Microsoft, Google, Apple, Mozilla, Oracle, Blackberry…) – la seule problématique, est Android, le système d’exploitation de Google.

Contrairement à Microsoft ou Apple qui distribuent eux-même les mises à jour sur les terminaux équipés de Windows, MacOS ou iOS, les mises à jour d’Android sont distribués par les fabricants de terminaux (Samsung, Huawei, Xiaomi…).

Et c’est là que le problème survient : ces fabricants se contentent de fournir des mises à jour Android sur les terminaux qu’ils vendent que pendant très peu de temps. Du coup, les mises à jour des Certificats Racine de confiance ne se font plus environ 6 mois après l’acquisition d’un mobile Android.

Et concrètement, que va t-il se passer ?

Et bien c’est assez simple et violent à la fois : tous les terminaux basés sur une version Android inférieure à la version 8, et qui ne se pas en mesure d’effectuer une mise à jour en version 8 minimum ne disposeront pas du Certificat « ISRG Root X1 » et ne seront donc pas en mesure de vérifier les certificats SSL fournis par Let’s Encrypt à compter de cette date.

Du coup, les utilisateurs de ce type de terminaux, en visitant un site Internet utilisant un Certificat Let’s Encrypt, recevront un message d’erreur leur bloquant l’accès.

Que faire dans ce cas?

Côté utilisateur, à part prendre un téléphone plus récent, ou installer un navigateur embarquant sa propre liste de Certificats Racine (comme Firefox), rien du tout. On comprend donc facilement qu’un utilisateur lambda cessera sa navigation et choisira d’utiliser un autre site Internet (dommage pour le site marchant qui perd définitivement une vente).

Côté site Internet, il n’existe qu’une solution: changer de certificat pour un certificat dont l’autorité de certification racine est toujours connue de ces « vieux » terminaux.

Et pour cela, rien de tel que de s’appuyer sur des Autorités de certification reconnues – et en plus, cela ne coûte pas si cher que ce que l’on peut croire !

Répondre

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *