Mise à jour du 30 septembre 2021Hallelujah !
La bascule c'est déroulée correctement !
Pour les geeks, voici la page de tous les certificats Lets Encrypt et leur hiérarchie pour quelques années :
https://letsencrypt.org/certificates/Salut tous,
Le 30 septembre, un changement majeur va intervenir dans les certificats racine de Lets Encrypt.
Le certificat racine "DST Root CA X3" utilisé par Lets Encrypt depuis maintenant 21 ans arrivera à expiration le 30 septembre 2021 à 14:01:15 UTC !Pour de nombreux appareils et systèmes d'exploitation, cela va représenter un énorme problème si aucune mise à jour n'est effectuée.
Ce problème sera très simple, il deviendra impossible de se connecter aux sites web et services web utilisant Lets Encrypt pour leurs communications sécurisées ! Et cela représente des millions de sites et services !
Chez-oim.org fait partie de la liste !
Soyons réalistes, les plus emmerdés seront les détenteurs de Play Station, de vieux smartphones, de matériel connecté, etc...
Sous Windows ou Linux, il sera toujours possible d'installer les certificats manquants, même sous XP ! (à condition d'avoir le Service Pack). D'ailleurs, CentOS a hérité d'une mise à jour des certificats hier matin...
Les utilisateurs de Firefox ne sont pas concernés par ce problème ! Vous pouvez reprendre une activité normale, vous n'aurez pas de problème. Pour les autres, pas de panique, vérifiez d'abord si vous êtes concerné. Si votre système d'exploitation est Windows 7 ou inférieur, vous êtes concernés à coup sûr.
Si vous utilisez une PS3 ou PS4, par exemple, vous serez également plus que certainement concernés...
Vérifions si vous êtes concernésCliquez sur le petit cadenas en haut de page et demandez plus d'infos sur le certificat de ce site web (chez-oim.org). Le certificat doit s'ouvrir dans une nouvelle page/fenêtre.
Cliquez sur l'onglet "
Chemin d'accès de certification" et ouvrez bien les yeux.
Une chaine de 3 certificats apparait :
- En haut, le certificat Racine.
- Au milieu, le certificat Bundle ou intermédiaire.
- Et enfin, en bas, le certificat concernant le site ou service web.
Votre certificat affiche la racine
DST Root CA X3 ? Vous êtes concerné par ce problème et risquez de voir le web inaccessible en partie à compter du 30 septembre 2021. Lisez la suite...
Votre certificat affiche la racine
ISRG Root X1 ? Hourra ! Vous n'êtes pas concernés. Comme les utilisateurs de Firefox, vous pouvez regagner une activité normale.
Vous n'avez pas eu de bol ? Le 30 septembre vous fait peur ? On va régler le souci !
Cliquez sur la touche
Win puis
Exécuter ou
Win tout court et entrez ce qui suit :
Le magasin de certificats Windows s'ouvre à vous.
Sélectionnez la colonne "
Autorités de certification racines de confiance" puis "
Certificats".
Là, vous devriez trouver le certificat racine
DST Root CA X3.
Vérifiez que, à tout hasard, le certificat
ISRG Root X1 est présent.
Si ce certificat
ISRG Root X1 est présent, vous avez fini. Vous n'avez plus à craindre le 30 septembre !
Si ce n'est pas le cas, nous allons installer ce certificat.
Fermez le magasin de certificat et chargez le certificat racine
ISRG Root X1 à cette adresse :
https://letsencrypt.org/certs/isrgrootx1.pemAvant de l'enregistrer, renommez le en
isrgrootx1.pem.cer afin qu'il soit lisible par Windows. Enregistrez sur le bureau.
Ensuite, double cliquez sur le certificat pour l'ouvrir. Ignorez l'avertissement de Windows qui vous dit que le fichier vient du web.
Puis, cliquez sur "Installer le certificat".
Une fenêtre de bienvenue s'ouvre.
Cliquez sur "
Suivant".
Et là, il faut être attentif :1 : Cliquez sur le bouton "
Placez tous les certificats dans le magasin suivant"
2 : Cliquez sur "
Parcourir"
3 : Sélectionnez "
Autorités de certification racines de confiance"
4 : Validez par "
Ok"5 : Et enfin, cliquez sur "
Suivant"
La dernière fenêtre apparait, acceptez le dernier avertissement Windows et cliquez sur "
Terminer".
Et voilà, votre certificat racine est installé sur votre vieux Windows plus mis à jour.
Vous pouvez vérifier que le certificat racine est bien présent en recommençant à l'étape d'ouverture du magasin de certificats.
Théoriquement, tout devrait bien se passer à partir de maintenant, et surtout le 30 septembre.
Il est toutefois possible que vous ayez un problème avec le certificat Bundle (intermédiaire)
R3.
Si c'est le cas, n'hésitez pas à le télécharger à cette adresse et à le renommer en
.cer comme expliqué avec le certificat racine :
https://letsencrypt.org/certs/lets-encrypt-r3.pemEnsuite, installez le certificat comme expliqué plus haut mais, cette fois, placez le dans le magasin "
Autorités de certification intermédiaires".
Si vous ouvrez ce certificat, vous remarquerez que sa racine n'est plus
DST Root CA X3 mais
ISRG Root X1.
C'est exactement ce que nous voulons !
Il est plus que vraisemblable qu'il faille redémarrer votre ordinateur pour qu'il avale toute la soupe qu'on a fait avec ces certificats, c'est vite fait.
Si vous possédez les certificats racine, voir bundle, dans votre magasin de certificats, vous devriez vous en sortir.
Let's Encrypt à émis les certificat
DST Root CA X3 et
ISRG Root X1 en utilisant une chaine de signature croisée.
Cette chaine croisée permet de mettre en commun 2 certificats (ou plus) afin de garder une certaine cohérence dans la chaine de certificats.
Il n'y a pas de rupture brutale entre les certificats croisés, si ce n'est leur nom, ce qui permet déjà de mettre un joyeux bordel.
C'est ce que nos industriels semblent avoir fait. Ils avaient des certificats gratuits sous la main, il n'imaginaient pas que leur négligence deviendrait un problème et ils vont se retrouver le nez dedans...
Certificats croisés ou pas, pour beaucoup ça ne le fera pas...
Bien sûr, je me tiens à votre entière disposition pour toute question que vous jugeriez utile.