Débattre > Informatique, programmation, geek attitude...
ATTENTION !!! Connexions au web et Certificat Racine Lets Encrypt expiré ! (Win XP, Win7, Play Station, smartphones...)
alex:
Mise à jour du 30 septembre 2021
Hallelujah !
La bascule c'est déroulée correctement ! :)
Pour les geeks, voici la page de tous les certificats Lets Encrypt et leur hiérarchie pour quelques années :
https://letsencrypt.org/certificates/
Salut tous,
Le 30 septembre, un changement majeur va intervenir dans les certificats racine de Lets Encrypt.
Le certificat racine "DST Root CA X3" utilisé par Lets Encrypt depuis maintenant 21 ans arrivera à expiration le 30 septembre 2021 à 14:01:15 UTC !
Pour de nombreux appareils et systèmes d'exploitation, cela va représenter un énorme problème si aucune mise à jour n'est effectuée.
Ce problème sera très simple, il deviendra impossible de se connecter aux sites web et services web utilisant Lets Encrypt pour leurs communications sécurisées ! Et cela représente des millions de sites et services !
Chez-oim.org fait partie de la liste !
Soyons réalistes, les plus emmerdés seront les détenteurs de Play Station, de vieux smartphones, de matériel connecté, etc...
Sous Windows ou Linux, il sera toujours possible d'installer les certificats manquants, même sous XP ! (à condition d'avoir le Service Pack). D'ailleurs, CentOS a hérité d'une mise à jour des certificats hier matin...
Les utilisateurs de Firefox ne sont pas concernés par ce problème ! Vous pouvez reprendre une activité normale, vous n'aurez pas de problème. :)
Pour les autres, pas de panique, vérifiez d'abord si vous êtes concerné. Si votre système d'exploitation est Windows 7 ou inférieur, vous êtes concernés à coup sûr.
Si vous utilisez une PS3 ou PS4, par exemple, vous serez également plus que certainement concernés...
Vérifions si vous êtes concernés
Cliquez sur le petit cadenas en haut de page et demandez plus d'infos sur le certificat de ce site web (chez-oim.org). Le certificat doit s'ouvrir dans une nouvelle page/fenêtre.
Cliquez sur l'onglet "Chemin d'accès de certification" et ouvrez bien les yeux.
Une chaine de 3 certificats apparait :
- En haut, le certificat Racine.
- Au milieu, le certificat Bundle ou intermédiaire.
- Et enfin, en bas, le certificat concernant le site ou service web.
Votre certificat affiche la racine DST Root CA X3 ? Vous êtes concerné par ce problème et risquez de voir le web inaccessible en partie à compter du 30 septembre 2021. Lisez la suite...
Votre certificat affiche la racine ISRG Root X1 ? Hourra ! Vous n'êtes pas concernés. Comme les utilisateurs de Firefox, vous pouvez regagner une activité normale. :)
Vous n'avez pas eu de bol ? Le 30 septembre vous fait peur ? On va régler le souci ! ;)
Cliquez sur la touche Win puis Exécuter ou Win tout court et entrez ce qui suit :
--- Code: ---certmgr.msc
--- Fin du code ---
Le magasin de certificats Windows s'ouvre à vous.
Sélectionnez la colonne "Autorités de certification racines de confiance" puis "Certificats".
Là, vous devriez trouver le certificat racine DST Root CA X3.
Vérifiez que, à tout hasard, le certificat ISRG Root X1 est présent.
Si ce certificat ISRG Root X1 est présent, vous avez fini. Vous n'avez plus à craindre le 30 septembre ! :)
Si ce n'est pas le cas, nous allons installer ce certificat.
Fermez le magasin de certificat et chargez le certificat racine ISRG Root X1 à cette adresse :
https://letsencrypt.org/certs/isrgrootx1.pem
Avant de l'enregistrer, renommez le en isrgrootx1.pem.cer afin qu'il soit lisible par Windows. Enregistrez sur le bureau.
Ensuite, double cliquez sur le certificat pour l'ouvrir. Ignorez l'avertissement de Windows qui vous dit que le fichier vient du web.
Puis, cliquez sur "Installer le certificat".
Une fenêtre de bienvenue s'ouvre.
Cliquez sur "Suivant".
Et là, il faut être attentif :
1 : Cliquez sur le bouton "Placez tous les certificats dans le magasin suivant"
2 : Cliquez sur "Parcourir"
3 : Sélectionnez "Autorités de certification racines de confiance"
4 : Validez par "Ok"
5 : Et enfin, cliquez sur "Suivant"
La dernière fenêtre apparait, acceptez le dernier avertissement Windows et cliquez sur "Terminer".
Et voilà, votre certificat racine est installé sur votre vieux Windows plus mis à jour.
Vous pouvez vérifier que le certificat racine est bien présent en recommençant à l'étape d'ouverture du magasin de certificats.
Théoriquement, tout devrait bien se passer à partir de maintenant, et surtout le 30 septembre.
Il est toutefois possible que vous ayez un problème avec le certificat Bundle (intermédiaire) R3.
Si c'est le cas, n'hésitez pas à le télécharger à cette adresse et à le renommer en .cer comme expliqué avec le certificat racine :
https://letsencrypt.org/certs/lets-encrypt-r3.pem
Ensuite, installez le certificat comme expliqué plus haut mais, cette fois, placez le dans le magasin "Autorités de certification intermédiaires".
Si vous ouvrez ce certificat, vous remarquerez que sa racine n'est plus DST Root CA X3 mais ISRG Root X1.
C'est exactement ce que nous voulons !
Il est plus que vraisemblable qu'il faille redémarrer votre ordinateur pour qu'il avale toute la soupe qu'on a fait avec ces certificats, c'est vite fait.
Si vous possédez les certificats racine, voir bundle, dans votre magasin de certificats, vous devriez vous en sortir.
Let's Encrypt à émis les certificat DST Root CA X3 et ISRG Root X1 en utilisant une chaine de signature croisée.
Cette chaine croisée permet de mettre en commun 2 certificats (ou plus) afin de garder une certaine cohérence dans la chaine de certificats.
Il n'y a pas de rupture brutale entre les certificats croisés, si ce n'est leur nom, ce qui permet déjà de mettre un joyeux bordel.
C'est ce que nos industriels semblent avoir fait. Ils avaient des certificats gratuits sous la main, il n'imaginaient pas que leur négligence deviendrait un problème et ils vont se retrouver le nez dedans...
Certificats croisés ou pas, pour beaucoup ça ne le fera pas...
Bien sûr, je me tiens à votre entière disposition pour toute question que vous jugeriez utile. ;)
alex:
Si le 1 octobre ou le 30 septembre en fin de journée je parviens à poster ici, c'est que l'astuce aura fonctionné. :)
De mon côté, tout est prêt.
La racine immédiate est stockée dans le magasin de certificats ainsi que celle qui lui fera "concurrence".
La différence entre les 2 racines ISRG Root X1 et ISRG Root X2 réside dans les clés utilisées.
La première racine utilise une clé RSA quand la seconde utilise une clé ECDSA.
Il en est de même du bundle (le certificat intermédiaire R3). Ils est stocké dans le magasin.
Windows 7 ne recevant plus de mises à jour, cela devrait fonctionner tout de même.
Vous serez tenus au jus. Et si vous ne parvenez plus à vous connecter sur un site Lets Encrypt, c'est qu'ils vous manquera un truc... ;)
Otomatic:
Merci. :ik:
alex:
Je ne te cacherai pas que je suis un peu angoissé.
Ca n'ira mieux que le 30 au soir, quand la bascule de certificats racine aura eu lieu, enfin j'espère... :trouille:
Sinon, au pire, je génère de nouveaux certificats en catastrophe pour le site et les mails. :iz:
alex:
Hallelujah !
La bascule c'est déroulée correctement ! :)
Navigation
[#] Page suivante
Utiliser la version classique