L’un des plus grands services d’autorités de certification (CA) à but non lucratif connaît des niveaux élevés de renouvellements de sites Web et d’applications, certains sites de renom connaissant des pannes importantes.
En raison de son DST Root CA X3 à signature croisée expirant hier, le problème de Let’s Encrypt, qui est géré par Internet Security Research Group, a laissé des sites Web et des applications tels que Shopify et Slack subir des pannes et des erreurs telles que des appareils qui ne parviennent pas à établir des connexions sécurisées à distance. systèmes.
Dans un Message Twitter Forum de la communauté , mais n’a offert aucune promesse de résolution rapide pour le renouvellement des certificats.
Tous les certificats qui alimentent HTTPS sur le Web sont émis par une autorité de certification de confiance reconnue par un appareil ou un système d’exploitation.
Intégrés dans un système d’exploitation, la procédure habituelle consiste à mettre à jour ces certificats pendant que les fonctionnalités d’un système d’exploitation ou d’un périphérique sont en cours de réforme.
Lorsque le certificat racine expire, il est presque impossible pour les sites Web et les applications de ne pas échouer, et les pannes et les erreurs sont presque impossibles à éviter.
TechRadar Pro a contacté Let’s Encrypt pour une mise à jour sur ce qui va se passer ensuite et comment cela peut être évité car les dates d’expiration sont connues à l’avance et devraient être invisibles pour les logiciels, les services et les utilisateurs.
Il existe trois types de certificats :
1. Les certificats d’entité finale, ceux que les sites Web obtiennent. Généralement valable entre 90 jours et un an.
2. Certificats intermédiaires, utilisés pour émettre des certificats d’entité finale. Généralement valable pour environ 3 à 6 ans.
3. Certificats racine, utilisés pour émettre des certificats intermédiaires et approuvés directement par les navigateurs et les systèmes d’exploitation. Généralement valable pendant environ 20 ans, c’est pourquoi les expirations de racine sont des événements rares.
Le directeur exécutif de Let’s Encrypt, Josh Aas, a déclaré TechRadar Pro que lorsque les certificats d’entité finale expirent, il n’y a généralement pas d’impact généralisé, cela ne concerne qu’un petit nombre de sites et ils se renouvellent juste avant l’expiration.
« L’expiration des certificats intermédiaires peut avoir un impact sur tous les sites qui ont utilisé des certificats émis par eux, mais les sites peuvent généralement résoudre le problème facilement », a-t-il ajouté.
« Lorsque les certificats racine expirent, l’impact peut être plus étendu, car les systèmes d’exploitation ou les navigateurs clients peuvent avoir besoin d’être mis à niveau pour résoudre les problèmes. Ce n’est pas toujours une option pour les appareils ou les déploiements plus anciens.
« Nous avons eu un certificat intermédiaire expirant mercredi, suivi d’une racine couramment utilisée expirant jeudi. Ces expirations ont conduit certains sites à avoir des problèmes pour servir leurs visiteurs. La solution consiste pour les serveurs à passer à de nouveaux certificats (qui ont été disponibles auprès de Let’s Encrypt depuis un certain temps maintenant) et pour que les clients obtiennent des mises à jour telles qu’ils fassent confiance aux nouveaux certificats. Cela n’arrive pas toujours, pour diverses raisons, donc certaines choses se cassent. «
Avec des millions de sites Web s’appuyant sur les services Let’s Encrypt, les parties concernées se sont tournées vers Twitter pour partager des conseils avec d’autres qui luttent pour que leur site fonctionne à nouveau sans erreur. Certains ont été contraints de mettre à jour leurs systèmes ou d’installer manuellement le certificat de Let’s Encrypt.
Ce n’est pas la première fois qu’une racine CA expire. En mai 2020, l’année dernière, la racine CA externe AddTrust a expiré et a provoqué un certain nombre de pannes.
Via le registre
