« Raccourcissement de la chaîne de confiance de Let's Encrypt »

 (letsencrypt.org)
2 points par GN⁺ 2023-07-11 | 1 commentaires | Partager sur WhatsApp
  • Let's Encrypt : une autorité de certification qui fournit des certificats largement reconnus pour les sites web
  • Les certificats initialement contre-signés par DST Root CA X3 d'IdenTrust ont été utilisés pour garantir la confiance.
  • Le certificat racine propre à Let's Encrypt, ISRG Root X1, est devenu largement reconnu au fil du temps.
  • Le certificat intermédiaire contre-signé et DST Root CA X3 expirent à la fin de l'année 2021.
  • Afin de maintenir la compatibilité avec les anciens appareils Android, une contre-signature directe sera appliquée à la racine de Let's Encrypt.
  • La nouvelle contre-signature expirera le 30 septembre 2024.
  • La proportion d'appareils Android faisant confiance à ISRG Root X1 est passée de 66 % à 93,9 % au cours des trois dernières années.
  • Android 14 renforcera encore davantage la confiance envers ISRG Root X1.
  • La suppression de la contre-signature réduira de plus de 40 % les octets de certificats transmis lors du handshake TLS et diminuera les coûts d'exploitation.
  • La fonctionnalité qui utilisait auparavant la contre-signature sera désactivée par défaut en février 2024, puis complètement supprimée en juin 2024.
  • Les exploitants de sites doivent surveiller les statistiques d'utilisation de leur site web et les chaînes user-agent afin d'identifier les problèmes potentiels liés aux utilisateurs Android.
  • Les utilisateurs de versions antérieures à Android 7.0 devront peut-être utiliser Firefox Mobile pour accéder aux sites web protégés par Let's Encrypt.
  • Les développeurs de clients ACME doivent garantir le téléchargement et l'installation corrects de la chaîne de certificats.
  • Let's Encrypt remercie IdenTrust pour son soutien et son partenariat.
  • Les contributions et le sponsoring sont les bienvenus pour soutenir le travail de Let's Encrypt.

À lire aussi

1 commentaires

 
GN⁺ 2023-07-11
Avis Hacker News
  • La transition visant à raccourcir la chaîne de confiance de Let's Encrypt a été retardée sur la base des retours de la communauté.
  • La prise en charge des certificats Let's Encrypt varie entre les appareils Android et iOS.
  • Apple réussit mieux à convaincre les utilisateurs de mettre à jour leur système d’exploitation.
  • La solution consistant à conserver l’ancienne signature croisée est intéressante et repose sur des ancres de confiance.
  • L’expiration des certificats signés de manière croisée peut poser problème à certains utilisateurs.
  • Les coûts d’exploitation de Let's Encrypt diminueront grâce à cette transition.
  • En raison de l’expiration de certificats, certains utilisateurs ont dû passer de Let's Encrypt à ZeroSSL.
  • La fourniture de certificats gratuits peut entraîner des changements dans les règles et dans la dépendance des utilisateurs.
  • Le TLS est considéré comme le composant le plus fragile du web en raison des changements et expirations constants.
  • On ne sait pas pourquoi Let's Encrypt a trouvé une société de certificats pour la signature croisée.
  • L’expiration du certificat intermédiaire de signature croisée de Let's Encrypt et de DST Root CA X3 a affecté certains utilisateurs, notamment des utilisateurs d’ubiquiti.