François REIGNOUX

francois_reignoux_site.png

LA VIGNE EN FRANCE et son Terroir

La cérémonie eu lieu
Jeudi 21 mars à 15 heures à Mâron
François a été inhumé à Velles

intercomites_2024.jpg

Ephéméride

Jeudi 28 Mars 2024

Certificats Let's Encrypt

Certificats Let's Encrypt

Le 30 septembre 2021, il y aura un petit changement dans la façon dont les anciens navigateurs et appareils font confiance aux certificats Let's Encrypt. Si vous gérez un site Web typique, vous ne remarquerez pas de différence - la grande majorité de vos visiteurs accepteront toujours votre certificat Let's Encrypt. Si vous fournissez une API ou devez prendre en charge des appareils IoT, vous devrez peut-être prêter un peu plus attention à ce changement.

Let's Encrypt possède un "certificat racine" appelé ISRG Root X1. Les navigateurs et appareils modernes font confiance au certificat Let's Encrypt installé sur votre site Web parce qu'ils incluent ISRG Root X1 dans leur liste de certificats racine. Pour nous assurer que les certificats que nous émettons sont fiables sur les appareils plus anciens, nous avons également une "signature croisée" d'un certificat racine plus ancien : DST Root CA X3.

Lorsque nous avons commencé, ce certificat racine plus ancien (DST Root CA X3) nous a permis de décoller et d'obtenir immédiatement la confiance de presque tous les appareils. Le certificat racine plus récent (ISRG Root X1) est maintenant aussi largement reconnu - mais certains appareils plus anciens ne lui feront jamais confiance car ils ne reçoivent pas de mises à jour logicielles (par exemple, un iPhone 4 ou un HTC Dream). Cliquez ici pour obtenir la liste des plates-formes qui font confiance à ISRG Root X1.

DST Root CA X3 expirera le 30 septembre 2021. Cela signifie que les appareils plus anciens qui ne font pas confiance à ISRG Root X1 commenceront à recevoir des avertissements sur les certificats lorsqu'ils visiteront des sites utilisant des certificats Let's Encrypt. Il y a une exception importante : les anciens appareils Android qui ne font pas confiance à ISRG Root X1 continueront à fonctionner avec Let's Encrypt, grâce à une signature croisée spéciale de DST Root CA X3 qui s'étend au-delà de l'expiration de cette racine. Cette exception ne fonctionne que pour Android.

Que devez-vous faire ? Pour la plupart des gens, rien du tout ! Nous avons configuré notre émission de certificats de manière à ce que votre site Web fasse ce qu'il faut dans la plupart des cas, en favorisant une large compatibilité. Si vous fournissez une API ou devez prendre en charge des appareils IoT, vous devrez vous assurer de deux choses : (1) tous les clients de votre API doivent faire confiance à ISRG Root X1 (et pas seulement à DST Root CA X3), et (2) si les clients de votre API utilisent OpenSSL, ils doivent utiliser la version 1.1.0 ou ultérieure. Dans OpenSSL 1.0.x, une bizarrerie dans la vérification des certificats signifie que même les clients qui font confiance à ISRG Root X1 échoueront lorsqu'on leur présentera la chaîne de certificats compatible avec Android que nous recommandons par défaut.

Si vous souhaitez obtenir des informations supplémentaires sur les changements en cours de notre chaîne de production, veuillez consulter ce fil de discussion dans notre communauté.

Si vous avez des questions sur l'expiration prochaine, veuillez poster dans ce fil de discussion sur notre forum.