Dernière date d'utilisation 2020-12-21
Let's Encrypt a retardé le nouveau certificat Root CA de 3 ans :
Nous sommes heureux d'annoncer que nous avons développé un moyen pour les anciens appareils Android de conserver leur capacité à visiter des sites utilisant des certificats Let's Encrypt après l'expiration de nos certificats intermédiaires à signature croisée. Nous ne sommes plus Nous ne prévoyons plus de changements en janvier qui pourraient entraîner des pour les abonnés de Let's Encrypt.
Un thème récurrent dans nos messages sur notre prochain changement de chaîne a été a été notre préoccupation quant aux effets sur les utilisateurs de systèmes d'exploitation Android Android antérieurs à 7.1.1, dont les appareils ne font pas confiance à notre ISRG Root X1. Grâce à une réflexion innovante de notre communauté et de notre merveilleux partenaires chez IdenTrust, nous avons maintenant une solution qui nous permet de maintenir une large compatibilité. L'essentiel de notre mission en tant qu'organisation à but non lucratif est d'aider à créer un Web plus sûr et plus respectueux de la vie privée pour le plus grand nombre de personnes le plus grand nombre possible de personnes. Ce travail nous rapproche de cet objectif.
IdenTrust a accepté d'émettre une signature croisée de 3 ans pour notre ISRG Root X1. à partir de leur AC racine DST X3. La nouvelle signature croisée sera quelque peu nouvelle car il s'étend au-delà de l'expiration de l'AC racine X3 de DST. Cette solution solution fonctionne parce qu'Android n'applique pas intentionnellement la dates d'expiration des certificats utilisés comme ancres de confiance. L'ISRG et IdenTrust ont contacté nos auditeurs et les programmes Root pour examiner cette solution. plan et s'assurer qu'il n'y avait pas de problèmes de conformité.
Ainsi, nous serons en mesure de fournir aux abonnés une chaîne qui qui contient à la fois la racine X1 de l'EIGS et l'AC racine X3 de la DST, garantissant ainsi des service ininterrompu à tous les utilisateurs et d'éviter la rupture potentielle dont nous nous sommes nous étions préoccupés.
Nous n'effectuerons pas notre changement de chaîne prévu précédemment le 11 janvier 2021. Au lieu de cela, nous allons changer pour fournir cette nouvelle nouvelle chaîne par défaut fin janvier ou début février. La transition La transition ne devrait pas avoir d'impact sur les abonnés de Let's Encrypt, tout comme le passage à notre chaîne intermédiaire R3. passage à notre intermédiaire R3 plus tôt ce mois-ci.
Extension de la compatibilité des appareils Android avec les certificats Let's Encrypt
Installation de nouveaux certificats de l'AC racine de Let's Encrypt
Si votre appareil fonctionne sous Android 5 et avant ou est enraciné, vous pouvez installer vous-même les certificats CA racine manquants. Pour autant que je sache, les deux certificats suivants doivent être ajoutés :
Sur Android 5 et avant, vous pouvez simplement les installer en tant que "certificat d'utilisateur". Notez que cela vous oblige automatiquement à utiliser un écran de verrouillage avec motif/PIN ou mot de passe.
Anciens appareils enracinés
Sur les anciens appareils Android enracinés, vous pouvez ajouter les nouveaux certificats Let's encrypt Root CA au magasin de certificats du système. /system/etc/security/cacerts.bks .
Pour ce faire, téléchargez ce fichier sur un ordinateur et utilisez la fonction suivante KeyStore Explorer pour ajouter les fichiers de certificats Let's encrypt Root CA et l'enregistrer. Ensuite, réécrivez le cacerts.bks sur votre appareil Android.
Appareils plus récents et enracinés
Sur les appareils récents et enracinés, le moyen le plus simple est d'installer les deux certificats en tant que certificats d'utilisateur via Magisk, puis de les déplacer dans le dossier de l'utilisateur. system magasin en utilisant le Déplacement des certificats du module Magisk .
Si Magisk et le module mentionné ne sont pas disponibles, vous pouvez toujours installer les certificats en tant que certificats d'utilisateur et les déplacer manuellement vers le magasin du système.
Le processus d'installation est très similaire à celui illustré dans l'exemple ci-dessous. tutoriel d'installation du certificat Root-ca de mitmproxy .
La section suivante montre les valeurs de hachage des certificats de Let's encrypt :
openssl x509 -inform PEM -subject_hash_old -in isrgrootx1.pem | head -1
6187b673
openssl x509 -inform PEM -subject_hash_old -in isrg-root-x2.pem | head -1
8794b4e3
Assurez-vous également que le fichier de certificat copié dispose des autorisations correctes :
chmod 644 /system/etc/security/cacerts/6187b673.0
chmod 644 /system/etc/security/cacerts/8794b4e3.0
Une fois que vous avez installé les certificats, vous devriez pouvoir naviguer (sans avertissement de sécurité) à l'emplacement suivant : https://valid-isrgrootx1.letsencrypt.org/
