Let's Encrypt - Expiration du certificat DST Root CA X3

Comme annoncé il y a plusieurs mois par Let’s Encrypt le certificat racine DST Root CA X3 a expiré le 30 septembre 2021. Ce certificat émis par la société IdenTrust était utilisé pour signer les certificats intermédiaires de Let’s Encrypt. Il a été remplacé depuis plusieurs mois par des certificats racines émis par Let’s Encrypt en propre. Les certificats intermédiaires ont été signés par les deux racines dans cet intervalle pour assurer la transition.

Sur la plupart des appareils et systèmes ce changement est sans conséquence, la nouvelle chaîne de certification ayant été intégrée et déployée depuis plusieurs mois. Sur Debian, cela se matérialise notamment par un paquet ca-certificates à jour. Ce paquet reprend la liste des certificats racines de confiance que maintient la fondation Mozilla (Mozilla’s CA Certificate Program).

Sur les systèmes plus anciens par contre, la liste des autorités de certification embarquées n’est plus mise à jour et ne contient pas les nouveaux certificats racines de Let’s Encrypt. Cela a pour conséquence que des certificats valides émis par Let’s Encrypt ne seront plus considérés comme tels. Sur les serveurs en version Debian « jessie » et inférieure par exemple, l’accès à des ressources protégées par des certificats émis par Let’s Encrypt sera bloqué par défaut. Il est possible de contourner cela en mettant à jour uniquement la liste des certificats racines, néanmoins notre recommandation reste de mettre l’ensemble du système à jour afin de continuer à bénéficier des correctifs de sécurité et des améliorations sur l’ensemble des services, en particulier sur les bibliothèques et les programmes manipulant des certificats SSL/TLS (OpenSSL, GnuTLS, NSS…), ce qui permettra d’anticiper les expirations et l’abandon des protocoles les plus anciens.