Le certificat SSL permet de sécuriser une connexion HTTP sur internet passant de fait votre URL de HTTP à HTTPS. Pour une image plus concrète, le HTTPS correspond au petit cadenas dans la barre d’adresse qui vous rencontrez de plus en plus sur le web, c’est le cas du blog par exemple, mais surtout sur le site marchand au moment de régler l’article ou bien quand vous vous connectez à votre banque en ligne.
[irp posts=”11539″ name=”Comment activer le ssl sur Jeedom pour disposer d’une adresse HTTPS sans service pack”]Pour en revenir au cas de Let’s Encrypt, cas concret et intéressant puisque c’est celui que nous utilisons pour sécuriser gratuitement les connexions distantes sur nos installations de Jeedom DIY comme je l’explique au travers de mon guide. L’autorité de certification Let’s Encrypt, a annoncé tout récemment avoir fait la découverte d’une vulnérabilité de son protocole de validation TLS-SNI-01 qui pourrait permettre à un hacker malintentionné de détourner les certificats utilisant cette validation TLS-SNI-01.
Le système TLS-SNI-01 a donc été désactivé par Let’s Encrypt depuis, puis partiellement réactivé, non pas pour permettre de créer de nouveaux certificats, cette option étant toujours bloquée en raison des risques évoqués et ne sera très certainement plus jamais disponible pour génerer de nouveaux certificats. Mais pour ceux qui auraient déjà un certificat de type TLS-SNI-01 et qui serait en fin de vie et doivent renouveler ce dernier, il est de nouveau possible de le faire.
Enfin, l’autorité de certification annonce travailler sur le développement d’un correctif qui devrait être publié dans la semaine pour permettre de migrer vers la méthode de validation HTTP-01, exempte de vulnérabilité. La méthode de validation TLS-SNI-02 étant également affectée par la même faille de sécurité, elle a également été bloquée et ne sera donc pas la solution. Nous reviendrons évidemment sur le sujet à la publication du correctif, mais surtout j’appliquerai une modification de mon guide de sécurisation de Jeedom avec prise en compte des nouvelles manipulations.
Que retenir de cette information?
- Si vous désirez renouveler votre certificat Let’s Encrypt déjà existant, vous pouvez le faire suite à la réactivation de l’option.
- Si vous envisagez de suivre mon guide pour sécuriser votre domotique Jeedom, je vous invite à patienter un peu le temps qu’un correctif soit publié.
- Si vous utilisez un certificat toujours actif fonctionnant sous TLS-SNI-01, patientez également un peu afin que je vous propose une migration vers la nouvelle solution.
Quoi qu’il en soit, nous reviendrons sur le sujet dans les prochaines actualités du magazine domotique.
Merci d’avoir relayé cette info !
De rien, c’est bien normal, cela concerne et impacte directement une solution que je propose 😉
Meci pour l’info, et merci pour les futurs mise à jour de ton BLog. C’est très agréable d’avoir un suivi des tutos!
Merci encore.
Merci d’avoir relayé l’info ! Je voulais suivre ton tuto pour installer le certificat mais cela ne va pas être possible 🙁. Je n’y connais pas grand chose mais sais-tu si on peut utiliser une des deux autres méthodes pour avoir un certificat (http-01 ou dns-01) sachant qu’apparemment la version 03 de tls-sni va mettre du temps à arriver ?
Merci encore pour tes tutos de qualité !!
Pour info si cela n’a pas été dit ailleurs…
Pour pallier au problème, une nouvelle version de certobot est publiée.
Pour l’utiliser, il fait faire ceci :
wget https://dl.eff.org/certbot-auto
chmod a+x ./certbot-auto
Puis comme d’habitude, on génère la demande de certificat pour apache.
./certbot-auto –apache
Merci pour cette info.
En ce qui me concerne cette procédure conduit à une erreur de réponse invalide de mon nom de domaine. Difficile de dire si c’est à cause de nouveau certbot ou de ma config.
Pour moi cela a fonctionné, mais avec un enregistrement complet.
C’est à dire un http://www.mondomaine.fr par exemple, mais pas pour mondomaine.fr seul.
J’ai envoyé l’info au dev et je n’ai pas vu si ils ont répondu ou pas. Je crois que la dernière fois, ils devaient faire le test mais je n’ai pas vu de retour.