VOUS ÊTES ICI: Accueil » Blog » Domotique » Actu domotique » La validation TLS-SNI-01 de Let’s Encrypt mise à mal et suspendue en raison d’une vulnérabilité
Actu domotique

La validation TLS-SNI-01 de Let’s Encrypt mise à mal et suspendue en raison d’une vulnérabilité

letsencrypt-jeedom-securite-faille-TLS-SNI-01
Si vous utilisez Jeedom ou que vous me lisez régulièrement, vous avez sans doute déjà aperçu ou même appliqué mon guide pour sécuriser votre accès à la box domotique Jeedom avec un certificat SSL.

Le certificat SSL permet de sécuriser une connexion HTTP sur internet passant de fait votre URL de HTTP à HTTPS. Pour une image plus concrète, le HTTPS correspond au petit cadenas dans la barre d’adresse qui vous rencontrez de plus en plus sur le web, c’est le cas du blog par exemple, mais surtout sur le site marchand au moment de régler l’article ou bien quand vous vous connectez à votre banque en ligne.

Lire
Comment activer le ssl sur Jeedom pour disposer d'une adresse HTTPS sans service pack

Pour en revenir au cas de Let’s Encrypt, cas concret et intéressant puisque c’est celui que nous utilisons pour sécuriser gratuitement les connexions distantes sur nos installations de Jeedom DIY comme je l’explique au travers de mon guide. L’autorité de certification Let’s Encrypt, a annoncé tout récemment avoir fait la découverte d’une vulnérabilité de son protocole de validation TLS-SNI-01 qui pourrait permettre à un hacker malintentionné de détourner les certificats utilisant cette validation TLS-SNI-01.

Le système TLS-SNI-01 a donc été désactivé par Let’s Encrypt depuis, puis partiellement réactivé, non pas pour permettre de créer de nouveaux certificats, cette option étant toujours bloquée en raison des risques évoqués et ne sera très certainement plus jamais disponible pour génerer de nouveaux certificats. Mais pour ceux qui auraient déjà un certificat de type TLS-SNI-01 et qui serait en fin de vie et doivent renouveler ce dernier, il est de nouveau possible de le faire.

Enfin, l’autorité de certification annonce travailler sur le développement d’un correctif qui devrait être publié dans la semaine pour permettre de migrer vers la méthode de validation HTTP-01, exempte de vulnérabilité. La méthode de validation TLS-SNI-02 étant également affectée par la même faille de sécurité, elle a également été bloquée et ne sera donc pas la solution. Nous reviendrons évidemment sur le sujet à la publication du correctif, mais surtout j’appliquerai une modification de mon guide de sécurisation de Jeedom avec prise en compte des nouvelles manipulations.

Que retenir de cette information?

  • Si vous désirez renouveler votre certificat Let’s Encrypt déjà existant, vous pouvez le faire suite à la réactivation de l’option.
  • Si vous envisagez de suivre mon guide pour sécuriser votre domotique Jeedom, je vous invite à patienter un peu le temps qu’un correctif soit publié.
  • Si vous utilisez un certificat toujours actif fonctionnant sous TLS-SNI-01, patientez également un peu afin que je vous propose une migration vers la nouvelle solution.

Quoi qu’il en soit, nous reviendrons sur le sujet dans les prochaines actualités du magazine domotique.

Tags

Restez connecté aux nouveautés domotiques, inscrivez-vous à notre newsletter

A propos de cet auteur

Aurélien Brunet

Aurélien Brunet

Chef de projet informatique, anciennement informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données. Un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 pour sécuriser mon domicile.
Depuis, je test, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog pour améliorer votre quotidien dans la maison connectée !

7 Comments

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

  • Meci pour l’info, et merci pour les futurs mise à jour de ton BLog. C’est très agréable d’avoir un suivi des tutos!
    Merci encore.

  • Merci d’avoir relayé l’info ! Je voulais suivre ton tuto pour installer le certificat mais cela ne va pas être possible 🙁. Je n’y connais pas grand chose mais sais-tu si on peut utiliser une des deux autres méthodes pour avoir un certificat (http-01 ou dns-01) sachant qu’apparemment la version 03 de tls-sni va mettre du temps à arriver ?
    Merci encore pour tes tutos de qualité !!

  • Pour info si cela n’a pas été dit ailleurs…
    Pour pallier au problème, une nouvelle version de certobot est publiée.
    Pour l’utiliser, il fait faire ceci :

    wget https://dl.eff.org/certbot-auto
    chmod a+x ./certbot-auto

    Puis comme d’habitude, on génère la demande de certificat pour apache.
    ./certbot-auto –apache

    • Merci pour cette info.
      En ce qui me concerne cette procédure conduit à une erreur de réponse invalide de mon nom de domaine. Difficile de dire si c’est à cause de nouveau certbot ou de ma config.

      • Pour moi cela a fonctionné, mais avec un enregistrement complet.
        C’est à dire un http://www.mondomaine.fr par exemple, mais pas pour mondomaine.fr seul.
        J’ai envoyé l’info au dev et je n’ai pas vu si ils ont répondu ou pas. Je crois que la dernière fois, ils devaient faire le test mais je n’ai pas vu de retour.

Choix box domotique
promos domotique
promos domotique