La validation TLS-SNI-01 de Let’s Encrypt mise à mal et suspendue en raison d’une vulnérabilité

Le certificat SSL permet de sécuriser une connexion HTTP sur internet passant de fait votre URL de HTTP à HTTPS. Pour une image plus concrète, le HTTPS correspond au petit cadenas dans la barre d’adresse qui vous rencontrez de plus en plus sur le web, c’est le cas du blog par exemple, mais surtout sur le site marchand au moment de régler l’article ou bien quand vous vous connectez à votre banque en ligne.

[irp posts=”11539″ name=”Comment activer le ssl sur Jeedom pour disposer d’une adresse HTTPS sans service pack”]

Pour en revenir au cas de Let’s Encrypt, cas concret et intéressant puisque c’est celui que nous utilisons pour sécuriser gratuitement les connexions distantes sur nos installations de Jeedom DIY comme je l’explique au travers de mon guide. L’autorité de certification Let’s Encrypt, a annoncé tout récemment avoir fait la découverte d’une vulnérabilité de son protocole de validation TLS-SNI-01 qui pourrait permettre à un hacker malintentionné de détourner les certificats utilisant cette validation TLS-SNI-01.

Le système TLS-SNI-01 a donc été désactivé par Let’s Encrypt depuis, puis partiellement réactivé, non pas pour permettre de créer de nouveaux certificats, cette option étant toujours bloquée en raison des risques évoqués et ne sera très certainement plus jamais disponible pour génerer de nouveaux certificats. Mais pour ceux qui auraient déjà un certificat de type TLS-SNI-01 et qui serait en fin de vie et doivent renouveler ce dernier, il est de nouveau possible de le faire.

Enfin, l’autorité de certification annonce travailler sur le développement d’un correctif qui devrait être publié dans la semaine pour permettre de migrer vers la méthode de validation HTTP-01, exempte de vulnérabilité. La méthode de validation TLS-SNI-02 étant également affectée par la même faille de sécurité, elle a également été bloquée et ne sera donc pas la solution. Nous reviendrons évidemment sur le sujet à la publication du correctif, mais surtout j’appliquerai une modification de mon guide de sécurisation de Jeedom avec prise en compte des nouvelles manipulations.

Que retenir de cette information?

• Si vous désirez renouveler votre certificat Let’s Encrypt déjà existant, vous pouvez le faire suite à la réactivation de l’option.
• Si vous envisagez de suivre mon guide pour sécuriser votre domotique Jeedom, je vous invite à patienter un peu le temps qu’un correctif soit publié.
• Si vous utilisez un certificat toujours actif fonctionnant sous TLS-SNI-01, patientez également un peu afin que je vous propose une migration vers la nouvelle solution.

Quoi qu’il en soit, nous reviendrons sur le sujet dans les prochaines actualités du magazine domotique.