Cloudflare ne supportera-t-il plus Let's Encrypt?

« Je suis inquiet à propos de l’e-mail que j’ai reçu de Cloudflare, car j’utilise Cloudflare dans mon installation. Quelqu’un pourrait-il m’aider à comprendre de quoi il s’agit ? Serai-je hors ligne ? »

Bonjour,

Nous vous informons d’un changement à venir qui aura un impact sur la compatibilité des appareils des certificats Let’s Encrypt émis après le 15 mai 2024. Nous vous contactons car nous avons identifié que vous utilisez actuellement des certificats Let’s Encrypt via Universal SSL, Advanced Certificate Manager, Custom Certificates ou SSL for SaaS. Nous vous recommandons de vous familiariser avec le changement de Let’s Encrypt et d’apporter les ajustements nécessaires à l’avance.

Aperçu du changement

Let’s Encrypt émet des certificats via deux chaînes : la chaîne ISRG Root X1 et la chaîne ISRG Root X1 signée de manière croisée par DST Root CA X3 d’IdenTrust. La chaîne signée de manière croisée a permis aux certificats Let’s Encrypt de devenir largement fiables, tandis que la chaîne pure a développé une compatibilité avec divers appareils au cours des 3 dernières années, faisant passer le nombre d’appareils Android faisant confiance à ISRG Root X1 de 66 % à 93,9 %.

Let’s Encrypt a annoncé que la chaîne signée de manière croisée expirera le 30 septembre 2024. Par conséquent, Cloudflare cessera d’émettre des certificats à partir de la chaîne CA signée de manière croisée le 15 mai 2024.

Impact

L’expiration de la chaîne signée de manière croisée affectera principalement les appareils plus anciens (par exemple, Android 7.0 et versions antérieures) et les systèmes qui dépendent uniquement de la chaîne signée de manière croisée et qui n’ont pas la chaîne ISRG Root X1 dans leur magasin de confiance. Ce changement pourrait entraîner des échecs de validation de certificat sur ces appareils, entraînant potentiellement des messages d’avertissement ou des problèmes d’accès pour les utilisateurs visitant votre site Web.

Impact sur les certificats émis via Universal SSL, Advanced Certificate Manager ou SSL for SaaS :

Pour préparer l’expiration de la CA, après le 15 mai, Cloudflare n’émettra plus de certificats à partir de la chaîne signée de manière croisée. Les certificats émis avant le 15 mai continueront d’être servis aux clients avec la chaîne signée de manière croisée. Les certificats émis le 15 mai ou après utiliseront la chaîne ISRG Root X1. De plus, ce changement n’affecte que les certificats RSA. Il n’affecte pas les certificats ECDSA émis via Let’s Encrypt. Les certificats ECDSA conserveront le même niveau de compatibilité qu’aujourd’hui.

Impact sur les certificats téléchargés via Custom Certificates :

Les certificats téléchargés sur Cloudflare sont regroupés avec la chaîne de certificats que Cloudflare trouve la plus compatible et la plus efficace. Après le 15 mai 2024, tous les certificats Let’s Encrypt téléchargés sur Cloudflare seront regroupés avec la chaîne ISRG Root X1, au lieu de la chaîne signée de manière croisée. Les certificats téléchargés avant le 15 mai continueront d’utiliser la chaîne signée de manière croisée jusqu’au renouvellement de ce certificat.

Dates importantes

15 mai 2024 : Cloudflare cessera d’émettre des certificats à partir de la chaîne CA signée de manière croisée. De plus, les certificats personnalisés Let’s Encrypt téléchargés après cette date seront regroupés avec la chaîne ISRG X1 au lieu de la chaîne signée de manière croisée.

30 septembre 2024 : La chaîne CA signée de manière croisée expirera.

Recommandations :

Pour réduire l’impact de ce changement, nous vous recommandons de suivre les étapes suivantes :

1. Changer de CA : Si vos clients effectuent des requêtes vers votre application à partir d’appareils hérités et que vous vous attendez à ce que ce changement ait un impact sur eux, nous vous recommandons d’utiliser une autorité de certification différente ou de télécharger un certificat de la CA de votre choix.
2. Surveillance : Une fois le changement déployé, nous vous recommandons de surveiller vos canaux de support pour toute demande concernant les avertissements de certificat ou les problèmes d’accès.
3. Mettre à jour le magasin de confiance : Si vous contrôlez les clients qui se connectent à votre application, nous vous recommandons de mettre à niveau le magasin de confiance pour inclure la chaîne ISRG Root X1 afin d’éviter tout impact.

« C’était l’e-mail que j’ai reçu d’eux, mais avec quelques problèmes, je suis un profane, j’ai essayé de comprendre, j’ai fait des recherches, mais je n’ai pas pu comprendre le sérieux de tout cela, si quelqu’un veut m’aider, je lui serai reconnaissant. »

Tout cela ne concerne que CF, je ne pense pas que cela affecterait Discourse, bien que je puisse me tromper.

J’ai peur car discourse/docker utilise let’s encrypt, mais je ne comprends toujours pas le message.

Pour l’instant, je pense qu’il est plus prudent de laisser les choses telles quelles, étant donné que nous avons jusqu’au 30 septembre avant que la chaîne n’expire.

Je continuerai à observer cela, car à mon avis, Cloudflare est actuellement trop performant pour cesser de l’utiliser.

Android 7 est sorti en 2016 et la part de marché actuelle est de 1,42 %, il n’y aura donc probablement aucun impact mesurable pour vos utilisateurs.

Vous n’avez presque certainement pas à vous inquiéter de cela - CloudFlare n’interrompt pas l’utilisation de Let’s Encrypt.

Voici le seul impact de ce changement :

Voici ce que Cloudflare en dit :

https://community.cloudflare.com/t/let-s-encrypt-certificate-change/631346/3

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.