Des soucis pour aller sur Internet, avec votre macOS 10.11 El Capitan ou précédent ?
Je vous en parlais fin septembre, les certificats racines utilisés pour les certificats de Let's Encrypt ont expiré. Cela a posé pas mal de soucis sur de nombreux services sur Internet ou pour des services locaux mais utilisant un certificat pour leur sécurité, comme ce fut le cas pour mon serveur Gitea.
L'impact sur internet était très limité, malgré une énorme utilisation des certificats Let's Encrypt sur la toile. Tous les sites, dont skymac.org, restaient accessibles, en HTTPS sur nos navigateurs, peut importe le système d'exploitation.
Malheureusement, j'ai récemment eu la confirmation que cette affirmation n'était pas totalement vraie ...
En effet, sur macOS 10.13 et supérieur, aucun problème à signaler. Les sites internet fonctionnaient toujours aussi bien, avant et après ce fameux 30 septembre. Malheureusement, pour 10.11 El Capitan, ou inférieur, ce ne fut pas le cas, et naviguer sur Internet est devenu un parcours du combattant. Quant à 10.12 Sierra, entre les deux, je n'en ai malheureusement plus à disposition pour vérifier.
Pourquoi les vieux macOS ne sont plus capables d'aller sur les sites sécurisés par des certificats Let's Encrypt ?
Dans votre système d'exploitation macOS, tout comme dans les autres systèmes d'exploitations, se trouvent une certaine quantité de certificats. Evidemment, l'OS ne connait pas l'intégralité des certificats de tous les sites disposant du SSL sur internet. Il y en a littéralement des milliards, et de nouveaux milliers se créent chaque jour. De plus, tous les certificats disposent d'une date d'expiration, et il faut les renouveler, lorsque c'est nécessaire.
Votre navigateur, en allant sur skymac.org, va regarder s'il peut faire confiance à ce certificat. Comme il ne le connait pas, il va regarder son certificat parent, et ainsi de suite, jusqu'à remonter un certificat racine dont dispose votre système d'exploitation.
Sur 10.11 et avant, le certificat parent ayant expiré, la vérification remonte jusqu'au plus haut niveau sans trouver d'autorité certifiante capable de lui répondre "on peut faire confiance", la réponse obtenue est donc "attention, on ne peut pas faire confiance à ce certificat".
Sur 10.14 et supérieur, Apple a régulièrement mis à jour sa liste de certificats racines, les sites restent donc fonctionnels.
Vous trouverez plus d'explication dans cet article que nous avions écrit avec Frank.
Comment palier à ce soucis sur les anciennes versions de macOS ?
Malgré quelques exceptions, le Mac est une machine plutôt fiable, que l'on peut utiliser pendant de nombreuses années, même après qu'Apple l'est considérée comme obsolète, et que les mises à jour du système ne soient plus disponibles.
Il est donc légitime de se demander quelles sont les solutions pour continuer à utiliser son Mac sur Internet.
Evidemment, la solution la plus simple est de mettre à jour l'OS du Mac, lorsque cela est possible. Avec une version plus récente de macOS, on se retrouve avec une version plus récente des certificats.
Mais lorsque cela n'est pas possible, il est nécessaire d'envisager d'autres solutions, notamment au niveau des certificats.
Il n'est pas possible de changer la date de validité d'un certificat. Cela serait trop simple, et ce serait une faille de sécurité hors norme.
Cependant, il devrait être possible d'y insérer les certificats les plus récents. Ces derniers sont stockés dans le Trousseau d'Accès. Pour cela, il faudrait exporter les certificats d'un Mac disposant d'un macOS le plus récent possible, et de les importer dans le Mac disposant d'un vieux système. A chercher...
Il devrait être même possible de mettre à jour un vieux Mac PPC, sous 10.4 ou 10.5. Même si, les problèmes viendraient ensuite des navigateurs de l'époque, incapables de lire les sites modernes. J'aimerai tout de même avoir le temps de tester ...
