Univers Apple

11
Déc.
2021

Des soucis pour aller sur Internet, avec votre macOS 10.11 El Capitan ou précédent ?

Publié par sky

Je vous en parlais fin septembre, les certificats racines utilisés pour les certificats de Let's Encrypt ont expiré. Cela a posé pas mal de soucis sur de nombreux services sur Internet ou pour des services locaux mais utilisant un certificat pour leur sécurité, comme ce fut le cas pour mon serveur Gitea.

L'impact sur internet était très limité, malgré une énorme utilisation des certificats Let's Encrypt sur la toile. Tous les sites, dont skymac.org, restaient accessibles, en HTTPS sur nos navigateurs, peut importe le système d'exploitation.

Malheureusement, j'ai récemment eu la confirmation que cette affirmation n'était pas totalement vraie ...

En effet, sur macOS 10.13 et supérieur, aucun problème à signaler. Les sites internet fonctionnaient toujours aussi bien, avant et après ce fameux 30 septembre. Malheureusement, pour 10.11 El Capitan, ou inférieur, ce ne fut pas le cas, et naviguer sur Internet est devenu un parcours du combattant. Quant à 10.12 Sierra, entre les deux, je n'en ai malheureusement plus à disposition pour vérifier.

 

Pourquoi les vieux macOS ne sont plus capables d'aller sur les sites sécurisés par des certificats Let's Encrypt ?

Dans votre système d'exploitation macOS, tout comme dans les autres systèmes d'exploitations, se trouvent une certaine quantité de certificats. Evidemment, l'OS ne connait pas l'intégralité des certificats de tous les sites disposant du SSL sur internet. Il y en a littéralement des milliards, et de nouveaux milliers se créent chaque jour. De plus, tous les certificats disposent d'une date d'expiration, et il faut les renouveler, lorsque c'est nécessaire.

Votre navigateur, en allant sur skymac.org, va regarder s'il peut faire confiance à ce certificat. Comme il ne le connait pas, il va regarder son certificat parent, et ainsi de suite, jusqu'à remonter un certificat racine dont dispose votre système d'exploitation.

Sur 10.11 et avant, le certificat parent ayant expiré, la vérification remonte jusqu'au plus haut niveau sans trouver d'autorité certifiante capable de lui répondre "on peut faire confiance", la réponse obtenue est donc "attention, on ne peut pas faire confiance à ce certificat".

Sur 10.14 et supérieur, Apple a régulièrement mis à jour sa liste de certificats racines, les sites restent donc fonctionnels.

Vous trouverez plus d'explication dans cet article que nous avions écrit avec Frank.

 

Comment palier à ce soucis sur les anciennes versions de macOS ?

Malgré quelques exceptions, le Mac est une machine plutôt fiable, que l'on peut utiliser pendant de nombreuses années, même après qu'Apple l'est considérée comme obsolète, et que les mises à jour du système ne soient plus disponibles.

Il est donc légitime de se demander quelles sont les solutions pour continuer à utiliser son Mac sur Internet.

Evidemment, la solution la plus simple est de mettre à jour l'OS du Mac, lorsque cela est possible. Avec une version plus récente de macOS, on se retrouve avec une version plus récente des certificats.

Mais lorsque cela n'est pas possible, il est nécessaire d'envisager d'autres solutions, notamment au niveau des certificats.

Il n'est pas possible de changer la date de validité d'un certificat. Cela serait trop simple, et ce serait une faille de sécurité hors norme.

Cependant, il devrait être possible d'y insérer les certificats les plus récents. Ces derniers sont stockés dans le Trousseau d'Accès. Pour cela, il faudrait exporter les certificats d'un Mac disposant d'un macOS le plus récent possible, et de les importer dans le Mac disposant d'un vieux système. A chercher...

Il devrait être même possible de mettre à jour un vieux Mac PPC, sous 10.4 ou 10.5. Même si, les problèmes viendraient ensuite des navigateurs de l'époque, incapables de lire les sites modernes. J'aimerai tout de même avoir le temps de tester ...

 
 
Commentaires
Aucun commentaire pour le moment.

 

Poster un commentaire
En postant sur skymac.org, je m'engage à être courtois et à ce que mon message soit pertinent avec le sujet de l'article.
En outre, j'accepte, sans condition, que mon message soit refusé et supprimé si ces règles ne sont pas appliquées.
Ouvrir le panneau de gestion des cookies
Fermer le panneau
Ce site utilise des cookies pour assurer son bon fonctionnement. Il utilise aussi des cookies issues de services tiers permettant de proposer des fonctionnalités avancées. À tout moment, vous pouvez choisir quels services vous souhaitez activer ou refuser, afin de retirer votre consentement quant à l'utilisation des cookies.
 
Personnalisation des services
Vous êtes libre de choisir quels services vous souhaitez activer. En autorisant ces services tiers, vous acceptez le dépôt et la lecture de cookies et l'utilisation de technologies de suivi nécessaires à leur bon fonctionnement. En retirant votre consentement pour certains de ces services, certaines fonctionnalités du site peuvent ne plus fonctionner.
Navigation du site  En savoir plus
Le site écrit un cookie de session permettant son bon fonctionnement et aidant à la navigation. Il ne peut être désactivé.
Utilisation : 1 cookie, enregistre l'identifiant de la session.
Durée de vie : Le cookie est présent pendant toute la session sur le site. Il devient obsolète après 24 minutes d'inactivité.
Obligatoire
Popup Média
Afficher des vidéos depuis Yoube ou Dailymotion.
 
Tout accepter Tout refuser Gérer