MAJ certificats racines sur Firefox OS

Un certificat racine utilisé par Let’sEncrypt a expiré fin septembre 2021. Cela affecte les appareils qui ne reçoivent plus de mises à jour de leur magasin de certificat, notamment Firefox OS.

Cela a été bien anticipé par LetsEncrypt, qui a communiqué tôt sur le sujet. J’en avais entendu parler mais n’avais pas fait le lien avec les quelques appareils sous Firefox OS encore utilisés dans mon entourage.

Bref, début octobre, patatra : plein de sites affichent des messages d’avertissement sur Firefox OS. Certains restent même inaccessibles, même en forçant d’accepter le certificat.

Autre conséquence : le client e-mail n’arrive plus à accéder à certains serveurs IMAP/SMTP (j’ai eu le cas avec ceux de mailo.com), avec un message d’erreur moins explicite, et sans possibilité de forcer l’acceptation du certificat.

Heureusement, les appareils en question sont des ZTE Open C, rootés depuis longtemps. Il y a donc moyen d’accéder au magasin de certificat via adb, et de le modifier.

J’ai donc fait un petit script bash qui s’occupe de l’automatiser :

  • récupérer le magasin du certificat du téléphone
  • ajouter le certificat racine « ISRG Root X1 »
  • renvoyer le magasin modifié sur le téléphone

https://gitlab.com/mossroy/update-ca-certs-on-firefox-os/

Ca se fait depuis un ordinateur (je n’ai testé que sous Ubuntu), avec le téléphone branché dessus, et un accès ADB fonctionnel (avec les droits root). Il faut aussi la ligne de commande certutil pour la modification du magasin de certificats.

Je l’ai utilisé sur 3 appareils avec succès, et un autre internaute m’a confirmé le bon fonctionnement sur le sien aussi.

Il est probable que ça fonctionne avec d’autres systèmes d’exploitation côté ordinateur, et d’autres appareils sous Firefox OS, mais je n’ai pas pu tester.

Dans tous les cas : à utiliser à vos propres risques, bien sûr…

NB : j’ai d’abord essayé d’envoyer les fichiers en question en les prenant depuis un Firefox desktop récent, mais ça n’a pas fonctionné. Dommage, ça aurait mis à jour tous les certificats racines au lieu de se contenter de celui-là.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.