L’autorité de certification Sectigo a commencé à vendre depuis quelques semaines des certificats SSL/TLS signés par un certificat racine non reconnus sur certains systèmes. On vous explique pourquoi et comment résoudre ce problème.
Lorsqu’un logiciel tente d’établir une connexion SSL/TLS avec un tiers (souvent un serveur distant) il reçoit un certificat de ce serveur et vérifie s’il a été signé par un certificat racine de confiance.
La liste des certificats racine de confiance peut être gérée de plusieurs manières. En général, les navigateurs embarquent leur propre liste qui est mise à jour en même temps que le navigateur. Mais la plupart des logiciels ou bibliothèques utilisent le dépôt de confiance de leur système d’exploitation.
Il est assez rare que des nouveaux certificats racine soient ajoutés (ou retirés) et les mises à jour sont peu fréquentes et habituellement anticipables. De plus, les nouveaux certificats racine sont généralement signés de manière croisée par des certificats existants et déjà reconnus, pour faciliter leur mise en œuvre. À titre d’exemple, Let’s Encrypt a mis plusieurs années pour enfin pouvoir utiliser son propre certificat racine et se passer des signatures croisées d’autres autorités de certification.
Dans le cas présent, Sectigo (une autorité de certification majeure) a commencé il y a quelques semaines à signer des certificats avec 2 nouveaux certificats racine (appelés « E46 » et « R46 »).
Ces certificats racine ont été créés en 2021. Ils ont été diffusés en 2023 et par exemple Mozilla a commencé à les incorporer dans son dépôt de confiance en 2023.
Lors de connexions SSL/TLS à des services utilisant des certificats signés par E46 ou R46, les logiciels qui utilisent un dépôt de confiance contenant les certificats racine E46 et R46 peuvent valider la chaîne de confiance sans problème. Mais si les logiciels ne peuvent pas valider la chaîne de confiance, la connexion échoue. En cas d’erreur SSL/TLS on incrimine prioritairement (souvent à raison) une erreur de configuration du serveur qui présente le certificat, mais ici c’est plutôt le dépôt de confiance qui doit être mis à jour.
Debian – que nous utilisons sur nos serveurs – gère sa liste de certificats racine via le paquet ca-certificates. La première mention concrète de cette question remonte à février 2025 (l’intégration des certificats a été ralentie par des questions à propos de signatures croisées et de clarté sur l’utilisation effective de ces certificats). Depuis vendredi 13 juin 2025, un nouveau paquet ca-certificates contenant les certificats racine de Sectigo est disponible pour Debian 12 (la version stable actuelle).
Depuis jeudi 19 juin 2025, des paquets faits par Evolix sont disponibles pour Debian 9, 10 et 11 et ont été déployés sur nos serveurs (et conteneurs) infogérés. Et en parallèle les équipes Debian LTS et eLTS préparent des paquets plus officiels pour Debian 8/9/10/11. Les Debian en versions inférieures à 8 ne receveront pas de mise à jour par paquet. Pour rappel, Evolix supporte uniquement Debian 10, 11 et 12.
À noter qu’il est également possible d’intégrer des certificats racine manuellement si besoin.
Tout cela montre d’une part à quel point la notion de « chaîne de confiance » sur laquelle repose SSL/TLS est à la fois critique et fragile, et qu’une bonne communication entre les parties prenantes est nécessaire.
J’ai un serveur dédié infogéré par Evolix, suis-je concerné ?
Vous pouvez être concerné uniquement si vous faites des connexions SSL/TLS vers un service réseau externe qui a changé récemment son certificat. Depuis vendredi 20 juin 2025, si votre serveur (ou conteneur) est en Debian 9, 10, 11 et 12 vous ne devriez plus avoir de problème avec le dépôt de confiance du système. Si vous constatez un souci, ouvrez nous un ticket.
J’ai un serveur avec un Apache/Nginx en HTTPS, suis-je concerné ?
Vous êtes potentiellement concerné si vous avez mis en place un nouveau certificat Sectigo depuis environ 3 semaines. Dans ce cas, l’impact est que certains de vos utilisateurs ou clients risquent d’avoir des problèmes pour vous joindre tant qu’ils n’ont pas mis à jour le dépôt de confiance du système.
J’utilise Java sur mon serveur infogéré par Evolix, suis-je concerné ?
Java utilise sa propre liste de certificats racine, mais si vous utilisez Java installé par défaut sur le système, la liste devrait être identique et tout devrait être résolu à partir du vendredi 20 juin 2025 en Debian 9, 10, 11 et 12. Par contre, si vous utilisez une version spécifique de Java, vous devez gérer vous-même la liste des certificats avec la commande keytool.
J’utilise Docker sur mon serveur infogéré par Evolix, suis-je concerné ?
Pour rappel, Docker est un « mini-système indépendant », donc chaque conteneur intègre sa propre liste de certificats racine. Si vous avez besoin de mettre à jour cette liste, vous devrez reconstruire vos images.
