Les propriétaires d’anciens Macs fonctionnant sous Mac OS X 10.11 El Capitan peuvent rencontrer des problèmes lorsqu’ils surfent : Depuis peu, des navigateurs tels que Safari, Opera, Vivaldi ou Brave affichent le message « Cette connexion n’est pas privée » lorsqu’ils accèdent à certains sites web – au lieu d’afficher le contenu comme d’habitude. Si vous affichez le certificat, vous pouvez lire : « Root has expired ».
La cause est un vieux certificat racine de Let’s Encrypt (LE), qui a perdu sa validité à la fin du mois de septembre, ce qui explique pourquoi les connexions signées sont rejetées par le navigateur comme non sécurisées.
De nombreux sites web populaires utilisent Let’s Encrypt pour pouvoir offrir leurs services à moindre coût via une connexion cryptée par HTTPS. Pour ce faire, ils génèrent régulièrement un nouveau certificat dont la validité est validée avec le certificat racine « ISRG Root X1 ». Il fait partie du système d’exploitation, mais n’est fourni par Apple que dans une version plus récente depuis Mac OS X 10.12.1 Sierra. Des restrictions correspondantes peuvent également se produire sur d’autres anciens systèmes d’exploitation.
Sommaire
Installation du certificat racine actuel dans macOS
Si le Mac ne prend pas en charge une version de macOS plus récente que OS X 10.11 El Capitan, vous pouvez installer vous-même le certificat racine actuel – si vous voulez continuer à utiliser le système d’exploitation, qui n’est plus fourni avec des mises à jour de sécurité, pour surfer.
Le certificat racine peut être trouvé à l’adresse letsencrypt.org/certificates. Si vous utilisez un autre navigateur que Firefox, cette page sera également rejetée au départ. Firefox ne dépend pas du système d’exploitation pour les certificats racine et dispose du nouveau certificat racine depuis la version 50. Dans Safari, vous pouvez toujours y accéder en cliquant sur « Afficher les détails » sous le message d’erreur, puis sur le lien « Ouvrir cette page ». Le nouvel avertissement doit être confirmé par « Visit website » – le mot de passe administrateur doit également être saisi.
Installer le certificat racine actuel pour Let’s Encrypt dans OS X 10.11 (4 images)
Téléchargez ensuite depuis letsencrypt.org le certificat « ISRG Root X1, Self-signed » au format « der » (« pem » serait également possible). Par sécurité, vérifiez la somme de contrôle SHA-1 dans le terminal après le téléchargement :
shasum -a 1 ~/Downloads/isrgrootx1.der
Le résultat doit être la valeur cabd2a79a1076a31f21d253635cb039d4329a5e8 doivent être émis.
Si cela est correct, ouvrez le fichier « isgrootx1.der » par un double clic. L’administration du porte-clés démarre alors et vous demande dans quel porte-clés vous voulez importer le certificat. Nous recommandons ici l’option « Système » afin que tous les comptes utilisateurs en bénéficient ; « Connexion » ne concerne que l’utilisateur actuel. Ne sélectionnez pas « Objets locaux » ou « Racine du système ».
Lire aussi
Si vous avez accidentellement importé le fichier dans « Connexion », vous pouvez le faire glisser avec la souris vers « Système » dans la barre latérale. À propos : dans les versions plus récentes de macOS, le dialogue d’importation est absent, le certificat se retrouve automatiquement dans le trousseau de clés actuellement sélectionné dans la barre latérale.
Recherchez maintenant « ISRG Root X1 » et ouvrez le certificat en double-cliquant dessus. Dans la fenêtre, développez la section « Trust » et sélectionnez l’option « Always trust » à côté de « When using this certificate ». Après avoir fermé la fenêtre, vous devez confirmer le changement avec votre mot de passe administrateur. Maintenant, les pages signées par Let’s Encrypt devraient être à nouveau accessibles.
Ajouter le certificat racine via le Terminal
Si Safari continue de renvoyer le message « Safari ne peut pas ouvrir la page XYZ car Safari ne peut pas établir de connexion sécurisée avec le serveur » pour des sites web isolés, vous pouvez essayer d’ajouter le certificat racine téléchargé au trousseau de clés via le terminal :
sudo security -v add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain ~/Downloads/isrgrootx1.der
Avec cette commande, Mac OS X fera automatiquement confiance au certificat.