Nous reprenons la publication des actualités d’Evolix pour vous souhaiter nos meilleurs vœux pour l’année 2022 au nom de toute l’équipe !

Nous avons un peu mis de côté la communication depuis 2 ans pour nous concentrer sur d’autres priorités : assurer la production, faire évoluer notre organisation interne et participer à des projets d’entraide à Marseille. Et même si la pandémie n’est pas encore terminée, nous sommes repartis dans une dynamique que nous voulons partager avec vous.

Évolution de notre infra réseau

Ces derniers mois nous avons réalisé plusieurs maintenances planifiées sur notre infrastructure réseau. Ces maintenances sont vraiment exceptionnelles : le genre d’évolution que l’on fait une fois tous les 10 ans ! Nous avons ajouté des switchs « cœur de réseau » redondants capables de faire du 40Gb/s, et remplacé plusieurs switchs « Top of the rack » afin d’évoluer vers une architecture réseau plus résiliente, avoir un maximum de liens redondants en fibre optique 40Gb/s entre les switchs, et proposer désormais des serveurs avec un réseau 10Gb/s redondant en fibre optique. Notre équipe réseau va publier des explications techniques prochainement à propos de cette évolution majeure qui nous permet de conserver un réseau de très haute qualité pour notre hébergement.

Tournée des conférences en automne 2021

En automne, nous avons été présents à plusieurs conférences : DevopsDD au Stade Vélodrome, le salon OSXP à Paris, la conférence SecSea à la Ciotat et le meetup AFUP Aix-Marseille. L’occasion de recommencer à échanger en présenciel avec nos différents partenaires.

Nos dernières news

• Bienvenue à Mathieu, Brice, Iliane et William qui ont rejoint l’équipe Evolix
• Nous sommes fiers d’avoir intégré le collectif CHATONS en 2021
• Nous aidons l’association AOUF qui soutient l’entraide dans les quartiers populaires de Marseille, notamment via des projets comme le « Massilia Couches System »
• Debian 11 (Bullseye) est sortie en août 2021
• OpenBSD 7.0 est sorti en octobre 2021
• Notre canal IRC est désormais #evolix sur liberachat : rejoignez nous pour discuter !
• Problème Let’s Encrypt avec l’expiration du certificat SSL « Identrust DST X3 »
• Une faille critique a été trouvée dans la bibliothèque Java « log4j », voici nos préconisations

Nous recrutons

Nous recrutons des SysAdmins Junior et Senior à Marseille et Montréal, retrouvez nos offres sur notre page Welcome To The Jungle

Let’s Encrypt est une autorité de certification fournissant des certificats SSL depuis 2016. Une des raisons de son succès est que les certificats étaient indirectement signés par l’autorité de certification IdenTrust préinstallée dans la plupart des navigateurs. Petit à petit, le certificat racine de Let’s Encrypt a été intégré dans les navigateurs et systèmes d’exploitation, et nous voici arrivés au jour où Let’s Encrypt aurait dû prendre son envol : le jeudi 30 septembre 2021 à 16h où le certificat DST X3 d’Identrust expire.

Sauf que ce décollage est plus compliqué que prévu car Let’s Encrypt a décidé de conserver dans sa chaîne de certification un certificat intermédiaire signé par ce certificat Identrust expiré pour conserver jusqu’en 2024 la compatibilité avec Android 7 et inférieur (environ 4% du trafic web mondial).

La conséquence pour les clients HTTPS est qu’il faut s’assurer qu’openssl est assez récent (les dernières version d’openssl sont moins strictes sur la vérification des expirations) ou alors on peut contourner le problème en supprimant ce fameux certificat DST X3 dans la base locale de certificats CA. Concrètement sur les serveurs Linux, on commente la ligne mozilla/DST_Root_CA_X3.crt dans le fichier /etc/ca-certificates.conf (puis on met à jour sa base de certificats CA et on recharge les démons susceptibles de l’utiliser).

La conséquence pour les serveurs HTTPS est plus subtile : soit on garde le certificat intermédiaire signé par le certificat DST X3 expiré afin de prolonger la compatibilité avec Android 7 et inférieur, soit on supprime ce certificat intermédiaire afin de conserver la compatibilité avec des vieux clients HTTPS que l’on ne maîtrise : des clients en ligne de commande (curl, wget, etc.), du Java pas à jour, du PHP sur un système pas à jour, des clients d’API, des callbacks de paiement, etc.

Liens pour en savoir plus :

• https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/
• https://letsencrypt.org/certificates/
• https://www.identrust.com/dst-root-ca-x3-cross-signing-identrust-commercial-ca-1-chain-details
• https://www.octopuce.fr/letsencrypt-certificate-expiration-consequences/