Si vous êtes développeur en Iran, à Cuba ou en Corée du Nord, vous venez officiellement de perdre l'accès à Let's Encrypt !

En effet, la version 1.7 du Subscriber Agreement publiée par l'ISRG (Internet Security Research Group), l'organisation derrière le service, est malheureusement entrée en vigueur le 4 juin dernier. Et sur les 8 pages du document, il n'y a qu'un seul ajout, mais il pèse trèèès lourd : section 3.1, un nouveau bullet point oblige maintenant chaque utilisateur à garantir qu'il "n'est pas localisé, organisé sous les lois de, ou résident dans un pays cible de sanctions américaines complètes".

En pratique, la liste OFAC des juridictions sous sanctions globales actuelles couvre Cuba, l'Iran, la Corée du Nord, et les zones occupées de Crimée, Donetsk et Lougansk (la Syrie en a été retirée fin 2025 ce qui montre bien à quel point ce périmètre peut évoluer rapidement).

Et le couperet ne tombe pas que sur des États-paria abstraits puisque ONG d'aide humanitaire, journalistes, universités, et tout le monde qui travaille ou vit dans ces zones perd le service. Du coup, pour récupérer un certificat HTTPS gratuit, vous devez maintenant signer une clause d'embargo. Plusieurs utilisateurs rapportent également que des certificats de sites russes auraient déjà été révoqués au cours des derniers mois, sans préavis officiel de l'ISRG...

Le piège, c'est la section 2.2 du contrat, intacte depuis longtemps mais qui prend un sens tout neuf : l'agrément reste en vigueur tant que vous possédez un seul certificat valide. Cela veut dire qu'une violation potentielle sur UN certificat peut donc, en théorie, déclencher une révocation en cascade de TOUS les autres, un peu comme un crédit immobilier où une mensualité ratée rendrait tout le contrat caduque...

Je vous laisse imaginer la tronche d'un hébergeur qui gère mille sites le jour où ça tombe et qui crée des certificats Let's Encrypt pour ses clients... La section 4.2 énumère onze motifs de révocation activables "à la seule discrétion" de l'ISRG, dont la violation de l'agrément et un joli fourre-tout "d'autres motifs raisonnables et légaux".

Notez que l'ISRG est domiciliée à San Jose, en Californie et que tous les CA américains (DigiCert, Sectigo, GlobalSign US) sont déjà soumis aux mêmes obligations OFAC depuis toujours, donc c'est pas vraiment non plus une surprise... Mais ça tombe toujours mal ce genre de conneries.

Maintenant, côté alternatives, si vous voulez sortir de la juridiction US, y'a pas grand chose... Je me souviens de ZeroSSL qui ressemblait à une option européenne mais qui a été racheté début 2024 par HID Global (filiale du suédois Assa Abloy, basée au Texas... donc aux Etats-Unis), donc soumis aux mêmes obligations OFAC à terme. Après vous avez peut-être des services à me recommander ? Sinon il faudra passer par des certificats payants.

Bref, le HTTPS gratuit a toujours eu un drapeau, mais on faisait juste semblant de l'oublier...

Faire s'afficher un site en HTTPS sur une machine qui tournait déjà sous Mac OS 9, le système d'exploitation d'Apple antérieur à Mac OS X, relevait jusqu'ici de l'impossible, et c'est pourtant ce qu'a réussi un développeur connu sous le pseudonyme mplsllc avec un projet baptisé MacSurf.

MacSurf est un portage de NetSurf, un navigateur web léger et open-source déjà connu sur d'autres plateformes anciennes, adapté cette fois aux vieux Mac équipés d'un processeur PowerPC, l'architecture qu'Apple a employée pendant des années avant de basculer vers les puces Intel au milieu des années 2000.

Ces premiers PowerPC occupent une position un peu ingrate dans l'histoire d'Apple, puisqu'ils sont trop anciens pour faire tourner Mac OS X comme leurs successeurs en G3, ce qui les avait jusqu'ici condamnés à un web figé sur les standards du début des années 2000, sans accès raisonnable aux sites d'aujourd'hui.

C'est précisément ce que MacSurf fait sauter, en gérant le CSS3, le JavaScript ES5 et les images PNG avec transparence, soit de quoi afficher convenablement des pages pensées pour des navigateurs récents, le tout démontré sur un iMac G3, ce fameux ordinateur tout-en-un au boîtier de plastique coloré translucide.

La partie la plus spectaculaire concerne la sécurité, puisque la version 1.3 a apporté la toute première implémentation native de TLS 1.3 jamais réalisée sur Mac OS 9, TLS étant le protocole de chiffrement qui se cache derrière le petit cadenas des connexions HTTPS et qui empêche quiconque d'intercepter ce que vous échangez avec un site.

Dans le détail, cette implémentation s'appuie sur la bibliothèque cryptographique BearSSL et sur la poignée de main définie par la norme RFC 8446, avec des algorithmes modernes comme ChaCha20-Poly1305 et AES-128-GCM, alors que la mouture 1.3.1 a ajouté plusieurs courbes elliptiques récentes, dont X25519 et les classiques P-256 et P-384.

Tout cela a été développé avec les outils d'époque de la plateforme, à savoir l'environnement CodeWarrior, l'API Carbon, le moteur graphique QuickDraw et la pile réseau Open Transport, sans la moindre émulation, puisqu'il s'agit d'un vrai logiciel natif compilé directement pour ces machines.

Il ne faut évidemment pas s'attendre à un équivalent de Chrome, et mplsllc prévient lui-même que les sites exigeant les tout derniers standards risquent de coincer sur sa création, qui reste un navigateur fonctionnel plus qu'une bête de course.

Pour ceux qui voudraient essayer, le code source ainsi que des binaires prêts à installer sont disponibles sur GitHub , et le projet dispose même de son propre site.

Faire entrer le web chiffré d'aujourd'hui dans une machine de vingt-cinq ans, alors que l'industrie laisse mourir des systèmes plus récents, c'est une bidouille qui force le respect.

Source : Hackaday