L’autorité GlobalSign a commis une erreur la semaine dernière dans la gestion de ses certificats. Au cours d’un test, un certificat croisé a été révoqué, provoquant de nombreux soucis, notamment avec Wikipedia et Dropbox. Tout est maintenant rentré dans l’ordre.
Jeudi dernier, GlobalSign a lancé ce qui ne devait être qu’un test de routine : la révocation d’un certificat croisé, utilisé pour lier plusieurs certificats racines. Ces derniers sont en temps normal reconnus par les navigateurs qui, par défaut, leur font confiance. Mais cette révocation a eu un effet indésirable : les navigateurs sont partis du principe que tous les certificats intermédiaires liés étaient, eux aussi, révoqués.
Un test qui a dérapé
D’après les explications fournies par GlobalSign, les navigateurs n’auraient pas dû avoir ce comportement. La société indique cependant avoir supprimé ce certificat croisé de sa base de données OSCP (Online Certificate Status Protocol) et vidé tous les caches. Le problème a été détecté très rapidement, et les premiers éléments de réponse ont suivi. Cependant, « de par la mondialisation des réseaux de distribution de contenus et l’efficacité de la mise en cache », le souci s’est quand même propagé jusqu’à une partie des utilisateurs.
Notez tout de même que si GlobalSign orientait la faute vers les navigateurs, il semble que le problème vienne d’un code impliqué dans la gestion des certificats. Ce code provient d’une société tierce qui n’a pas été nommée. De leur côté, les éditeurs des navigateurs n'ont pas donné d'explications.
Wikipedia et d'autres sites inaccessibles
Pendant plusieurs jours, certains internautes ont quand même pu rencontrer une erreur dans leur navigateur, les informant que la visite du site visé était impossible en raison d’un certificat révoqué. En l’absence de ce dernier, le navigateur ne peut faire confiance au site et affiche un avertissement. Le problème a concerné certains sites très fréquentés, notamment ceux de Wikipedia, Dropbox et du journal anglais The Guardian.
Pour ces personnes, le problème devait durer un maximum de quatre jours et a donc fin aujourd’hui. C’est le délai accordé aux réponses mises en cache. GlobalSign a entretemps proposé des certificats intermédiaires Alpha SSL et Cloud SSL pour les clients qui ne pouvaient pas attendre. Un guide de résolution des problèmes (en français) a été mis en place, de même qu’une FAQ (uniquement en anglais).
