L’autorité GlobalSign a commis une erreur la semaine dernière dans la gestion de ses certificats. Au cours d’un test, un certificat croisé a été révoqué, provoquant de nombreux soucis, notamment avec Wikipedia et Dropbox. Tout est maintenant rentré dans l’ordre.
Jeudi dernier, GlobalSign a lancé ce qui ne devait être qu’un test de routine : la révocation d’un certificat croisé, utilisé pour lier plusieurs certificats racines. Ces derniers sont en temps normal reconnus par les navigateurs qui, par défaut, leur font confiance. Mais cette révocation a eu un effet indésirable : les navigateurs sont partis du principe que tous les certificats intermédiaires liés étaient, eux aussi, révoqués.
Un test qui a dérapé
D’après les explications fournies par GlobalSign, les navigateurs n’auraient pas dû avoir ce comportement. La société indique cependant avoir supprimé ce certificat croisé de sa base de données OSCP (Online Certificate Status Protocol) et vidé tous les caches. Le problème a été détecté très rapidement, et les premiers éléments de réponse ont suivi. Cependant, « de par la mondialisation des réseaux de distribution de contenus et l’efficacité de la mise en cache », le souci s’est quand même propagé jusqu’à une partie des utilisateurs.
Notez tout de même que si GlobalSign orientait la faute vers les navigateurs, il semble que le problème vienne d’un code impliqué dans la gestion des certificats. Ce code provient d’une société tierce qui n’a pas été nommée. De leur côté, les éditeurs des navigateurs n'ont pas donné d'explications.
Wikipedia et d'autres sites inaccessibles
Pendant plusieurs jours, certains internautes ont quand même pu rencontrer une erreur dans leur navigateur, les informant que la visite du site visé était impossible en raison d’un certificat révoqué. En l’absence de ce dernier, le navigateur ne peut faire confiance au site et affiche un avertissement. Le problème a concerné certains sites très fréquentés, notamment ceux de Wikipedia, Dropbox et du journal anglais The Guardian.
Pour ces personnes, le problème devait durer un maximum de quatre jours et a donc fin aujourd’hui. C’est le délai accordé aux réponses mises en cache. GlobalSign a entretemps proposé des certificats intermédiaires Alpha SSL et Cloud SSL pour les clients qui ne pouvaient pas attendre. Un guide de résolution des problèmes (en français) a été mis en place, de même qu’une FAQ (uniquement en anglais).
Commentaires (13)
#1
La personne responsable de cette erreur vient d’être embauchée chez Orange
" />
#2
looool et viré aussi sec ?
#3
#4
eh ben, wiki est devenu un site qui n’est pas de confiance et terroriste en moins d’une semaine ^^
#5
#6
MDR:
http://www.lemondeinformatique.fr/actualites/lire-google-wikipedia-et-ovh-bloque…
#7
#8
À l’heure actuelle, tout semble rentrer dans l’ordre. Notez tout de même
que si GlobalSign orientait la faute vers les navigateurs, il semble
que le problème vienne d’un code impliqué dans la gestion des
certificats. Ce code provient d’une société tierce qui n’a pas été
nommée. De leur côté, les éditeurs des navigateurs n’ont pas donné
d’explications.
aka : c’est pas nous c’est eux
#9
Donc, selon GlobalSign, le bug, c’est que les navigateurs, rejettent les AC révoquées.
Et ils ont pu le corriger en re-signant des AC intermédiaires valides,
Ce bug touchait tous les navigateurs, évidemment. C’est la seule explication logique.
Heureusement que personne ne pige rien aux certificats,
Sinon ça se serait vu que GlobalSign refuse de reconnaître ses torts à ses clients.
#10
Non, tellement talentueuse qu’elle a déjà été promue
" />
Aux dernières nouvelles, elle a pris la direction du pôle DNS.
#11
Je n’avais pas vu ;)
" /> )
Je suis abonné au flux RSS de LMI (je vais surement le supprimer
#12
C’est bien ça… globalsign a révoqué le root certificate… Pas d’autres choix que d’attendre ou de ré-installer la chaine complète. Explications + la nouvelle chaine en téléchargement ici :https://www.certificat-ssl.info/actualite-ssl/13-10-2016-erreur-revocation-globa…
#13
Le paradoxe de l’histoire serait que c’est Wikipedia et non Wikileaks qui ont été bloqués par cette “erreur”. de ce matin !
" />