GoDaddy a dû révoquer les certificats SSL de près de 6 100 clients. En cause, un bug de vérification qui pouvait conduire à valider incorrectement une demande. Les certificats concernés ont été émis entre le 29 juillet 2016 et le 10 janvier 2017.
GoDaddy est une entreprise spécialisée dans la gestion de noms de domaine, et c'est également une autorité de certification (CA). Problème, à cause d'un « bug logiciel », la société a dû révoquer les certificats SSL d'environ 6 100 clients sur les six derniers mois.
La vérification pouvait aboutir sans le code de vérification
Normalement, lorsqu'un site web demande un certificat SSL, GoDaddy (ou n'importe quelle autorité de certification) délivre un code aléatoire à son client et lui demande de le placer sur son site. GoDaddy vérifie alors qu'il est bien présent, validant ainsi le processus.
Problème, lorsque le bug a été introduit le 29 juillet 2016, « certaines configurations de serveurs Web » pouvaient conduire à des faux positifs de la part de GoDaddy. Pour résumer, des certificats ont pu être validés alors que le code de vérification n'était pas présent sur le site web.
La société a donc décidé de révoquer les certificats incriminés, ce qui concerne environ 6 100 clients et 2 % des certificats émis entre le 29 juillet 2016 et le 10 janvier 2017. Bien évidemment, le souci a été corrigé du côté de chez GoDaddy pour éviter que cela ne se reproduise.
De nouveaux certificats ont été demandés par GoDaddy
Pour ses clients concernés, la société explique qu'elle a « déjà soumis une nouvelle demande de certificat en votre nom sans frais supplémentaires ». Il suffit de vous connecter à votre compte, puis d'aller dans la partie de gestion des certificats SSL et de lancer le processus. Une fois le nouveau certificat en place, une notification vous sera envoyée.
Dans tous les cas, si votre certificat est révoqué, votre site continuera d'être accessible aux internautes, mais un message d'erreur ou une alerte pourra être affiché par le navigateur pour indiquer le souci. GoDaddy annonce enfin qu'il n'a eu aucun retour sur une éventuelle utilisation frauduleuse d'un certificat.
Commentaires (11)
#1
Ça aurait été cool de laisser un délai de genre 48 ou 72 heures aux sites en question pour qu’ils aient une possibilité de mettre en place le nouveau certificat sans downtime…
Bon au moins ils ont fait quelque chose mais…
#2
On peut pas dire que ça soit très rassurant de la part de GoDaddy…
M’enfin, c’est pas comme s’ils avaient déjà été épinglés pour une sécurité plutôt laxiste (des problèmes d’ingénierie sociale…)
Et j’ajouterai qu’avec le soutien qu’ils avaient affiché pour la SOPA (même si c’est un peu vieux) et les promotions chez les concurrents, il n’y a pas vraiment de raison d’aller chez eux
#3
Pourquoi y’a t’il plusieurs boutiques qui gèrent les certificats SSL, une seule ne serait elle pas plus efficace ?
#4
Pourquoi y a-t-il plusieurs opérateurs télécoms, un seul ne serait-il pas plus efficace ?
#5
Pourquoi il y a autant d’états dans le monde, et autant de votants dans une démocratie ? Ce serait beaucoup plus simple avec un seul état dirigé par un dictateur (bienveillant bien entendu)!
#6
#7
N’importe qui peut générer un certificat. Il suffit d’installer les outils sur son poste, comme OpenSSL par exemple.
La seule différence avec ces revendeurs, c’est qu’ils sont considérés comme des “autorités de certification de confiance”. Etant donné que toute cette chaîne repose sur la confiance (l’autorité est reconnue comme étant de confiance par l’éditeur de ton navigateur Web, de ton OS, etc), il vaut mieux avoir plusieurs acteurs. Il est en effet déjà arrivé que les clés privés d’autorités de certification se fassent détourner pour simplifier.
Si tu génères ton propre certificat pour ton service Web, puisque tu n’es pas considéré comme “de confiance”, ton navigateur t’affichera un message anxiogène t’invitant à quitter le site.
Plusieurs acteurs, ça réduit les risques à ce niveau plutôt qu’une seule entité monolithique.
Accessoirement, ça donne un peu de concurrence sur le secteur. C’est un domaine qui est principalement réservé aux professionnels et le coût d’un certificat est juste prohibitif pour une petite entité. Ou alors très limité, par exemple Gandi proposait des certifs pour 1 domaine à 15€/an. Sinon la facture monte très vite à plusieurs milliers d’euros car les acteurs ont aussi des assurances pour garantir la sécurité des transactions.
Mais depuis Let’s Encrypt qui propose des certificats gratuitement, ça apporte cette possibilité à moindre coût pour une petite entité.
Pour revenir à cette petite histoire sinon, j’ai hâte de voir les futures lois des petits censeurs du Web qui comprendront qu’ordonner la révocation du certificat sera un bon moyen pour bloquer un site. Comme l’Internet utilise de plus en plus les protocoles en version sécurisé, les dégâts risquent d’être considérables à ce niveau.
#8
#9
Désolé, je pensais avoir affaire à un troll plutôt qu’une vraie question. Ma réponse voulait surtout dire : ce n’est ni possible ni souhaitable. Puisque créer un certificat est quelque chose de faisable par n’importe qui, la question est de savoir comment on y fait confiance ; deux modèles ont pour le moment été trouvés : celui des certificats X.509 (dits “certificats SSL”) qui utilisent le principe de tiers de confiance, et celui de la chaîne de confiance, où tu fais confiance à tes proches (je connais untel, je fais confiance à ceux auquels il fait confiance…). Les deux systèmes ont leurs avantages et leurs inconvénients.
#10
Désolé, je pensais avoir affaire à un troll plutôt qu’une vraie
question. Ma réponse voulait surtout dire : ce n’est ni possible ni
souhaitable. Puisque créer un certificat est quelque chose de faisable
par n’importe qui, la question est de savoir comment on y fait confiance
; deux modèles ont pour le moment été trouvés : celui des certificats
X.509 (dits “certificats SSL”) qui utilisent le principe de tiers de
confiance, et celui de la chaîne de confiance (type PGP), où tu fais confiance à
tes proches (je connais untel, je fais confiance à ceux auquels il fait
confiance…). Les deux systèmes ont leurs avantages et leurs
inconvénients.
#11
j’ai subi le meme problàme , et ce n’est plus rassurrant de rester leur client, j ‘ai trouvé une bonne alternative et je le partage avec vous , j’ai changer mon certificat en gardant la meme durée restante et avec une remise . voilà l’article https://www.sslmarket.fr/nouveaut%C3%A9/le-transfert-premium-de-la-competition-p…