GoDaddy : à cause d'un « bug logiciel », des milliers de certificats SSL révoqués

GoNouveauCertificat 11
En bref
image dediée
Crédits : Rizvan3d/iStock/Thinkstock
Web
Sébastien Gavois

GoDaddy a dû révoquer les certificats SSL de près de 6 100 clients. En cause, un bug de vérification qui pouvait conduire à valider incorrectement une demande. Les certificats concernés ont été émis entre le 29 juillet 2016 et le 10 janvier 2017.

GoDaddy est une entreprise spécialisée dans la gestion de noms de domaine, et c'est également une autorité de certification (CA). Problème, à cause d'un « bug logiciel », la société a dû révoquer les certificats SSL d'environ 6 100 clients sur les six derniers mois.

La vérification pouvait aboutir sans le code de vérification

Normalement, lorsqu'un site web demande un certificat SSL, GoDaddy (ou n'importe quelle autorité de certification) délivre un code aléatoire à son client et lui demande de le placer sur son site. GoDaddy vérifie alors qu'il est bien présent, validant ainsi le processus. 

Problème, lorsque le bug a été introduit le 29 juillet 2016, « certaines configurations de serveurs Web » pouvaient conduire à des faux positifs de la part de GoDaddy. Pour résumer, des certificats ont pu être validés alors que le code de vérification n'était pas présent sur le site web.

La société a donc décidé de révoquer les certificats incriminés, ce qui concerne environ 6 100 clients et 2 % des certificats émis entre le 29 juillet 2016 et le 10 janvier 2017. Bien évidemment, le souci a été corrigé du côté de chez GoDaddy pour éviter que cela ne se reproduise.

De nouveaux certificats ont été demandés par GoDaddy

Pour ses clients concernés, la société explique qu'elle a « déjà soumis une nouvelle demande de certificat en votre nom sans frais supplémentaires ». Il suffit de vous connecter à votre compte, puis d'aller dans la partie de gestion des certificats SSL et de lancer le processus. Une fois le nouveau certificat en place, une notification vous sera envoyée.

Dans tous les cas, si votre certificat est révoqué, votre site continuera d'être accessible aux internautes, mais un message d'erreur ou une alerte pourra être affiché par le navigateur pour indiquer le souci. GoDaddy annonce enfin qu'il n'a eu aucun retour sur une éventuelle utilisation frauduleuse d'un certificat.


chargement
Chargement des commentaires...