Category

captcha

Close Panel

GlobalSign : des sites inaccessibles pendant des jours à cause d’une erreur de certificat

by Admin | 18th October 2016

globalsign_error_imageSuite à une erreur de révocation de certificats croisés assurant le lien avec des certificats racines, certains navigateurs Internet et systèmes d’exploitation rejettent les certificats émis par GlobalSign. L’autorité de certification a résolu le problème, mais il faut attendre la mise à jour des caches OCSP pour revenir à la normale.

En raison d’une erreur commise par GlobalSign, l’une des plus grandes autorités de certification mondiale, les utilisateurs du monde entier n’ont pu accéder à certains sites Web HTTPS le week-end dernier. En effet, au cours d’un test planifié, GlobalSign a révoqué l’un de ses certificats croisés servant de passerelle à des certificats racines alternatifs. GlobalSign exploite plusieurs racines, considérées par défaut comme dignes de confiance par les navigateurs et les systèmes d’exploitation, et ces certificats croisés lui permettent de relier ces racines entre elles. Or certains navigateurs et certains systèmes d’exploitation ont interprété la révocation d’un certificat croisé comme une révocation des certificats intermédiaires qui renvoyaient aux racines.

Or, le blocage des certificats intermédiaires a cassé les chaînes de certificats, ce qui n’avait pas été prévu par l’autorité de certification, et les utilisateurs ont commencé à recevoir des erreurs de validation de certificat en essayant d’accéder à des sites utilisant des certificats délivrés par GlobalSign. Il semble que la révocation de la certification croisée a eu lieu il y a un certain temps, mais les problèmes sont apparus jeudi quand GlobalSign a commencé à valider la révocation en utilisant le protocole de vérification de certificat en ligne Online Certificate Status Protocol (OCSP). Même si l’autorité de certification a pris des mesures immédiates pour résoudre le problème, les utilisateurs pourront encore constater des erreurs de certificat dans les jours à venir, car les réponses OCSP sont conservées en cache dans les navigateurs et les serveurs.

« Il faudra environ 4 jours pour que le problème soit résolu, dès l’expiration des réponses mises en cache, ce qui, nous le reconnaissons, n’est pas idéal », a déclaré GlobalSign dans un communiqué publié sur son site Web. « Cependant, GlobalSign fournira un certificat temporaire que les clients pourront utiliser, délivré par une racine différente qui n’a pas été affectée par la révocation, et offrant la même ubiquité ». Cela signifie que les propriétaires de certificats concernés par la révocation pourraient obtenir des certificats reliés à une racine GlobalSign différente dont la chaîne n’a pas été cassée. L’autorité de certification a mis en ligne un guide de dépannage pour les différents types de certificats qu’elle émet, ainsi que des instructions pour vider les caches OCSP.

 

Leave a Reply

Name (Required)

Email (Required - will not be published)

Website

Message (Required)


Hit Counter provided by Skylight