Connexion
Abonnez-vous

GoDaddy : à cause d’un « bug logiciel », des milliers de certificats SSL révoqués

GoNouveauCertificat

GoDaddy : à cause d'un « bug logiciel », des milliers de certificats SSL révoqués

Le 16 janvier 2017 à 08h50

GoDaddy a dû révoquer les certificats SSL de près de 6 100 clients. En cause, un bug de vérification qui pouvait conduire à valider incorrectement une demande. Les certificats concernés ont été émis entre le 29 juillet 2016 et le 10 janvier 2017.

GoDaddy est une entreprise spécialisée dans la gestion de noms de domaine, et c'est également une autorité de certification (CA). Problème, à cause d'un « bug logiciel », la société a dû révoquer les certificats SSL d'environ 6 100 clients sur les six derniers mois.

La vérification pouvait aboutir sans le code de vérification

Normalement, lorsqu'un site web demande un certificat SSL, GoDaddy (ou n'importe quelle autorité de certification) délivre un code aléatoire à son client et lui demande de le placer sur son site. GoDaddy vérifie alors qu'il est bien présent, validant ainsi le processus. 

Problème, lorsque le bug a été introduit le 29 juillet 2016, « certaines configurations de serveurs Web » pouvaient conduire à des faux positifs de la part de GoDaddy. Pour résumer, des certificats ont pu être validés alors que le code de vérification n'était pas présent sur le site web.

La société a donc décidé de révoquer les certificats incriminés, ce qui concerne environ 6 100 clients et 2 % des certificats émis entre le 29 juillet 2016 et le 10 janvier 2017. Bien évidemment, le souci a été corrigé du côté de chez GoDaddy pour éviter que cela ne se reproduise.

De nouveaux certificats ont été demandés par GoDaddy

Pour ses clients concernés, la société explique qu'elle a « déjà soumis une nouvelle demande de certificat en votre nom sans frais supplémentaires ». Il suffit de vous connecter à votre compte, puis d'aller dans la partie de gestion des certificats SSL et de lancer le processus. Une fois le nouveau certificat en place, une notification vous sera envoyée.

Dans tous les cas, si votre certificat est révoqué, votre site continuera d'être accessible aux internautes, mais un message d'erreur ou une alerte pourra être affiché par le navigateur pour indiquer le souci. GoDaddy annonce enfin qu'il n'a eu aucun retour sur une éventuelle utilisation frauduleuse d'un certificat.

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Pourquoi y’a t’il plusieurs boutiques qui gèrent les certificats SSL, une seule ne serait elle pas plus efficace ? 

 

votre avatar

Pourquoi y a-t-il plusieurs opérateurs télécoms, un seul ne serait-il pas plus efficace ?

votre avatar

Pourquoi il y a autant d’états dans le monde, et autant de votants dans une démocratie ? Ce serait beaucoup plus simple avec un seul état dirigé par un dictateur (bienveillant bien entendu)!

votre avatar







fred42 a écrit :



Pourquoi y a-t-il plusieurs opérateurs télécoms, un seul ne serait-il pas plus efficace ?









alegui a écrit :



Pourquoi il y a autant d’états dans le monde, et autant de votants dans une démocratie ? Ce serait beaucoup plus simple avec un seul état dirigé par un dictateur (bienveillant bien entendu)!





Merci de vos réponses ( pas très sympas ) mais Je pense que vous avez mal compris ma question.

 

Je ne connais pas la gestion des SSL. Donc pourquoi y’a t’il plusieurs boutiques qui gèrent les SSL. -Argent/Pouvoir/contrôle sur le NET etc….



 PS: Plutôt que de commencer vos message par POURQUOI blablabla + imbécilités:.

      Ne serait il pas plus simple de répondre a ma question en expliquant la gestion des SSL ?



 EDIT

       Oulala , j ai pas penser a la démocratie et a la concurrence

                                    N’IMPORTE QUOI

 

 


votre avatar

N’importe qui peut générer un certificat. Il suffit d’installer les outils sur son poste, comme OpenSSL par exemple.

La seule différence avec ces revendeurs, c’est qu’ils sont considérés comme des “autorités de certification de confiance”. Etant donné que toute cette chaîne repose sur la confiance (l’autorité est reconnue comme étant de confiance par l’éditeur de ton navigateur Web, de ton OS, etc), il vaut mieux avoir plusieurs acteurs. Il est en effet déjà arrivé que les clés privés d’autorités de certification se fassent détourner pour simplifier.

Si tu génères ton propre certificat pour ton service Web, puisque tu n’es pas considéré comme “de confiance”, ton navigateur t’affichera un message anxiogène t’invitant à quitter le site.



Plusieurs acteurs, ça réduit les risques à ce niveau plutôt qu’une seule entité monolithique.



Accessoirement, ça donne un peu de concurrence sur le secteur. C’est un domaine qui est principalement réservé aux professionnels et le coût d’un certificat est juste prohibitif pour une petite entité. Ou alors très limité, par exemple Gandi proposait des certifs pour 1 domaine à 15€/an. Sinon la facture monte très vite à plusieurs milliers d’euros car les acteurs ont aussi des assurances pour garantir la sécurité des transactions.

Mais depuis Let’s Encrypt qui propose des certificats gratuitement, ça apporte cette possibilité à moindre coût pour une petite entité.



Pour revenir à cette petite histoire sinon, j’ai hâte de voir les futures lois des petits censeurs du Web qui comprendront qu’ordonner la révocation du certificat sera un bon moyen pour bloquer un site. Comme l’Internet utilise de plus en plus les protocoles en version sécurisé, les dégâts risquent d’être considérables à ce niveau.

votre avatar

<img data-src=" />



&nbsp;

votre avatar

Désolé, je pensais avoir affaire à un troll plutôt qu’une vraie question. Ma réponse voulait surtout dire : ce n’est ni possible ni souhaitable. Puisque créer un certificat est quelque chose de faisable par n’importe qui, la question est de savoir comment on y fait confiance ; deux modèles ont pour le moment été trouvés : celui des certificats X.509 (dits “certificats SSL”)&nbsp; qui utilisent le principe de tiers de confiance, et celui de la chaîne de confiance, où tu fais confiance à tes proches (je connais untel, je fais confiance à ceux auquels il fait confiance…). Les deux systèmes ont leurs avantages et leurs inconvénients.

votre avatar

Désolé, je pensais avoir affaire à un troll plutôt qu’une vraie

question. Ma réponse voulait surtout dire : ce n’est ni possible ni

souhaitable. Puisque créer un certificat est quelque chose de faisable

par n’importe qui, la question est de savoir comment on y fait confiance

; deux modèles ont pour le moment été trouvés : celui des certificats

X.509 (dits “certificats SSL”)&nbsp; qui utilisent le principe de tiers de

confiance, et celui de la chaîne de confiance (type PGP), où tu fais confiance à

tes proches (je connais untel, je fais confiance à ceux auquels il fait

confiance…). Les deux systèmes ont leurs avantages et leurs

inconvénients.

votre avatar

j’ai subi le meme problàme , et ce n’est plus rassurrant de rester leur client, j ‘ai trouvé une bonne alternative et je le partage avec vous , j’ai changer mon certificat en gardant la meme durée restante et avec une remise . voilà l’article&nbsphttps://www.sslmarket.fr/nouveaut%C3%A9/le-transfert-premium-de-la-competition-p…

votre avatar

Ça aurait été cool de laisser un délai de genre 48 ou 72 heures aux sites en question pour qu’ils aient une possibilité de mettre en place le nouveau certificat sans downtime…

Bon au moins ils ont fait quelque chose mais…

votre avatar

On peut pas dire que ça soit très rassurant de la part de GoDaddy…

M’enfin, c’est pas comme s’ils avaient déjà été épinglés pour une sécurité plutôt laxiste (des problèmes d’ingénierie sociale…)

Et j’ajouterai qu’avec le soutien qu’ils avaient affiché pour la SOPA (même si c’est un peu vieux) et les promotions chez les concurrents, il n’y a&nbsp; pas vraiment de raison d’aller chez eux

GoDaddy : à cause d’un « bug logiciel », des milliers de certificats SSL révoqués

  • La vérification pouvait aboutir sans le code de vérification

  • De nouveaux certificats ont été demandés par GoDaddy

Fermer