Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

GlobalSign : des sites inaccessibles pendant des jours à cause d’une erreur de certificat

Houston ?

GlobalSign : des sites inaccessibles pendant des jours à cause d’une erreur de certificat

Le 17 octobre 2016 à 13h00

L’autorité GlobalSign a commis une erreur la semaine dernière dans la gestion de ses certificats. Au cours d’un test, un certificat croisé a été révoqué, provoquant de nombreux soucis, notamment avec Wikipedia et Dropbox. Tout est maintenant rentré dans l’ordre.

Jeudi dernier, GlobalSign a lancé ce qui ne devait être qu’un test de routine : la révocation d’un certificat croisé, utilisé pour lier plusieurs certificats racines. Ces derniers sont en temps normal reconnus par les navigateurs qui, par défaut, leur font confiance. Mais cette révocation a eu un effet indésirable : les navigateurs sont partis du principe que tous les certificats intermédiaires liés étaient, eux aussi, révoqués.

Un test qui a dérapé

D’après les explications fournies par GlobalSign, les navigateurs n’auraient pas dû avoir ce comportement. La société indique cependant avoir supprimé ce certificat croisé de sa base de données OSCP (Online Certificate Status Protocol) et vidé tous les caches. Le problème a été détecté très rapidement, et les premiers éléments de réponse ont suivi. Cependant, « de par la mondialisation des réseaux de distribution de contenus et l’efficacité de la mise en cache », le souci s’est quand même propagé jusqu’à une partie des utilisateurs.

Notez tout de même que si GlobalSign orientait la faute vers les navigateurs, il semble que le problème vienne d’un code impliqué dans la gestion des certificats. Ce code provient d’une société tierce qui n’a pas été nommée. De leur côté, les éditeurs des navigateurs n'ont pas donné d'explications.

Wikipedia et d'autres sites inaccessibles

Pendant plusieurs jours, certains internautes ont quand même pu rencontrer une erreur dans leur navigateur, les informant que la visite du site visé était impossible en raison d’un certificat révoqué. En l’absence de ce dernier, le navigateur ne peut faire confiance au site et affiche un avertissement. Le problème a concerné certains sites très fréquentés, notamment ceux de Wikipedia, Dropbox et du journal anglais The Guardian.

Pour ces personnes, le problème devait durer un maximum de quatre jours et a donc fin aujourd’hui. C’est le délai accordé aux réponses mises en cache. GlobalSign a entretemps proposé des certificats intermédiaires Alpha SSL et Cloud SSL pour les clients qui ne pouvaient pas attendre. Un guide de résolution des problèmes (en français) a été mis en place, de même qu’une FAQ (uniquement en anglais).

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

La personne responsable de cette erreur vient d’être embauchée chez Orange <img data-src=" />

votre avatar

looool et viré aussi sec ?

votre avatar







Jarodd a écrit :



La personne responsable de cette erreur vient d’être embauchée chez Orange <img data-src=" />







Ou Orange et GlobalSign travaillent avec la même boite de prestation <img data-src=" />


votre avatar

eh ben, wiki est devenu un site qui n’est pas de confiance et terroriste en moins d’une semaine ^^

votre avatar







jaffalibre a écrit :



eh ben, wiki est devenu un site qui n’est pas de confiance et terroriste en moins d’une semaine ^^





ça c’est de la radicalisation express !


votre avatar
votre avatar







Zig76 a écrit :



MDR:

http://www.lemondeinformatique.fr/actualites/lire-google-wikipedia-et-ovh-bloque…



Pas besoin d’aller sur Le Monde Informatique…

nextinpact.com Next INpact

&nbsp;


votre avatar



À l’heure actuelle, tout semble rentrer dans l’ordre. Notez tout de même

que si GlobalSign orientait la faute vers les navigateurs, il semble

que le problème vienne d’un code impliqué dans la gestion des

certificats. Ce code provient d’une société tierce qui n’a pas été

nommée. De leur côté, les éditeurs des navigateurs n’ont pas donné

d’explications.





aka : c’est pas nous c’est eux

votre avatar

Donc, selon GlobalSign, le bug, c’est que les navigateurs, rejettent les AC révoquées.

Et ils ont pu le corriger en re-signant des AC intermédiaires valides,



Ce bug touchait tous les navigateurs, évidemment. C’est la seule explication logique.



Heureusement que personne ne pige rien aux certificats,

Sinon ça se serait vu que GlobalSign refuse de reconnaître ses torts à ses clients.

votre avatar

Non, tellement talentueuse qu’elle a déjà été promue <img data-src=" />



Aux dernières nouvelles, elle a pris la direction du pôle DNS.

votre avatar

Je n’avais pas vu ;)

Je suis abonné au flux RSS de LMI (je vais surement le supprimer <img data-src=" /> )

votre avatar

C’est bien ça… globalsign a révoqué le root certificate… Pas d’autres choix que d’attendre ou de ré-installer la chaine complète. Explications + la nouvelle chaine en téléchargement ici :https://www.certificat-ssl.info/actualite-ssl/13-10-2016-erreur-revocation-globa…

votre avatar

Le paradoxe de l’histoire serait que c’est Wikipedia et non Wikileaks qui ont été bloqués par cette “erreur”. de ce matin !



<img data-src=" />

GlobalSign : des sites inaccessibles pendant des jours à cause d’une erreur de certificat

  • Un test qui a dérapé

  • Wikipedia et d'autres sites inaccessibles

Fermer