GlobalSign, l’autorité ayant signé les certificats de sécurité du site internet Wikipédia a révoqué ses certificats et par la même occasion bloqué l’accès à plusieurs sites.
Qu’est-ce qu’un certificat ?
Le certificat numérique est une sorte de carte d’identité. Comme les cartes d’identité, il est délivré pour un organisme habilité. Il faut savoir que les certificats numériques ne sont pas réservés à la seule certification (identification) des sites web mais ce cas d’utilisation est le plus connu et concerne le problème de Wikipédia.
Tout le monde ne peut pas délivrer les certificats, seules les autorités de certification (Certificate Authority : CA) ont le droit de le faire. C’est un peu comme les cartes d’identités, seules les administrations compétentes sont autorisées à émettre des certificats. GlobalSign en est un exemple.
Détails de la panne technique
Les efforts de mise à jour finale GlobalSign comme une autorité de certification sont allés TITSUP cet après-midi – c’est totale incapacité à supporter des protocoles habituels.
Le résultat est que de nombreux sites, petits et grands ont eu leurs certificats HTTPS incorrectement mis au rebut, ce qui signifie pour certaines personnes leurs navigateurs ne font plus confiance aux sites et refusent ou sont réticents à y accéder.
Plus précisément, il semble GlobalSign révoqué par inadvertance ses certificats intermédiaires en mettant à jour une certification croisée spéciale. Cette brisé la chaîne de confiance et, finalement annulé SSL certificats / TLS sites. Il pourrait prendre des jours pour fixer, en laissant les gens incapables de lire facilement leurs pages web préférées.
GlobalSign estime qu’il pourrait prendre jusqu’à ce que le début de la semaine prochaine pour certs accidentellement Axed à corriger. L’organisation a mis en place une page de support pour les administrateurs et les gens qui cherchent à fixer des certificats HTTPS brisés.
Si vous n’êtes pas concerné par la panne d’aujourd’hui – considérez-vous chanceux que le problème ne sera pas frappé tout le monde en raison de la vaste gamme de politiques de mise en cache et de révocation utilisées par les navigateurs, applications et autres logiciels. Si votre application n’a pas encore repris les révocations, il devrait être très bien – si elle a, vous devrez supprimer votre liste de révocation certificat cache (voir le lien ci-dessus pour obtenir des instructions sur Windows et MacOS).
“Voilà ce qui est malheureux au sujet de l’ICP, les différents navigateurs ont des niveaux de mise à jour différents”, a déclaré des projets stratégiques directeur de GlobalSign Steve Roylance Le Reg.
il y a quelques heures, il est devenu clair que GlobalSign – un biz, aux États-Unis New Hampshire – avait des problèmes avec son Protocole d’état OCSP (Online Certificate), qui est utilisé pour l’obtention du statut de révocation des certificats de clés publiques qui garantissent que les internautes se connectent à legit sites utilisant SSL / TLS.
“Nous vivons actuellement un problème connu qui provoque des messages de révocation / d’erreur de certificat à afficher dans certains de nos certificats,” un représentant pour GlobalSign tweeté plus tôt.
We are currently experiencing issues with our OCSP which is causing certificate warning messages. We aim to fix this as soon as possible.
En réponse aux plaintes sur Twitter, GlobalSign a dit qu’il avait réglé la question à sa fin, mais a souligné qu’il faudra du temps pour que les changements se frayer un chemin à travers le labyrinthe de l’internet des caches. Page d’état des Etats de la société Web:
Nous vivons actuellement un problème connu qui est à l’origine des messages de révocation / d’erreur de certificat à être affichées dans certains de nos certificats.
Malheureusement, le blanchiment de la mémoire cache est un processus délicat que tout le monde ne peut pas suivre, ce qui signifie moins peeps technologiques alphabétisés peuvent lutter avec des erreurs de certificat depuis un certain temps.
If the OSCP/CRL cache clearing hasn’t worked, we’re still working on a resolution. We deeply apologize 4 the outage & will keep u updated.
Dès la publication, les gens sont demandés sur combien de temps ça va prendre pour corriger les révocations douteuses.
Les sites concernés comprennent le Financial Times, Guardian, Wikipedia, Logmein et Dropbox.
Cet après-midi, un porte-parole de GlobalSign a mis un peu plus de lumière sur la panne (en anglais):
GlobalSign manages several root certificates and for compatibility and browser ubiquity reasons provides several cross-certificates between those roots to maximize the effectiveness across a variety of platforms.
As part of a planned exercise to remove some of those links, a cross-certificate linking two roots together was revoked. CRL responses had been operational for one week, however an unexpected consequence of providing OCSP responses became apparent this morning, in that some browsers incorrectly inferred that the cross-signed root had revoked intermediates, which was not the case.
GlobalSign has since removed the cross-certificate from the OCSP database and cleared all caches. However, the global nature of CDNs and effectiveness of caching continued to push some of those responses out as far as end users. End users cannot always easily clear their caches either through lack of knowledge or lack of permission. New users (visitors) are not affected as they will now receive good responses. The problem will correct itself in four days as the cached responses expire, which we know is not ideal. However, in the meantime, GlobalSign will be providing an alternative issuing CA for customers to use instead, issued by a different root which was not affected by the cross that was revoked but offering the same ubiquity.
