#globalsign

Le blocage des certificats intermédiaires de GlobalSign a cassé les chaînes de certificats.

Suite à une erreur de révocation de certificats croisés assurant le lien avec des certificats racines, certains navigateurs Internet et systèmes d’exploitation rejettent les certificats émis par GlobalSign. L’autorité de certification a résolu le problème, mais il faut attendre la mise à jour des caches OCSP pour revenir à la normale.

En raison d’une erreur commise par GlobalSign, l’une des plus grandes autorités de certification mondiale, les utilisateurs du monde entier n’ont pu accéder à certains sites Web HTTPS le week-end dernier. En effet, au cours d’un test planifié, GlobalSign a révoqué l’un de ses certificats croisés servant de passerelle à des certificats racines alternatifs. GlobalSign exploite plusieurs racines, considérées par défaut comme dignes de confiance par les navigateurs et les systèmes d’exploitation, et ces certificats croisés lui permettent de relier ces racines entre elles. Or certains navigateurs et certains systèmes d’exploitation ont interprété la révocation d’un certificat croisé comme une révocation des certificats intermédiaires qui renvoyaient aux racines.

Or, le blocage des certificats intermédiaires a cassé les chaînes de certificats, ce qui n’avait pas été prévu par l’autorité de certification, et les utilisateurs ont commencé à recevoir des erreurs de validation de certificat en essayant d’accéder à des sites utilisant des certificats délivrés par GlobalSign. Il semble que la révocation de la certification croisée a eu lieu il y a un certain temps, mais les problèmes sont apparus jeudi quand GlobalSign a commencé à valider la révocation en utilisant le protocole de vérification de certificat en ligne Online Certificate Status Protocol (OCSP). Même si l’autorité de certification a pris des mesures immédiates pour résoudre le problème, les utilisateurs pourront encore constater des erreurs de certificat dans les jours à venir, car les réponses OCSP sont conservées en cache dans les navigateurs et les serveurs.

« Il faudra environ 4 jours pour que le problème soit résolu, dès l’expiration des réponses mises en cache, ce qui, nous le reconnaissons, n’est pas idéal », a déclaré GlobalSign dans un communiqué publié sur son site Web. « Cependant, GlobalSign fournira un certificat temporaire que les clients pourront utiliser, délivré par une racine différente qui n’a pas été affectée par la révocation, et offrant la même ubiquité ». Cela signifie que les propriétaires de certificats concernés par la révocation pourraient obtenir des certificats reliés à une racine GlobalSign différente dont la chaîne n’a pas été cassée. L’autorité de certification a mis en ligne un guide de dépannage pour les différents types de certificats qu’elle émet, ainsi que des instructions pour vider les caches OCSP.

Go to Source

Si vous avez eu du mal à accéder au site de Wikipedia hier, ce n’est pas la faute de la Wikimedia foundation. Cherchez plutôt du côté de GlobalSign, une autorité de certification qui se charge de fournir des certificats aux sites web qui le souhaitent. Ces certificats SSL/TLS sont notamment utilisés pour activer le protocole TLS, qui chiffre les échanges entre l’internaute et le site qu’il consulte.

Malheureusement, Globalsign a commis une erreur dans la gestion de ses certificats racines, qui a conduit à la révocation en chaîne de plusieurs certificats émis par l’autorité. De nombreux sites ont été affectés, bien que Globalsign n’ait pas communiqué sur le nombre exact de sites touchés.

  4 jours pour que tout rentre dans l’ordre

Lorsqu’un navigateur détecte un site utilisant un certificat non valide, il affiche généralement un avertissement à destination de l’internaute. Celui-ci peut être contourné, mais l’internaute lambda se détournera généralement de ces pages. Sur Twitter, GlobalSign expliquait hier que le problème était causé par un souci avec Online Certificate Status Protocol, un protocole qui permet de vérifier la validité d’un certificat. La suppression d’un certificat interne a provoqué une réaction en chaîne involontaire qui a conduit à la révocation de plusieurs certificats émis par GlobalSign. La société a contacté les clients affectés et leur a fourni des explications dans un mail repéré par The Register.

If the OSCP/CRL cache clearing hasn’t worked, we’re still working on a resolution. We deeply apologize 4 the outage & will keep u updated.

— GlobalSign (@globalsign) October 13, 2016

Parmi les sites affectés par le bug, on peut ainsi recenser Wikipedia, Dropbox ou encore le Financial Times. Le bug a depuis été résolu, mais GlobalSign explique qu’il faudra environ 4 jours pour que les navigateurs se mettent à jour et acceptent à nouveau les certificats révoqués par erreur. Les utilisateurs peuvent néanmoins forcer la réinitialisation du cache de leurs certificats si besoin. Pour les administrateurs de sites concernés, GlobalSign a également mis en ligne une page résumant les mesures à prendre pour corriger l’erreur.

Go to Source

GlobalSign 提供 Open Source 專案免費的 SSL Certificate

GlobalSign 提供 Open Source 專案免費的 SSL Certificate：「Free SSL Certificate for Open Source Projects」。

不過看了看需求還蠻龜毛的，不如自己花個 USD$10/year 還比較方便。如果不在意時間成本的話就申請吧，我猜實際上也不會有多少專案申請…