L'actualité du SSL

13/10/2016 : Erreur après la révocation d'une racine GlobalSign

13 Octobre : GlobalSign commet une grave erreur en révoquant un certificat racine ! Des sites utilisant un certificat SSL GlobalSign et AlphaSSL sont inaccessibles !

 

Comment savoir si mon certificat SSL GlobalSign / AlphaSSL est concerné ?

Vous êtes concerné si vous utilisez un certificat SSL GlobalSign ou AlphaSSL :

  • Sur la racine "GlobalSign Root CA" (version valable du 01 Septembre 1998 jusqu'au 28 Janvier 2028) ;
     
  • Si vous obtenez l'erreur "NET::ERR_CERT_REVOKED" sous Google Chrome ;
  • Si vous obtenez l'erreur "Error code : sec_error_revoked_certificate" sous Firefox ;
  • Si vous obtenez l'erreur "This organization's certificate has been revoked" sous Internet Explorer ;

 

Que s'est-il passé pour qu'un certificat racine soit révoqué ?

GlobalSign dispose de plusieurs certificats racines (root certificates). Lors d'une opération de maintenance, un certificat SSL racine a été révoqué / supprimé.

Lorsque vous accédez à un site Internet, votre navigateur va interroger l'OCSP (Online Certificate Status Protocol), afin de savoir si l'un des certificats SSL présenté par le serveur a fait l'objet d'une révocation. Les certificats présentés sont : Le certificat SSL racine, le certificat SSL intermédiaire, et le certificat SSL du nom de domaine.
Le certificat SSL racine ayant été révoqué, le certificat SSL intermédiaire qui est émis par la racine a lui aussi été considéré comme révoqué.

Prenons un exemple :

Le certificat SSL de "www.certificat-ssl.info" est émis par un certificat SSL intermédiaire qui est lui-même émis par un certificat SSL racine.
Si le certificat SSL racine est révoqué, alors le certificat SSL intermédiaire l'est aussi. Donc le certificat SSL final (nom de domaine) doit être considéré comme révoqué.

Résultat : Tous les sites Internet utilisant le certificat SSL intermédiaire et racine ne sont plus accessibles...

Dès que ce problème a été découvert, GlobalSign a immédiatement pris les mesures correctives nécessaires. Les nouveaux visiteurs ne rencontreront donc pas d'alerte.
Toutefois, certains CDNs ainsi que les ordinateurs des internautes ayant déjà visité le site concerné conservent un cache... Qui peut mettre jusqu'à 4 jours pour se vider !

 

Solution : Pour l'administrateur système (propriétaire du certificat SSL)

Il faut impérativement que l'administrateur système fasse une mise à jour de la chaine complète afin de remplacer le certificat SSL racine révoqué par GlobalSign :

Certificat SSL : Certificat Racine : Certificat Intermédiaire :
     
AlphaSSL GlobalSign Root CA - R3 AlphaSSL CA SHA 256 - G2
Domain SSL GlobalSign Root CA - R3 Domain Validation CA SHA 256 - G2
Organization SSL GlobalSign Root CA - R3 Organization Validation CA SHA 256 - G2
Extended SSL Non concerné - Aucun problème Non concerné - Aucun problème
Cloud SSL GlobalSign Root CA - R3 CloudSSL CA - SHA256 - G3


 

Achetez / renouvelez un certificat SSL GlobalSign moins cher :

Bénéficiez de remises allant jusqu'à -45% du tarif Public en achetant un certificat SSL GlobalSign sur Wistee.fr (grossiste de certificats SSL)
Avec support en français, interlocuteur unique et installation du certificat SSL GlobalSign gratuit sur simple demande ! Profitez-en !



  • Domain SSL (DV)
  • https + cadenas de sécurité

  • - 34% de remise
  • Sceau de sécurité (logo site sécurisé) :

  • 1 seule adresse : www.example.com
    119 € HT / an
  • 2 adresses :
    139 € HT / an
  • Prix d'une adresse supplémentaire :
    + 60 € HT / an
  •  


  • Organization SSL (OV)
  • https + cadenas de sécurité

  • - 37% de remise
  • Sceau de sécurité (logo site sécurisé) :

  • 1 seule adresse : www.example.com
    169 € HT / an
  • 2 adresses :
    199 € HT / an
  • Prix d'une adresse supplémentaire :
    + 75 € HT / an
  •  


  • Extended SSL (EV)
  • https + cadenas de sécurité
    Barre d'adresse URL verte + raison sociale
  • - 14% de remise
  • Sceau de sécurité (logo site sécurisé) :

  • 1 seule adresse : www.example.com
    395 € HT / an
  • 2 adresses :
    439 € HT / an
  • Prix d'une adresse supplémentaire :
    + 100 € HT / an
  •  

Notez cet article:
1
Firefox a bloqué des éléments non sécurisés sur ce...

Quelques articles qui pourraient vous intéresser ...