En raison d'une erreur commise par GlobalSign, l’une des plus grandes autorités de certification mondiale, les utilisateurs du monde entier n’ont pu accéder à certains sites Web HTTPS le week-end dernier. En effet, au cours d’un test planifié, GlobalSign a révoqué l'un de ses certificats croisés servant de passerelle à des certificats racines alternatifs. GlobalSign exploite plusieurs racines, considérées par défaut comme dignes de confiance par les navigateurs et les systèmes d'exploitation, et ces certificats croisés lui permettent de relier ces racines entre elles. Or certains navigateurs et certains systèmes d’exploitation ont interprété la révocation d’un certificat croisé comme une révocation des certificats intermédiaires qui renvoyaient aux racines.

Or, le blocage des certificats intermédiaires a cassé les chaînes de certificats, ce qui n’avait pas été prévu par l’autorité de certification, et les utilisateurs ont commencé à recevoir des erreurs de validation de certificat en essayant d’accéder à des sites utilisant des certificats délivrés par GlobalSign. Il semble que la révocation de la certification croisée a eu lieu il y a un certain temps, mais les problèmes sont apparus jeudi quand GlobalSign a commencé à valider la révocation en utilisant le protocole de vérification de certificat en ligne Online Certificate Status Protocol (OCSP). Même si l’autorité de certification a pris des mesures immédiates pour résoudre le problème, les utilisateurs pourront encore constater des erreurs de certificat dans les jours à venir, car les réponses OCSP sont conservées en cache dans les navigateurs et les serveurs.

« Il faudra environ 4 jours pour que le problème soit résolu, dès l’expiration des réponses mises en cache, ce qui, nous le reconnaissons, n’est pas idéal », a déclaré GlobalSign dans un communiqué publié sur son site Web. « Cependant, GlobalSign fournira un certificat temporaire que les clients pourront utiliser, délivré par une racine différente qui n'a pas été affectée par la révocation, et offrant la même ubiquité ». Cela signifie que les propriétaires de certificats concernés par la révocation pourraient obtenir des certificats reliés à une racine GlobalSign différente dont la chaîne n’a pas été cassée. L’autorité de certification a mis en ligne un guide de dépannage pour les différents types de certificats qu'elle émet, ainsi que des instructions pour vider les caches OCSP.