La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 14 septembre 2025 à 09:57:18
-
Le certificat TLS https://boutique.orange.fr/ révoqué !
Firefox qui vérifie la révocation affiche cette erreur qu'on ne peut sauter :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_1.webp)
Chrome, qui ne vérifie pas la révocation, affiche lui la page :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_2.avif)
-
SLL Labs :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_3.webp)
-
Après test, je confirme. Cela la fout mal pour Orange, qui a une branche cyber-sécurité...
boutique.orange.fr a recours à une stratégie de sécurité HTTP Strict Transport Security (HSTS), une connexion sécurisée est obligatoire pour y accéder. Vous ne pouvez pas ajouter d’exception pour visiter ce site.
C'est sous Firefox.
P.S : il est quand même étrange que Chrome ne vérifie pas la révocation des certificats...
-
La page Wikipédia explique assez bien ce qu'est le OCSP et pourquoi Chrome ne l'utilise pas.
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
Adam Langley, Principal Software Engineer chez Google, avait écrit à ce sujet :
https://www.imperialviolet.org/2014/04/29/revocationagain.html
(toutefois le sujet me dépasse)
-
Salut à tous.
Je viens de faire le test d'accès à la boutique orange depuis mon navigateur Mozilla Firefox, aucun problème rencontré. Il se peut que le problème a été corrigé depuis 10H00 aujourd'hui.
-
Bonjour,
Tout fonctionne parfaitement sous firefox.
C'est probablement votre navigateur qui n'est pas à jour.
-
je confirme que le problème a été corrigé. ça ne fonctionnait pas ce matin et maintenant ça refonctionne :) (sur le même navigateur, ça va de soit)
et le certificat à changé du coup:
* Server certificate:
* subject: C=FR; L=ISSY LES MOULINEAUX; O=Orange SA; CN=boutique.orange.fr
* start date: Sep 14 00:00:00 2025 GMT
* expire date: Jun 8 23:59:59 2026 GMT
* subjectAltName: host "boutique.orange.fr" matched cert's "boutique.orange.fr"
* issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
* SSL certificate verify ok.
j'ai pas pensé de backup l'ancien retour avant de fermer mon terminal ce matin :( mais il me semble que l'ancien expirait en février 2026 de mémoire
-
Le certificat a bien été renouvelé à 00h00.
Les problèmes rencontrés par certains utilisateurs étaient liés au cache SSL de Firefox, qui conservait l'ancien certificat révoqué.
-
vu que ce matin à 10h30 avec une requête curl j'ai vu l'ancien certificat, ça doit être le cache de curl ... :D :D :D
@Power
je pense pas qu'il soit nécessaire de trouver des excuse à X ou Y. il y a eu un loupé, ce n'est pas très grave.
-
Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Si ton navigateur (comme Firefox) conserve en cache un ancien certificat SSL expiré, il s'agit d'un problème local lié à ton navigateur, et non d'une erreur côté Orange.
vu que ce matin à 10h30 avec une requête curl j'ai vu l'ancien certificat, ça doit être le cache de curl ... :D :D :D
@Power
je pense pas qu'il soit nécessaire de trouver des excuse à X ou Y. il y a eu un loupé, ce n'est pas très grave.
-
Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Si ton navigateur (comme Firefox) conserve en cache un ancien certificat SSL expiré, il s'agit d'un problème local lié à ton navigateur, et non d'une erreur côté Orange.
Non mais tu crois vraiment que Mme Michu sait gérer son cache de navigateur ?
Bien évidemment qu'Orange doit prendre ce genre de soucis en compte, même si ce n'est pas de sa faute.
Peut-être anticiper le renouvellement de quelques jours pour éviter les soucis de cache ? ::)
-
Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Avec un certificat qui expirait le 19 Février 2026 ? Il est clair qu'il a été révoqué, pour une raison ou une autre (crainte qu'il ait été compromis ?), puis renouvelé.
En général, le renouvellement automatique (ACME), pour un certificat d'un an, c'est 1 mois avant la date d'expiration.
-
Je remarque d'ailleurs que le certificat du site institutionnel d'Orange est un certificat Lestencrypt, et a été émis le 13 Septembre...
-
Depuis le 13 septembre 2025 à 00h00, Orange France, Orange Maroc, et d'autres entités du groupe ont commencé à renouveler les certificats SSL de leurs noms de domaine.
Ce 14 septembre à 00h00, les certificats des sous-domaines, comme boutique.orange.fr, ont également été mis à jour.
Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.
-
Et donc pourquoi ont-ils tous été renouvelés en avance hier, après révocation ? Parce qu'il y avait une crainte de compromission des certificats ?
Cela ne me parait au contraire pas du tout normal... Et un certificat letsencrypt sur un site institutionnel d'un gros opérateur comme Orange, cela parait tout à fait inhabituel. Il n'est pas OV (Organization Validation).
Cela me parait un changement en urgence, avec donc des effets de cache dans les navigateurs qui vérifient la révocation.
-
Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.
Le fil date d'aujourd'hui 9h, et vers 11h30 j'ai fait un check avec curl qui m'a donné ce certificat :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Et c'est bien l'ancien.
% openssl ocsp -issuer DigiCert\ Global\ G2\ TLS\ RSA\ SHA256\ 2020\ CA1.pem -cert old.pem -text -url http://ocsp.digicert.com
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Request Extensions:
OCSP Nonce:
0410DA8B59DFC0026179522EF921372CAFB9
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Produced At: Sep 13 15:56:26 2025 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Cert Status: revoked
Revocation Time: Sep 13 00:16:04 2025 GMT
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4:
c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0:
cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8:
3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40:
1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9:
fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9:
ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e:
48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68:
9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0:
9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1:
27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61:
71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e:
30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb:
3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1:
39:89:9e:15
WARNING: no nonce in response
Response verify OK
old.pem: revoked
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Revocation Time: Sep 13 00:16:04 2025 GMT
Donc, à moins de dire que je mens, je ne vois pas trop comment curl aurait pu obtenir de manière mystérieuse l'ancien certificat. N'est-ce pas ?
Le nouveau certificat a bien été obtenu mais les Load Balancers avaient l'ancien ou que sais-je.
Ça peut arriver.
Qualys voyait aussi l'ancien.
-
Le nouveau :
* Trying [2a01:cb09:2841:4045::500a:b845]:443...
* Server certificate:
* subject: C=FR; L=ISSY LES MOULINEAUX; O=Orange SA; CN=boutique.orange.fr
* start date: Sep 14 00:00:00 2025 GMT
* expire date: Jun 8 23:59:59 2026 GMT
L'ancien :
Revocation Time: Sep 13 00:16:04 2025 GMTDonc, bon, il n'y a pas que nos Firefox pas à jour qui déconnent...
-
« Un certificat SSL qui ne dure pas un an ?! :o»
Eh oui, surprenant… sauf quand on sait ce que fait Orange.
Ici, on n’est pas chez Madame Soleil avec un site de voyance auto-signé :D.
Orange utilise un système de renouvellement automatique avec chevauchement, autrement dit : ils émettent un nouveau certificat avant même que l’ancien n’expire.
Résultat ?
Le certificat a une durée tronquée volontairement, histoire de ne pas dépasser la durée cumulée autorisée par les autorités de certification.
Mais pourquoi faire simple quand on peut faire (plus) sûr ?
Orange (comme beaucoup d’autres grandes entreprises sérieuses) applique une politique de rotation courte des certificats. En gros :
Ils n’attendent pas 12 mois pour renouveler,
Ils préfèrent faire ça tous les 6 à 9 mois,
Et ils le font automatiquement, sans stress ni alarmes de dernier moment.
Pourquoi ? Parce que : Mieux vaut une clé qui ne traîne pas trop longtemps.
Et bien sûr, pour rester dans les clous des normes sérieuses comme :
- ISO 27001 (sécurité de l’information),
- ANSSI (Référentiel Général de Sécurité),
En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.
Avec un certificat qui expirait le 19 Février 2026 ? Il est clair qu'il a été révoqué, pour une raison ou une autre (crainte qu'il ait été compromis ?), puis renouvelé.
En général, le renouvellement automatique (ACME), pour un certificat d'un an, c'est 1 mois avant la date d'expiration.
-
Et donc le certificat letsencrypt, tu l'expliques comment ? C'est sûr que c'est encore mieux, lui a une validité de trois mois, comme bientôt préconisé par Google ou Apple ! Cela, c'est une politique sérieuse !
En tout cas, il est clair que le certificat disponible ce matin sur le site des boutiques Orange était un certificat révoqué, ce qui met un gros doute sur la politique "sérieuse" de renouvellement des certificats, et l'automatisme.
-
En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.
Ok chatgpt.
-
Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ;),
Ce n'est pas compliqué à comprendre ?, tu penses vraiment être plus compétent que les équipes informatiques d’Orange ? mdr :D
Lorsqu'un navigateur comme Firefox se connecte à un site sécurisé (HTTPS), il doit vérifier que le certificat SSL/TLS du site est valide et non révoqué.
Un certificat peut être révoqué à n'importe quel moment, ici c'est à la discrétion d'Orange.
Deux méthodes principales existent pour vérifier la révocation : CRL et OCSP.
Une CRL est une liste publiée par une autorité de certification (CA) qui répertorie les certificats révoqués. Les mises à jour ne sont pas toujours fréquentes, ce qui peut entraîner un décalage dans la détection des révocations.
OCSP est une méthode plus moderne où le navigateur interroge directement un serveur OCSP (géré par la CA) pour vérifier en temps réel si un certificat est révoqué.
Firefox stocke temporairement les réponses OCSP pour éviter des requêtes répétées, améliorant ainsi la performance.
En tout cas, il est clair que le certificat disponible ce matin sur le site des boutiques Orange était un certificat révoqué, ce qui met un gros doute sur la politique "sérieuse" de renouvellement des certificats, et l'automatisme.
-
Non mais tu crois vraiment que Mme Michu sait gérer son cache de navigateur ?
-
Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ;),
Et curl, il garde en cache les réponses OCSP pour les certificats SSL ?
-
Ok chatgpt.
Tu l'as dit avant moi...
Sinon, vous pouvez tous installez Chrome et non vos navigateurs d'un ancien temps, ayant 1% de part de marchés :D
-
Apportez moi la preuve d'un curl.
Si vous êtes un pro, ne venez pas avec des machins qui affichent "Clear cache" , comme en pièce jointe. :D
Vous manquez visiblement de culture informatique, c'est désolant.
Et curl, il garde en cache les certificats SSL ?
-
Les certificats de www.orange.fr, mail.orange.fr, imap.orange.fr (et probablement d'autres) ont été révoqués dans la nuit de vendredi à samedi (ça s'étale sur plusieurs heures).
Ils ont été remplacés vers 16h hier.
Donc boutique.orange.fr semble avoir eu le même problème 1 jour plus tard.
Ce 14 septembre à 00h00, les certificats des sous-domaines, comme boutique.orange.fr, ont également été mis à jour.
Le 14/09 à 0h00 GMT, c'est l'heure de début de validitié.
Mais dans "SCT intégrés", on voit que le certificat de boutique.orange.fr a en fait été signé à 10h41 (Sun, 14 Sep 2025 08:41:58 GMT).
Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ;),
Non, la seule chose que Firefox peut conserver, c'est la réponse OCSP.
Pour certains utilisateurs, Firefox / Thunderbird acceptaient toujours les anciens certificats, car ils n'avaient pas interrogé le serveur OCSP depuis quelques jours.
-
Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ;),
Ce n'est pas compliqué à comprendre ?, tu penses vraiment être plus compétent que les équipes informatiques d’Orange ? mdr :D
C'est bien hein mais c'est faux.
https://x.com/Julien_Jay/status/1967151089721164006
En fait je crois que t'as pas bien compris comment marchait SSL, tu ne peux pas mettre en cache un certificat, c'est un handshake client/serveur, si le serveur présente un certificat révoqué, ça ne marchera pas, si le serveur présente un certificat valide, ça marchera, c'est aussi simple que ça, OCSP n'a rien a voir la dedans. On pourrait en discuter si le souci était que le certificat révoqué était affiché comme valide, mais pas dans le cas inverse.
-
Sur crt.sh on voit qu'Orange émet normalement pour boutique.orange.fr un certificat en début d'année, valable pour un an. Ils ne sont pas normalement révoqués manuellement : Orange produit juste un nouveau certificat un peu avant l'expiration de l'ancien (comme il est d'usage).
Le certificat en question (https://crt.sh/?id=20992657742&opt=ocsp (https://crt.sh/?id=20992657742&opt=ocsp)) a été révoqué le 2025-09-13 à 00:16:04 UTC, à la fois via OCSP et CRL, alors qu'il était normalement valide jusqu'au 2026-02-19.
Un nouveau certificat (https://crt.sh/?id=21010119072&opt=ocsp (https://crt.sh/?id=21010119072&opt=ocsp)) a ensuite été émis le 2025-09-14 vers 08:41:58 UTC.
Ce n'est (évidemment) pas un problème de cache.
Si Firefox c'est plaint et Chrome non, c'est parce que OCSP est checké plus fréquemment, et Chrome n'utilise pas OCSP. Pour CRL, et pour éviter de récupérer systématiquement les listes de tous les CA, les browsers utilisent des listes "consolidées" qui ne sont mises à jour que ponctuellement. Sur crt.sh on voit bien que même si le certificat a été révoqué dans CRL, les listes de révocation "consolidées" utilisées par Google, Mircrosoft et Mozilla n'ont pas encore été mise à jour.
Bref pour le coup c'est Firefox qui avait raison, et Chrome qui laissait tout le monde utiliser un certificat révoqué (mais ce n'est pas vraiment une situation critiquable, puisque la tendance globale est d'abandonner OCSP).
-
Apportez moi la preuve d'un curl.
Voir un post juste un peu au-dessus :
Le fil date d'aujourd'hui 9h, et vers 11h30 j'ai fait un check avec curl qui m'a donné ce certificat :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Et c'est bien l'ancien.
% openssl ocsp -issuer DigiCert\ Global\ G2\ TLS\ RSA\ SHA256\ 2020\ CA1.pem -cert old.pem -text -url http://ocsp.digicert.com
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Request Extensions:
OCSP Nonce:
0410DA8B59DFC0026179522EF921372CAFB9
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Produced At: Sep 13 15:56:26 2025 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Cert Status: revoked
Revocation Time: Sep 13 00:16:04 2025 GMT
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4:
c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0:
cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8:
3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40:
1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9:
fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9:
ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e:
48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68:
9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0:
9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1:
27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61:
71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e:
30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb:
3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1:
39:89:9e:15
WARNING: no nonce in response
Response verify OK
old.pem: revoked
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Revocation Time: Sep 13 00:16:04 2025 GMT
Donc, à moins de dire que je mens, je ne vois pas trop comment curl aurait pu obtenir de manière mystérieuse l'ancien certificat. N'est-ce pas ?
Le nouveau certificat a bien été obtenu mais les Load Balancers avaient l'ancien ou que sais-je.
Ça peut arriver.
Qualys voyait aussi l'ancien.
-
Power : Fait preuve d'une compréhension erronée des protocoles de base du web sécurisé. Son argumentation repose sur des concepts invalides (cache de certificat par le navigateur) et son ton est inversement proportionnel à sa justesse technique. C'est un exemple de l'effet Dunning-Kruger.
hwti, Hugues, alain_p : Diagnostiquent correctement le problème comme étant côté serveur, en s'appuyant sur leur expérience et des explications logiques du fonctionnement de TLS.
acut3 : Fournit l'analyse la plus pointue en utilisant des données publiques et vérifiables (crt.sh, un journal de Transparence de Certificat) et en expliquant la mécanique interne des navigateurs qui justifie les expériences utilisateur différentes.
Voilà ce que mon IA (je ne dirais pas le nom), m'a dit. Vu qu'il va répondre avec une requête ChatGPT, je prends de l'avance
-
Si Firefox c'est plaint et Chrome non, c'est parce que OCSP est checké plus fréquemment, et Chrome n'utilise pas OCSP. Pour CRL, et pour éviter de récupérer systématiquement les listes de tous les CA, les browsers utilisent des listes "consolidées" qui ne sont mises à jour que ponctuellement. Sur crt.sh on voit bien que même si le certificat a été révoqué dans CRL, les listes de révocation "consolidées" utilisées par Google, Mircrosoft et Mozilla n'ont pas encore été mise à jour.
Bref pour le coup c'est Firefox qui avait raison, et Chrome qui laissait tout le monde utiliser un certificat révoqué (mais ce n'est pas vraiment une situation critiquable, puisque la tendance globale est d'abandonner OCSP).
Pour être précis, Chrome supporte quand même l'OCSP Stapling (qui permet au serveur de fournir la réponse OCSP dans le handshake TLS).
Mais les serveurs Orange ne l'implémentent pas, si ça avait été le cas le comportement aurait dépendu du cache côté serveurs Orange (similaire à celui de Firefox sur l'OCSP).
-
Si on prend la peine de lire votre capture d’écran, on constate que la réponse OCSP date bien du samedi 13/09/2025 à 15:56:26 GMT, et non d’aujourd’hui, le 14/09/2025.
Pour information, le nouveau certificat SSL du sous-domaine https://boutique.orange.fr , a, lui, été publié aujourd’hui, le dimanche 14/09/2025.
Encore une fois, vous n'allez pas apprendre l'informatique aux équipes d'Orange.
Voir un post juste un peu au-dessus :
-
En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.
La gestion des certificats est bien automatisée tout comme le "bug" qui à causé leur révocation dans la nuit d'hier.
-
Encore une fois, vous n'allez pas apprendre l'informatique aux équipes d'Orange.
D'accord mais tu racontes quand même n'importe quoi
-
Il faut avancer des arguments solides et les appuyer avec des preuves, ce que tu ne fais pas pour l’instant.
Tu n'as pas le niveau pour cela.
D'accord mais tu racontes quand même n'importe quoi
-
Si on prend la peine de lire votre capture d’écran, on constate que la réponse OCSP date bien du samedi 13/09/2025 à 15:56:26 GMT, et non d’aujourd’hui, le 14/09/2025.
Je ne vois pas ce que tu essaies de nous dire ici... La date a laquelle a la réponse a été générée n'a aucune importance, il il n'y a pas de raison de générer un nouvelle réponse tant que les données de révocations n'ont pas été modifiées.
Et on ne dit pas non plus qu'Orange ne sait pas faire son boulot. On ne sait pas ce qui c'est passé, mais si un certificat a été compromis alors effectivement tu vas le révoquer immédiatement, potentiellement avant même que le nouveau certificat ait été déployé. Tout ce qu'on dit c'est qu'il y a bien eu une action "hors norme" d'Orange, et que le fait d'avoir vu un certificat révoqué n'est pas du à un problème de cache côté client, ni un problème de browser.
-
La première capture d'écran ci-dessous a été fait avec Chromium à 9h51 ce matin et le Chromium en question n'avait jamais été sur boutique.orange.fr (je n'utilise ce navigateur que pour des besoins spécifiques, mon navigateur principal est Firefox) et j'ai bien eu l'ancien certificat sur Chromium à 9h51.
Le nouveau certificat n'a donc pas été mis en place à 02h00 ce 14 septembre, mais plus tard et l'ancien certificat a été rapidement révoqué.
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_2.avif)
Seconde capture ce soir avec le même navigateur :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_4.avif)
-
Si on prend la peine de lire votre capture d’écran, on constate que la réponse OCSP date bien du samedi 13/09/2025 à 15:56:26 GMT, et non d’aujourd’hui, le 14/09/2025.
Pour information, le nouveau certificat SSL du sous-domaine https://boutique.orange.fr , a, lui, été publié aujourd’hui, le dimanche 14/09/2025.
Le certificat qui a été révoqué
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
0a:fb:08:4e:31:73:c6:bb:d7:b1:37:fe:36:1b:1c:af
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, O=DigiCert Inc, CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
Validity
Not Before: Jan 20 00:00:00 2025 GMT
Not After : Feb 19 23:59:59 2026 GMT
Subject: C=FR, ST=ILE-DE-FRANCE, L=ISSY LES MOULINEAUX, O=Orange SA, CN=boutique.orange.fr
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:e8:96:2b:bf:9c:11:e3:22:01:df:92:fb:fa:05:
bc:60:d7:d6:71:a0:86:07:d3:f0:d3:c9:76:a3:d9:
9b:c5:17:16:f2:b5:d9:3d:27:e0:47:81:da:28:d4:
36:36:1a:a0:d7:36:47:db:20:94:9d:99:5f:15:9b:
ae:cf:40:a5:68:55:cf:94:ad:71:02:bf:c5:c2:6a:
94:0b:10:6e:37:97:70:c6:75:83:9c:0f:fa:90:74:
80:72:97:95:df:d3:46:96:d4:b7:66:1b:3e:b2:9a:
bd:11:18:97:ee:41:7c:8f:b9:62:db:ae:c0:0c:86:
06:1f:d6:16:eb:3f:e9:63:8c:c7:c1:f9:e2:53:28:
e2:31:b1:60:00:87:29:c8:18:0b:3a:09:7d:bc:83:
65:a4:ef:83:94:c8:a5:38:88:a3:36:3b:eb:e7:4f:
3b:82:01:e5:98:e1:73:7a:d4:5b:53:18:45:18:f5:
57:5b:e0:ee:f9:d1:a1:db:e8:72:41:92:30:1c:b8:
93:29:7a:05:60:f7:f8:5a:6a:87:81:2f:ae:97:d9:
e6:11:03:a0:67:1f:83:6f:eb:ee:55:6f:0a:b8:c4:
30:66:56:88:eb:e4:2e:44:9d:c8:09:e7:d0:7f:56:
43:2e:61:9a:8e:7a:e0:43:4e:8a:36:58:84:a3:60:
ac:3d
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Authority Key Identifier:
74:85:80:C0:66:C7:DF:37:DE:CF:BD:29:37:AA:03:1D:BE:ED:CD:17
X509v3 Subject Key Identifier:
C2:D9:87:6B:B6:A1:A4:F6:14:AE:1F:24:EA:67:E7:CD:E9:FD:59:5A
X509v3 Subject Alternative Name:
DNS:boutique.orange.fr
X509v3 Certificate Policies:
Policy: 2.23.140.1.2.2
CPS: http://www.digicert.com/CPS
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
X509v3 CRL Distribution Points:
Full Name:
URI:http://crl3.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crl
Full Name:
URI:http://crl4.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crl
Authority Information Access:
OCSP - URI:http://ocsp.digicert.com
CA Issuers - URI:http://cacerts.digicert.com/DigiCertGlobalG2TLSRSASHA2562020CA1-1.crt
X509v3 Basic Constraints: critical
CA:FALSE
CT Precertificate SCTs:
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 0E:57:94:BC:F3:AE:A9:3E:33:1B:2C:99:07:B3:F7:90:
DF:9B:C2:3D:71:32:25:DD:21:A9:25:AC:61:C5:4E:21
Timestamp : Jan 20 10:49:46.280 2025 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:44:02:20:5D:ED:A9:58:10:05:0D:00:4C:BE:D1:BD:
92:22:DA:8E:37:91:DB:0A:F2:E7:59:6D:8A:E6:AC:F9:
88:26:59:9B:02:20:14:51:0D:61:09:4F:D1:E4:44:4C:
CB:D4:AA:BF:76:77:F6:B5:AC:04:39:2E:DF:C9:27:4E:
94:98:EA:8D:15:58
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 64:11:C4:6C:A4:12:EC:A7:89:1C:A2:02:2E:00:BC:AB:
4F:28:07:D4:1E:35:27:AB:EA:FE:D5:03:C9:7D:CD:F0
Timestamp : Jan 20 10:49:46.332 2025 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:20:66:DB:89:56:B0:B2:2E:01:D6:96:A9:04:
9D:2D:7B:1F:B7:CB:33:AF:8F:00:CA:53:AE:07:CD:AF:
9D:61:97:07:02:21:00:8D:40:39:EF:6F:65:4D:93:FF:
9E:93:69:9E:2B:C5:91:6F:EA:15:08:43:C3:B2:73:51:
35:C1:C6:8C:B1:A8:A9
Signed Certificate Timestamp:
Version : v1 (0x0)
Log ID : 49:9C:9B:69:DE:1D:7C:EC:FC:36:DE:CD:87:64:A6:B8:
5B:AF:0A:87:80:19:D1:55:52:FB:E9:EB:29:DD:F8:C3
Timestamp : Jan 20 10:49:46.352 2025 GMT
Extensions: none
Signature : ecdsa-with-SHA256
30:45:02:21:00:E2:83:E9:8E:24:BC:4A:81:39:F1:3A:
76:66:BA:40:ED:EA:DD:EC:07:79:DD:F3:85:E0:D0:CC:
89:31:30:F6:81:02:20:2F:8A:19:B9:14:10:F8:2A:9A:
5D:E3:BD:BD:DE:47:28:A1:94:41:97:81:8F:8A:8C:41:
97:30:72:CD:9C:DB:EB
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
a6:df:a5:02:89:4d:58:a3:68:f7:6d:11:f3:4f:61:74:3d:6a:
e4:5d:0d:36:0c:d5:e2:0c:a7:e3:72:15:d8:eb:fd:ea:e1:27:
9f:02:24:e0:56:e6:2d:7b:21:47:e1:e5:4a:67:81:be:aa:ee:
2a:68:b5:23:61:7d:3c:88:1d:89:50:1b:e4:d5:a6:ff:7a:10:
d1:4a:c2:c7:55:87:ed:d1:c1:9d:3c:2d:d4:bd:27:1f:a7:83:
2d:a7:fb:3f:e6:e3:62:98:d7:f0:8d:ca:17:a9:eb:0d:5f:8f:
9a:a5:44:9e:de:ed:ad:75:cb:7c:ce:1f:52:d2:37:24:65:6f:
1a:37:18:e2:15:38:0c:26:3e:17:d7:d4:11:02:2f:9b:1e:7e:
b0:1a:eb:8e:42:ab:8c:70:43:53:10:a1:cd:76:1e:20:e2:a9:
65:a5:48:1d:a1:d5:75:f0:b3:67:9d:8f:d3:c9:0a:95:fe:a2:
30:7e:55:fd:fc:bd:48:cf:7d:12:ca:0d:44:65:f7:b8:55:7e:
8b:9b:ce:a5:27:0e:55:00:99:85:25:22:11:5a:29:44:b1:a7:
b8:b1:de:65:39:08:9c:6b:f9:91:f2:69:d7:af:e6:69:5d:79:
f1:6e:4c:49:7f:84:eb:ab:0f:57:20:2e:55:92:63:a1:84:51:
67:49:7f:a1
- Valide à partir du Jan 20 00:00:00 2025 GMT
- Expire le Feb 19 23:59:59 2026 GMT
La réponse OCSP (reprise de plus haut):
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Request Extensions:
OCSP Nonce:
0410DA8B59DFC0026179522EF921372CAFB9
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Produced At: Sep 13 15:56:26 2025 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Cert Status: revoked
Revocation Time: Sep 13 00:16:04 2025 GMT
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4:
c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0:
cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8:
3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40:
1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9:
fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9:
ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e:
48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68:
9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0:
9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1:
27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61:
71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e:
30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb:
3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1:
39:89:9e:15
WARNING: no nonce in response
Response verify OK
old.pem: revoked
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Revocation Time: Sep 13 00:16:04 2025 GMT
- Cert Status: revoked
- Revocation Time: Sep 13 00:16:04 2025 GMT
Je cite la RFC6960 (X.509 Internet Public Key Infrastructure - Online Certificate Status Protocol - OCSP):
2.4. Semantics of thisUpdate, nextUpdate, and producedAt
Responses defined in this document can contain four times --
thisUpdate, nextUpdate, producedAt, and revocationTime. The
semantics of these fields are:
thisUpdate The most recent time at which the status being
indicated is known by the responder to have been
correct.
nextUpdate The time at or before which newer information will be
available about the status of the certificate.
producedAt The time at which the OCSP responder signed this
response.
revocationTime The time at which the certificate was revoked or
placed on hold.
producedAt est le timestamp de quand le serveur OCSP a signé la réponse, pas la date de la requête/réponse.
Le certificat a donc été révoqué avant que le suivant a été créé/signé.
Tu ne comprends pas ce que tu lis, tu surlignes n'importe quoi et tu dis n'importe quoi.
Encore une fois, vous n'allez pas apprendre l'informatique aux équipes d'Orange.
Tu parles de toi à la 4ème personne ?
-
Tu n'as pas le niveau pour cela.
C'est vrai, je suis artisan carreleur et je n'ai aucune compétence en informatique, bien vu.
-
Autre oubli d'Orange : créditer OpenStreetMap sur la carte https://reseaux.orange.fr/nos-reseaux/modernisation-des-reseaux/evolution-de-la-telephonie-fixe-et-internet
⇒ https://github.com/osm-fr/attributions/issues/343
⇒ https://github.com/openstreetmap/tile-attribution/issues/141
(https://lafibre.info/images/adsl/202509_carte_orange_fin_cuivre_manque_attribution_osm.webp)
(merci cayenne)
-
Elle est pas mal celle-là.
Mais bon... Orange et le respect des licences, ça fait 2 :P
Leur site opensource pour la Livebox n'est pas à jour non plus : aucune trace des livebox 5/6/7.
-
C'est marrant de voir ça xD ;D ;D
-
Depuis le 13 septembre 2025 à 00h00, Orange France, Orange Maroc, et d'autres entités du groupe ont commencé à renouveler les certificats SSL de leurs noms de domaine.
Ce 14 septembre à 00h00, les certificats des sous-domaines, comme boutique.orange.fr, ont également été mis à jour.
Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.
Quelle débilité ....
Désolé mais s'il y a de la merde qui s'affiche sur mon navigateur, couramment utilisé par des millions de gens : ce n'est pas ma faute. Quelque soit le probleme, c'est un probleme coté Orange.
C'est la dessus qu'il n'y a pas de debat.
Apres, c'est pas la mort non plus.
-
Encore une fois, vous n'allez pas apprendre l'informatique aux équipes d'Orange.
En fait tu adules orange c'est ca ?
Installer ou renouveler un certificat ssl tu sais que c'est le niveau zero en terme de compétences pour la gestion d'un serveur web ? Ou bien tu n'en rend pas comptes ?
-
Je peux quand même dire que gérer le renouvellement de certificats pour des milliers de sites web, c'est un peu plus que le niveau zéro.
Le problème est plus du côté Orange, de sa réputation, du fait que le site de la boutique Orange ait été inaccessible pour les utilisateurs utilisant Firefox (mais oui, il en reste !, dont moi), qui n'ont pas pu passer de commande pendant ces quelques heures, donc une perte de chiffre d'affaire pour Orange.
-
Autre oubli d'Orange : créditer OpenStreetMap
Mon premier diagnostique serait que y a des gens de l'equipe infra web Orange qui sont pas encore revenus de vacances :)
-
Je peux quand même dire que gérer le renouvellement de certificats pour des milliers de sites web, c'est un peu plus que le niveau zéro.
Effectivement. Mais si pour eux c'est un probleme, va falloir virer des gens c'est sur.
Le problème est plus du côté Orange, de sa réputation, du fait que le site de la boutique Orange ait été inaccessible pour les utilisateurs utilisant Firefox (mais oui, il en reste !, dont moi), qui n'ont pas pu passer de commande pendant ces quelques heures, donc une perte de chiffre d'affaire pour Orange.
On est d'accord.
Apres la perte de CA je pense qu'ils s'en tapent, surtout un week-end.
-
C'est sympa ce topic, j’attends avec impatience le prochain post du troll/bot Powered by Orange !
-
Autre oubli d'Orange : créditer OpenStreetMap sur la carte https://reseaux.orange.fr/nos-reseaux/modernisation-des-reseaux/evolution-de-la-telephonie-fixe-et-internet
La honte ;D
edit: ils s'en sont rendus compte, c'est réparé https://github.com/openstreetmap/tile-attribution/issues/141
-
Le certificat "Let's Encrypt" du site vitrine "orange.com" a bien été remplacé par un Digicert.
Le certificat "Let's Encrypt" a bien été revoqué (et donc utilisé moins d'un jour).
Je pense qu'avec tous les messages il n'est plus possible d'affirmer que rien ne s'est passé et qu'il n'y a eu aucun problème.
-
Bon après, chez les autres, j'ai remarqué que le site institutionnel Iliad utilisait un certificat Letsencrypt, comme celui de Bouygues.com...
Je pense que c'est surtout sur ceux où l'on vend, où l'on gère ses comptes, qu'un certificat OV est nécessaire...
-
C'est pas tant utiliser let's encrypt le "problème". C'est étrange qu'il y ait eu une journée seulement avec + le soucis de certificat révoqué.
C'est pas anodin quoi, c'est ce que tout le monde remonte.
-
Oui, il est très symptomatique d'installer dans l'urgence semble-t-il un certificat Leysencrypt, puis de le révoquer un jour après pour installer un nouveau certificat Digicert.
Il semble que tous les certificats Orange aient été révoqués d'un coup samedi 13, puis renouvelés dans le week-end environ 12h après. Il s'est passé quelque chose de louche.
Mais ce que je soulignais c'est que letsencrypt est à ma surprise utilisé sur des sites institutionnels de grand groupes. Je n'aurais pas cru.
-
Au mieux, c’était "juste" un incident devops (aka quelqu'un a fait une mauvaise manipulation)
Au pire, Orange a subis une intrusion et on aura la notification CNIL une fois que l'ANSSI aura donné le go.
-
Non mais tu crois vraiment que Mme Michu sait gérer son cache de navigateur ?
Bien évidemment qu'Orange doit prendre ce genre de soucis en compte, même si ce n'est pas de sa faute.
Peut-être anticiper le renouvellement de quelques jours pour éviter les soucis de cache ? ::)
de ce que je comprends c'est une révocation pas une fin de date prévisible.
La semaine dernière Infomaniak a re générer les certif SSL de tout le monde suite à un piratage (qui n'a pas atteint le certifs, mais au cas où ...) Y a du avoir un patacaisse pour révoquer un certificat. Quelle couille de loup a déclenché une révocation du certificat de la boutique pour l'ouverture à la vente des iPhone 17 ?