La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 14 septembre 2025 à 09:57:18
-
Le certificat TLS https://boutique.orange.fr/ révoqué !
Firefox qui vérifie la révocation affiche cette erreur qu'on ne peut sauter :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_1.webp)
Chrome, qui ne vérifie pas la révocation, affiche lui la page :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_2.avif)
-
SLL Labs :
(https://lafibre.info/images/ssl/202509_boutique_orange_certificat_revoque_3.webp)
-
Après test, je confirme. Cela la fout mal pour Orange, qui a une branche cyber-sécurité...
boutique.orange.fr a recours à une stratégie de sécurité HTTP Strict Transport Security (HSTS), une connexion sécurisée est obligatoire pour y accéder. Vous ne pouvez pas ajouter d’exception pour visiter ce site.
C'est sous Firefox.
P.S : il est quand même étrange que Chrome ne vérifie pas la révocation des certificats...
-
La page Wikipédia explique assez bien ce qu'est le OCSP et pourquoi Chrome ne l'utilise pas.
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
Adam Langley, Principal Software Engineer chez Google, avait écrit à ce sujet :
https://www.imperialviolet.org/2014/04/29/revocationagain.html
(toutefois le sujet me dépasse)
-
Salut à tous.
Je viens de faire le test d'accès à la boutique orange depuis mon navigateur Mozilla Firefox, aucun problème rencontré. Il se peut que le problème a été corrigé depuis 10H00 aujourd'hui.
-
Bonjour,
Tout fonctionne parfaitement sous firefox.
C'est probablement votre navigateur qui n'est pas à jour.
-
je confirme que le problème a été corrigé. ça ne fonctionnait pas ce matin et maintenant ça refonctionne :) (sur le même navigateur, ça va de soit)
et le certificat à changé du coup:
* Server certificate:
* subject: C=FR; L=ISSY LES MOULINEAUX; O=Orange SA; CN=boutique.orange.fr
* start date: Sep 14 00:00:00 2025 GMT
* expire date: Jun 8 23:59:59 2026 GMT
* subjectAltName: host "boutique.orange.fr" matched cert's "boutique.orange.fr"
* issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
* SSL certificate verify ok.
j'ai pas pensé de backup l'ancien retour avant de fermer mon terminal ce matin :( mais il me semble que l'ancien expirait en février 2026 de mémoire
-
Le certificat a bien été renouvelé à 00h00.
Les problèmes rencontrés par certains utilisateurs étaient liés au cache SSL de Firefox, qui conservait l'ancien certificat révoqué.
-
vu que ce matin à 10h30 avec une requête curl j'ai vu l'ancien certificat, ça doit être le cache de curl ... :D :D :D
@Power
je pense pas qu'il soit nécessaire de trouver des excuse à X ou Y. il y a eu un loupé, ce n'est pas très grave.
-
Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Si ton navigateur (comme Firefox) conserve en cache un ancien certificat SSL expiré, il s'agit d'un problème local lié à ton navigateur, et non d'une erreur côté Orange.
vu que ce matin à 10h30 avec une requête curl j'ai vu l'ancien certificat, ça doit être le cache de curl ... :D :D :D
@Power
je pense pas qu'il soit nécessaire de trouver des excuse à X ou Y. il y a eu un loupé, ce n'est pas très grave.
-
Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Si ton navigateur (comme Firefox) conserve en cache un ancien certificat SSL expiré, il s'agit d'un problème local lié à ton navigateur, et non d'une erreur côté Orange.
Non mais tu crois vraiment que Mme Michu sait gérer son cache de navigateur ?
Bien évidemment qu'Orange doit prendre ce genre de soucis en compte, même si ce n'est pas de sa faute.
Peut-être anticiper le renouvellement de quelques jours pour éviter les soucis de cache ? ::)
-
Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Avec un certificat qui expirait le 19 Février 2026 ? Il est clair qu'il a été révoqué, pour une raison ou une autre (crainte qu'il ait été compromis ?), puis renouvelé.
En général, le renouvellement automatique (ACME), pour un certificat d'un an, c'est 1 mois avant la date d'expiration.
-
Je remarque d'ailleurs que le certificat du site institutionnel d'Orange est un certificat Lestencrypt, et a été émis le 13 Septembre...
-
Depuis le 13 septembre 2025 à 00h00, Orange France, Orange Maroc, et d'autres entités du groupe ont commencé à renouveler les certificats SSL de leurs noms de domaine.
Ce 14 septembre à 00h00, les certificats des sous-domaines, comme boutique.orange.fr, ont également été mis à jour.
Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.
-
Et donc pourquoi ont-ils tous été renouvelés en avance hier, après révocation ? Parce qu'il y avait une crainte de compromission des certificats ?
Cela ne me parait au contraire pas du tout normal... Et un certificat letsencrypt sur un site institutionnel d'un gros opérateur comme Orange, cela parait tout à fait inhabituel. Il n'est pas OV (Organization Validation).
Cela me parait un changement en urgence, avec donc des effets de cache dans les navigateurs qui vérifient la révocation.
-
Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.
Le fil date d'aujourd'hui 9h, et vers 11h30 j'ai fait un check avec curl qui m'a donné ce certificat :
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Et c'est bien l'ancien.
% openssl ocsp -issuer DigiCert\ Global\ G2\ TLS\ RSA\ SHA256\ 2020\ CA1.pem -cert old.pem -text -url http://ocsp.digicert.com
OCSP Request Data:
Version: 1 (0x0)
Requestor List:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Request Extensions:
OCSP Nonce:
0410DA8B59DFC0026179522EF921372CAFB9
OCSP Response Data:
OCSP Response Status: successful (0x0)
Response Type: Basic OCSP Response
Version: 1 (0x0)
Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Produced At: Sep 13 15:56:26 2025 GMT
Responses:
Certificate ID:
Hash Algorithm: sha1
Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
Cert Status: revoked
Revocation Time: Sep 13 00:16:04 2025 GMT
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Signature Algorithm: sha256WithRSAEncryption
Signature Value:
9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4:
c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0:
cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8:
3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40:
1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9:
fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9:
ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e:
48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68:
9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0:
9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1:
27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61:
71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e:
30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb:
3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1:
39:89:9e:15
WARNING: no nonce in response
Response verify OK
old.pem: revoked
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Revocation Time: Sep 13 00:16:04 2025 GMT
Donc, à moins de dire que je mens, je ne vois pas trop comment curl aurait pu obtenir de manière mystérieuse l'ancien certificat. N'est-ce pas ?
Le nouveau certificat a bien été obtenu mais les Load Balancers avaient l'ancien ou que sais-je.
Ça peut arriver.
Qualys voyait aussi l'ancien.
-
Le nouveau :
* Trying [2a01:cb09:2841:4045::500a:b845]:443...
* Server certificate:
* subject: C=FR; L=ISSY LES MOULINEAUX; O=Orange SA; CN=boutique.orange.fr
* start date: Sep 14 00:00:00 2025 GMT
* expire date: Jun 8 23:59:59 2026 GMT
L'ancien :
Revocation Time: Sep 13 00:16:04 2025 GMTDonc, bon, il n'y a pas que nos Firefox pas à jour qui déconnent...
-
« Un certificat SSL qui ne dure pas un an ?! :o»
Eh oui, surprenant… sauf quand on sait ce que fait Orange.
Ici, on n’est pas chez Madame Soleil avec un site de voyance auto-signé :D.
Orange utilise un système de renouvellement automatique avec chevauchement, autrement dit : ils émettent un nouveau certificat avant même que l’ancien n’expire.
Résultat ?
Le certificat a une durée tronquée volontairement, histoire de ne pas dépasser la durée cumulée autorisée par les autorités de certification.
Mais pourquoi faire simple quand on peut faire (plus) sûr ?
Orange (comme beaucoup d’autres grandes entreprises sérieuses) applique une politique de rotation courte des certificats. En gros :
Ils n’attendent pas 12 mois pour renouveler,
Ils préfèrent faire ça tous les 6 à 9 mois,
Et ils le font automatiquement, sans stress ni alarmes de dernier moment.
Pourquoi ? Parce que : Mieux vaut une clé qui ne traîne pas trop longtemps.
Et bien sûr, pour rester dans les clous des normes sérieuses comme :
- ISO 27001 (sécurité de l’information),
- ANSSI (Référentiel Général de Sécurité),
En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.
Avec un certificat qui expirait le 19 Février 2026 ? Il est clair qu'il a été révoqué, pour une raison ou une autre (crainte qu'il ait été compromis ?), puis renouvelé.
En général, le renouvellement automatique (ACME), pour un certificat d'un an, c'est 1 mois avant la date d'expiration.
-
Et donc le certificat letsencrypt, tu l'expliques comment ? C'est sûr que c'est encore mieux, lui a une validité de trois mois, comme bientôt préconisé par Google ou Apple ! Cela, c'est une politique sérieuse !
En tout cas, il est clair que le certificat disponible ce matin sur le site des boutiques Orange était un certificat révoqué, ce qui met un gros doute sur la politique "sérieuse" de renouvellement des certificats, et l'automatisme.
-
En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.
Ok chatgpt.
-
Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ;),
Ce n'est pas compliqué à comprendre ?, tu penses vraiment être plus compétent que les équipes informatiques d’Orange ?,
Lorsqu'un navigateur comme Firefox se connecte à un site sécurisé (HTTPS), il doit vérifier que le certificat SSL/TLS du site est valide et non révoqué.
Un certificat peut être révoqué à n'importe quel moment, ici c'est à la discrétion d'Orange.
Deux méthodes principales existent pour vérifier la révocation : CRL et OCSP.
Une CRL est une liste publiée par une autorité de certification (CA) qui répertorie les certificats révoqués. Les mises à jour ne sont pas toujours fréquentes, ce qui peut entraîner un décalage dans la détection des révocations.
OCSP est une méthode plus moderne où le navigateur interroge directement un serveur OCSP (géré par la CA) pour vérifier en temps réel si un certificat est révoqué.
Firefox stocke temporairement les réponses OCSP pour éviter des requêtes répétées, améliorant ainsi la performance.
En tout cas, il est clair que le certificat disponible ce matin sur le site des boutiques Orange était un certificat révoqué, ce qui met un gros doute sur la politique "sérieuse" de renouvellement des certificats, et l'automatisme.
-
Non mais tu crois vraiment que Mme Michu sait gérer son cache de navigateur ?