Depuis le 13 septembre 2025 à 00h00, Orange France, Orange Maroc, et d'autres entités du groupe ont commencé à renouveler les certificats SSL de leurs noms de domaine.

Ce 14 septembre à 00h00, les certificats des sous-domaines, comme boutique.orange.fr, ont également été mis à jour.
Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.

Si un utilisateur rencontre un problème lié à un certificat révoqué encore présent dans le cache de Firefox, il s'agit d'un souci local à l'utilisateur et non d’un dysfonctionnement du côté d’Orange
Il n'ya aucun débat là dessus.

Le fil date d'aujourd'hui 9h, et vers 11h30 j'ai fait un check avec curl qui m'a donné ce certificat :
-----BEGIN CERTIFICATE-----
MIIG5jCCBc6gAwIBAgIQCvsITjFzxrvXsTf+NhscrzANBgkqhkiG9w0BAQsFADBZ
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMTMwMQYDVQQDEypE
aWdpQ2VydCBHbG9iYWwgRzIgVExTIFJTQSBTSEEyNTYgMjAyMCBDQTEwHhcNMjUw
MTIwMDAwMDAwWhcNMjYwMjE5MjM1OTU5WjB0MQswCQYDVQQGEwJGUjEWMBQGA1UE
CBMNSUxFLURFLUZSQU5DRTEcMBoGA1UEBxMTSVNTWSBMRVMgTU9VTElORUFVWDES
MBAGA1UEChMJT3JhbmdlIFNBMRswGQYDVQQDExJib3V0aXF1ZS5vcmFuZ2UuZnIw
ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDoliu/nBHjIgHfkvv6Bbxg
19ZxoIYH0/DTyXaj2ZvFFxbytdk9J+BHgdoo1DY2GqDXNkfbIJSdmV8Vm67PQKVo
Vc+UrXECv8XCapQLEG43l3DGdYOcD/qQdIByl5Xf00aW1LdmGz6ymr0RGJfuQXyP
uWLbrsAMhgYf1hbrP+ljjMfB+eJTKOIxsWAAhynIGAs6CX28g2Wk74OUyKU4iKM2
O+vnTzuCAeWY4XN61FtTGEUY9Vdb4O750aHb6HJBkjAcuJMpegVg9/haaoeBL66X
2eYRA6BnH4Nv6+5Vbwq4xDBmVojr5C5EncgJ59B/VkMuYZqOeuBDToo2WISjYKw9
AgMBAAGjggONMIIDiTAfBgNVHSMEGDAWgBR0hYDAZsffN97PvSk3qgMdvu3NFzAd
BgNVHQ4EFgQUwtmHa7ahpPYUrh8k6mfnzen9WVowHQYDVR0RBBYwFIISYm91dGlx
dWUub3JhbmdlLmZyMD4GA1UdIAQ3MDUwMwYGZ4EMAQICMCkwJwYIKwYBBQUHAgEW
G2h0dHA6Ly93d3cuZGlnaWNlcnQuY29tL0NQUzAOBgNVHQ8BAf8EBAMCBaAwHQYD
VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMIGfBgNVHR8EgZcwgZQwSKBGoESG
Qmh0dHA6Ly9jcmwzLmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2JhbEcyVExTUlNB
U0hBMjU2MjAyMENBMS0xLmNybDBIoEagRIZCaHR0cDovL2NybDQuZGlnaWNlcnQu
Y29tL0RpZ2lDZXJ0R2xvYmFsRzJUTFNSU0FTSEEyNTYyMDIwQ0ExLTEuY3JsMIGH
BggrBgEFBQcBAQR7MHkwJAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmRpZ2ljZXJ0
LmNvbTBRBggrBgEFBQcwAoZFaHR0cDovL2NhY2VydHMuZGlnaWNlcnQuY29tL0Rp
Z2lDZXJ0R2xvYmFsRzJUTFNSU0FTSEEyNTYyMDIwQ0ExLTEuY3J0MAwGA1UdEwEB
/wQCMAAwggF9BgorBgEEAdZ5AgQCBIIBbQSCAWkBZwB1AA5XlLzzrqk+MxssmQez
95Dfm8I9cTIl3SGpJaxhxU4hAAABlINVMigAAAQDAEYwRAIgXe2pWBAFDQBMvtG9
kiLajjeR2wry51ltiuas+YgmWZsCIBRRDWEJT9HkREzL1Kq/dnf2tawEOS7fySdO
lJjqjRVYAHYAZBHEbKQS7KeJHKICLgC8q08oB9QeNSer6v7VA8l9zfAAAAGUg1Uy
XAAABAMARzBFAiBm24lWsLIuAdaWqQSdLXsft8szr48AylOuB82vnWGXBwIhAI1A
Oe9vZU2T/56TaZ4rxZFv6hUIQ8Oyc1E1wcaMsaipAHYASZybad4dfOz8Nt7Nh2Sm
uFuvCoeAGdFVUvvp6ynd+MMAAAGUg1UycAAABAMARzBFAiEA4oPpjiS8SoE58Tp2
ZrpA7erd7Ad53fOF4NDMiTEw9oECIC+KGbkUEPgqml3jvb3eRyihlEGXgY+KjEGX
MHLNnNvrMA0GCSqGSIb3DQEBCwUAA4IBAQCm36UCiU1Yo2j3bRHzT2F0PWrkXQ02
DNXiDKfjchXY6/3q4SefAiTgVuYteyFH4eVKZ4G+qu4qaLUjYX08iB2JUBvk1ab/
ehDRSsLHVYft0cGdPC3UvScfp4Mtp/s/5uNimNfwjcoXqesNX4+apUSe3u2tdct8
zh9S0jckZW8aNxjiFTgMJj4X19QRAi+bHn6wGuuOQquMcENTEKHNdh4g4qllpUgd
odV18LNnnY/TyQqV/qIwflX9/L1Iz30Syg1EZfe4VX6Lm86lJw5VAJmFJSIRWilE
sae4sd5lOQica/mR8mnXr+ZpXXnxbkxJf4Trqw9XIC5VkmOhhFFnSX+h
-----END CERTIFICATE-----
Et c'est bien l'ancien.
%  openssl ocsp -issuer DigiCert\ Global\ G2\ TLS\ RSA\ SHA256\ 2020\ CA1.pem -cert old.pem -text -url http://ocsp.digicert.com
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
          Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
          Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
    Request Extensions:
        OCSP Nonce:
            0410DA8B59DFC0026179522EF921372CAFB9
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
    Produced At: Sep 13 15:56:26 2025 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789
      Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17
      Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF
    Cert Status: revoked
    Revocation Time: Sep 13 00:16:04 2025 GMT
    This Update: Sep 13 15:39:10 2025 GMT
    Next Update: Sep 20 14:39:10 2025 GMT

    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4:
        c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0:
        cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8:
        3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40:
        1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9:
        fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9:
        ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e:
        48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68:
        9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0:
        9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1:
        27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61:
        71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e:
        30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb:
        3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1:
        39:89:9e:15
WARNING: no nonce in response
Response verify OK
old.pem: revoked
This Update: Sep 13 15:39:10 2025 GMT
Next Update: Sep 20 14:39:10 2025 GMT
Revocation Time: Sep 13 00:16:04 2025 GMT
Donc, à moins de dire que je mens, je ne vois pas trop comment curl aurait pu obtenir de manière mystérieuse l'ancien certificat. N'est-ce pas ?
Le nouveau certificat a bien été obtenu mais les Load Balancers avaient l'ancien ou que sais-je.
Ça peut arriver.

Qualys voyait aussi l'ancien.

« Un certificat SSL qui ne dure pas un an ?!  »

Eh oui, surprenant… sauf quand on sait ce que fait Orange.
Ici, on n’est pas chez Madame Soleil avec un site de voyance auto-signé  .
Orange utilise un système de renouvellement automatique avec chevauchement, autrement dit : ils émettent un nouveau certificat avant même que l’ancien n’expire.

Résultat ?
Le certificat a une durée tronquée volontairement, histoire de ne pas dépasser la durée cumulée autorisée par les autorités de certification.
Mais pourquoi faire simple quand on peut faire (plus) sûr ?
Orange (comme beaucoup d’autres grandes entreprises sérieuses) applique une politique de rotation courte des certificats. En gros :
Ils n’attendent pas 12 mois pour renouveler,
Ils préfèrent faire ça tous les 6 à 9 mois,
Et ils le font automatiquement, sans stress ni alarmes de dernier moment.
Pourquoi ? Parce que : Mieux vaut une clé qui ne traîne pas trop longtemps.

Et bien sûr, pour rester dans les clous des normes sérieuses comme :

- ISO 27001 (sécurité de l’information),
- ANSSI (Référentiel Général de Sécurité),


En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.

Avec un certificat qui expirait le 19 Février 2026 ? Il est clair qu'il a été révoqué, pour une raison ou une autre (crainte qu'il ait été compromis ?), puis renouvelé.

En général, le renouvellement automatique (ACME), pour un certificat d'un an, c'est 1 mois avant la date d'expiration.

En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.

Ok chatgpt.

Ok chatgpt.

Tu l'as dit avant moi...

Sinon, vous pouvez tous installez Chrome et non vos navigateurs d'un ancien temps, ayant 1% de part de marchés