Auteur Sujet: Le certificat TLS https://boutique.orange.fr/ révoqué ! (Lu 1778 fois)

Power · « **Réponse #24 le:** **Aujourd'hui** à 15:13:18 »

Apportez moi la preuve d'un curl.
Si vous êtes un pro, ne venez pas avec des machins qui affichent "Clear cache" , comme en pièce jointe.

Vous manquez visiblement de culture informatique, c'est désolant.

Citation de: alain_p le Aujourd'hui à 14:57:46

Et curl, il garde en cache les certificats SSL ?

hwti · « **Réponse #25 le:** **Aujourd'hui** à 15:33:10 »

Les certificats de www.orange.fr, mail.orange.fr, imap.orange.fr (et probablement d'autres) ont été révoqués dans la nuit de vendredi à samedi (ça s'étale sur plusieurs heures).
Ils ont été remplacés vers 16h hier.

Donc boutique.orange.fr semble avoir eu le même problème 1 jour plus tard.

Citation de: Power le Aujourd'hui à 13:01:30

Ce 14 septembre à 00h00, les certificats des sous-domaines, comme boutique.orange.fr, ont également été mis à jour.

Le 14/09 à 0h00 GMT, c'est l'heure de début de validitié.
Mais dans "SCT intégrés", on voit que le certificat de boutique.orange.fr a en fait été signé à 10h41 (Sun, 14 Sep 2025 08:41:58 GMT).

Citation de: Power le Aujourd'hui à 14:43:50

Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ,

Non, la seule chose que Firefox peut conserver, c'est la réponse OCSP.
Pour certains utilisateurs, Firefox / Thunderbird acceptaient toujours les anciens certificats, car ils n'avaient pas interrogé le serveur OCSP depuis quelques jours.

Hugues · « **Réponse #26 le:** **Aujourd'hui** à 15:52:19 »

Citation de: Power le Aujourd'hui à 14:43:50

Ton souci venait du cache de ton navigateur firefox qui conservait l'ancien certificat révoqué. ,
Ce n'est pas compliqué à comprendre ?, tu penses vraiment être plus compétent que les équipes informatiques d’Orange ? mdr

C'est bien hein mais c'est faux.
https://x.com/Julien_Jay/status/1967151089721164006

En fait je crois que t'as pas bien compris comment marchait SSL, tu ne peux pas mettre en cache un certificat, c'est un handshake client/serveur, si le serveur présente un certificat révoqué, ça ne marchera pas, si le serveur présente un certificat valide, ça marchera, c'est aussi simple que ça, OCSP n'a rien a voir la dedans. On pourrait en discuter si le souci était que le certificat révoqué était affiché comme valide, mais pas dans le cas inverse.

acut3 · « **Réponse #27 le:** **Aujourd'hui** à 16:10:18 »

Sur crt.sh on voit qu'Orange émet normalement pour boutique.orange.fr un certificat en début d'année, valable pour un an. Ils ne sont pas normalement révoqués manuellement : Orange produit juste un nouveau certificat un peu avant l'expiration de l'ancien (comme il est d'usage).

Le certificat en question (https://crt.sh/?id=20992657742&opt=ocsp) a été révoqué le 2025-09-13 à 00:16:04 UTC, à la fois via OCSP et CRL, alors qu'il était normalement valide jusqu'au 2026-02-19.

Un nouveau certificat (https://crt.sh/?id=21010119072&opt=ocsp) a ensuite été émis le 2025-09-14 vers 08:41:58 UTC.

Ce n'est (évidemment) pas un problème de cache.

Si Firefox c'est plaint et Chrome non, c'est parce que OCSP est checké plus fréquemment, et Chrome n'utilise pas OCSP. Pour CRL, et pour éviter de récupérer systématiquement les listes de tous les CA, les browsers utilisent des listes "consolidées" qui ne sont mises à jour que ponctuellement. Sur crt.sh on voit bien que même si le certificat a été révoqué dans CRL, les listes de révocation "consolidées" utilisées par Google, Mircrosoft et Mozilla n'ont pas encore été mise à jour.

Bref pour le coup c'est Firefox qui avait raison, et Chrome qui laissait tout le monde utiliser un certificat révoqué (mais ce n'est pas vraiment une situation critiquable, puisque la tendance globale est d'abandonner OCSP).

alain_p · « **Réponse #28 le:** **Aujourd'hui** à 16:24:20 »

Citation de: Power le Aujourd'hui à 15:13:18

Apportez moi la preuve d'un curl.

Voir un post juste un peu au-dessus :

Citation de: JeannotPlanche le Aujourd'hui à 13:11:37

Le fil date d'aujourd'hui 9h, et vers 11h30 j'ai fait un check avec curl qui m'a donné ce certificat :
Code: [Sélectionner]
-----BEGIN CERTIFICATE----- MIIG5jCCBc6gAwIBAgIQCvsITjFzxrvXsTf+NhscrzANBgkqhkiG9w0BAQsFADBZ MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMTMwMQYDVQQDEypE aWdpQ2VydCBHbG9iYWwgRzIgVExTIFJTQSBTSEEyNTYgMjAyMCBDQTEwHhcNMjUw MTIwMDAwMDAwWhcNMjYwMjE5MjM1OTU5WjB0MQswCQYDVQQGEwJGUjEWMBQGA1UE CBMNSUxFLURFLUZSQU5DRTEcMBoGA1UEBxMTSVNTWSBMRVMgTU9VTElORUFVWDES MBAGA1UEChMJT3JhbmdlIFNBMRswGQYDVQQDExJib3V0aXF1ZS5vcmFuZ2UuZnIw ggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDoliu/nBHjIgHfkvv6Bbxg 19ZxoIYH0/DTyXaj2ZvFFxbytdk9J+BHgdoo1DY2GqDXNkfbIJSdmV8Vm67PQKVo Vc+UrXECv8XCapQLEG43l3DGdYOcD/qQdIByl5Xf00aW1LdmGz6ymr0RGJfuQXyP uWLbrsAMhgYf1hbrP+ljjMfB+eJTKOIxsWAAhynIGAs6CX28g2Wk74OUyKU4iKM2 O+vnTzuCAeWY4XN61FtTGEUY9Vdb4O750aHb6HJBkjAcuJMpegVg9/haaoeBL66X 2eYRA6BnH4Nv6+5Vbwq4xDBmVojr5C5EncgJ59B/VkMuYZqOeuBDToo2WISjYKw9 AgMBAAGjggONMIIDiTAfBgNVHSMEGDAWgBR0hYDAZsffN97PvSk3qgMdvu3NFzAd BgNVHQ4EFgQUwtmHa7ahpPYUrh8k6mfnzen9WVowHQYDVR0RBBYwFIISYm91dGlx dWUub3JhbmdlLmZyMD4GA1UdIAQ3MDUwMwYGZ4EMAQICMCkwJwYIKwYBBQUHAgEW G2h0dHA6Ly93d3cuZGlnaWNlcnQuY29tL0NQUzAOBgNVHQ8BAf8EBAMCBaAwHQYD VR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMIGfBgNVHR8EgZcwgZQwSKBGoESG Qmh0dHA6Ly9jcmwzLmRpZ2ljZXJ0LmNvbS9EaWdpQ2VydEdsb2JhbEcyVExTUlNB U0hBMjU2MjAyMENBMS0xLmNybDBIoEagRIZCaHR0cDovL2NybDQuZGlnaWNlcnQu Y29tL0RpZ2lDZXJ0R2xvYmFsRzJUTFNSU0FTSEEyNTYyMDIwQ0ExLTEuY3JsMIGH BggrBgEFBQcBAQR7MHkwJAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmRpZ2ljZXJ0 LmNvbTBRBggrBgEFBQcwAoZFaHR0cDovL2NhY2VydHMuZGlnaWNlcnQuY29tL0Rp Z2lDZXJ0R2xvYmFsRzJUTFNSU0FTSEEyNTYyMDIwQ0ExLTEuY3J0MAwGA1UdEwEB /wQCMAAwggF9BgorBgEEAdZ5AgQCBIIBbQSCAWkBZwB1AA5XlLzzrqk+MxssmQez 95Dfm8I9cTIl3SGpJaxhxU4hAAABlINVMigAAAQDAEYwRAIgXe2pWBAFDQBMvtG9 kiLajjeR2wry51ltiuas+YgmWZsCIBRRDWEJT9HkREzL1Kq/dnf2tawEOS7fySdO lJjqjRVYAHYAZBHEbKQS7KeJHKICLgC8q08oB9QeNSer6v7VA8l9zfAAAAGUg1Uy XAAABAMARzBFAiBm24lWsLIuAdaWqQSdLXsft8szr48AylOuB82vnWGXBwIhAI1A Oe9vZU2T/56TaZ4rxZFv6hUIQ8Oyc1E1wcaMsaipAHYASZybad4dfOz8Nt7Nh2Sm uFuvCoeAGdFVUvvp6ynd+MMAAAGUg1UycAAABAMARzBFAiEA4oPpjiS8SoE58Tp2 ZrpA7erd7Ad53fOF4NDMiTEw9oECIC+KGbkUEPgqml3jvb3eRyihlEGXgY+KjEGX MHLNnNvrMA0GCSqGSIb3DQEBCwUAA4IBAQCm36UCiU1Yo2j3bRHzT2F0PWrkXQ02 DNXiDKfjchXY6/3q4SefAiTgVuYteyFH4eVKZ4G+qu4qaLUjYX08iB2JUBvk1ab/ ehDRSsLHVYft0cGdPC3UvScfp4Mtp/s/5uNimNfwjcoXqesNX4+apUSe3u2tdct8 zh9S0jckZW8aNxjiFTgMJj4X19QRAi+bHn6wGuuOQquMcENTEKHNdh4g4qllpUgd odV18LNnnY/TyQqV/qIwflX9/L1Iz30Syg1EZfe4VX6Lm86lJw5VAJmFJSIRWilE sae4sd5lOQica/mR8mnXr+ZpXXnxbkxJf4Trqw9XIC5VkmOhhFFnSX+h -----END CERTIFICATE-----
Et c'est bien l'ancien.
Code: [Sélectionner]
% openssl ocsp -issuer DigiCert\ Global\ G2\ TLS\ RSA\ SHA256\ 2020\ CA1.pem -cert old.pem -text -url http://ocsp.digicert.com OCSP Request Data: Version: 1 (0x0) Requestor List: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789 Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17 Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF Request Extensions: OCSP Nonce: 0410DA8B59DFC0026179522EF921372CAFB9 OCSP Response Data: OCSP Response Status: successful (0x0) Response Type: Basic OCSP Response Version: 1 (0x0) Responder Id: 748580C066C7DF37DECFBD2937AA031DBEEDCD17 Produced At: Sep 13 15:56:26 2025 GMT Responses: Certificate ID: Hash Algorithm: sha1 Issuer Name Hash: A7C4B8B3DC5BB5581EA7D7F13AC569F56F48D789 Issuer Key Hash: 748580C066C7DF37DECFBD2937AA031DBEEDCD17 Serial Number: 0AFB084E3173C6BBD7B137FE361B1CAF Cert Status: revoked Revocation Time: Sep 13 00:16:04 2025 GMT This Update: Sep 13 15:39:10 2025 GMT Next Update: Sep 20 14:39:10 2025 GMT Signature Algorithm: sha256WithRSAEncryption Signature Value: 9f:3b:52:2b:e3:99:87:d3:e7:32:a0:30:37:e5:9b:6d:06:e4: c5:6f:fe:3f:8b:84:5c:47:12:9a:97:7a:de:ec:dd:67:ec:d0: cb:21:fb:f4:d8:78:6f:c6:11:93:af:f8:d1:35:74:43:e6:b8: 3e:7f:b7:da:09:a4:3b:7e:d3:7d:6c:a7:17:8d:da:67:d2:40: 1f:9d:b7:8f:b4:40:70:c2:92:34:bb:fe:a4:81:a0:90:bd:f9: fe:15:29:60:ec:3b:d0:d2:7c:97:86:59:9b:08:1a:86:08:d9: ea:e8:1a:e8:ff:56:7a:07:c6:48:3d:45:e5:51:db:43:04:3e: 48:5b:62:c4:08:bf:e8:97:75:b6:bc:1e:1d:99:20:07:dc:68: 9b:8c:d3:fd:e9:20:cc:60:2e:5e:43:0c:ca:38:10:aa:be:d0: 9c:9a:f8:da:55:31:13:f7:60:14:11:49:89:58:dc:5d:a0:c1: 27:34:3d:aa:0f:f5:82:2e:54:14:70:74:7e:0e:7c:a4:11:61: 71:ef:1f:8e:8b:c8:29:e0:59:04:9a:f2:c2:fb:80:fe:e8:0e: 30:51:0c:4d:79:66:87:3d:41:c7:de:00:e3:d3:bc:fd:03:fb: 3c:9b:b8:e6:66:c0:75:fe:10:3d:df:fc:06:ec:25:cc:00:e1: 39:89:9e:15 WARNING: no nonce in response Response verify OK old.pem: revoked This Update: Sep 13 15:39:10 2025 GMT Next Update: Sep 20 14:39:10 2025 GMT Revocation Time: Sep 13 00:16:04 2025 GMT
Donc, à moins de dire que je mens, je ne vois pas trop comment curl aurait pu obtenir de manière mystérieuse l'ancien certificat. N'est-ce pas ?
Le nouveau certificat a bien été obtenu mais les Load Balancers avaient l'ancien ou que sais-je.
Ça peut arriver.

Qualys voyait aussi l'ancien.

Pegasus38 · « **Réponse #29 le:** **Aujourd'hui** à 16:27:38 »

Citer

Power : Fait preuve d'une compréhension erronée des protocoles de base du web sécurisé. Son argumentation repose sur des concepts invalides (cache de certificat par le navigateur) et son ton est inversement proportionnel à sa justesse technique. C'est un exemple de l'effet Dunning-Kruger.

hwti, Hugues, alain_p : Diagnostiquent correctement le problème comme étant côté serveur, en s'appuyant sur leur expérience et des explications logiques du fonctionnement de TLS.

acut3 : Fournit l'analyse la plus pointue en utilisant des données publiques et vérifiables (crt.sh, un journal de Transparence de Certificat) et en expliquant la mécanique interne des navigateurs qui justifie les expériences utilisateur différentes.

Voilà ce que mon IA (je ne dirais pas le nom), m'a dit. Vu qu'il va répondre avec une requête ChatGPT, je prends de l'avance

hwti · « **Réponse #30 le:** **Aujourd'hui** à 16:46:40 »

Citation de: acut3 le Aujourd'hui à 16:10:18

Si Firefox c'est plaint et Chrome non, c'est parce que OCSP est checké plus fréquemment, et Chrome n'utilise pas OCSP. Pour CRL, et pour éviter de récupérer systématiquement les listes de tous les CA, les browsers utilisent des listes "consolidées" qui ne sont mises à jour que ponctuellement. Sur crt.sh on voit bien que même si le certificat a été révoqué dans CRL, les listes de révocation "consolidées" utilisées par Google, Mircrosoft et Mozilla n'ont pas encore été mise à jour.

Bref pour le coup c'est Firefox qui avait raison, et Chrome qui laissait tout le monde utiliser un certificat révoqué (mais ce n'est pas vraiment une situation critiquable, puisque la tendance globale est d'abandonner OCSP).

Pour être précis, Chrome supporte quand même l'OCSP Stapling (qui permet au serveur de fournir la réponse OCSP dans le handshake TLS).
Mais les serveurs Orange ne l'implémentent pas, si ça avait été le cas le comportement aurait dépendu du cache côté serveurs Orange (similaire à celui de Firefox sur l'OCSP).

Power · « **Réponse #31 le:** **Aujourd'hui** à 16:54:46 »

Si on prend la peine de lire votre capture d’écran, on constate que la réponse OCSP date bien du samedi 13/09/2025 à 15:56:26 GMT, et non d’aujourd’hui, le 14/09/2025.
Pour information, le nouveau certificat SSL du sous-domaine https://boutique.orange.fr , a, lui, été publié aujourd’hui, le dimanche 14/09/2025.

Encore une fois, vous n'allez pas apprendre l'informatique aux équipes d'Orange.

Citation de: alain_p le Aujourd'hui à 16:24:20

Voir un post juste un peu au-dessus :

thib_au · « **Réponse #32 le:** **Aujourd'hui** à 17:04:51 »

Citation de: Power le Aujourd'hui à 14:10:12

En résumé : Ce n’est pas un bug, ni un oubli. C’est un choix réfléchi pour une gestion plus propre, plus sécurisée, et surtout automatisée.

La gestion des certificats est bien automatisée tout comme le "bug" qui à causé leur révocation dans la nuit d'hier.

Hugues · « **Réponse #33 le:** **Aujourd'hui** à 17:21:09 »

Citation de: Power le Aujourd'hui à 16:54:46

Encore une fois, vous n'allez pas apprendre l'informatique aux équipes d'Orange.

D'accord mais tu racontes quand même n'importe quoi

Power · « **Réponse #34 le:** **Aujourd'hui** à 17:31:16 »

Il faut avancer des arguments solides et les appuyer avec des preuves, ce que tu ne fais pas pour l’instant.
Tu n'as pas le niveau pour cela.

Citation de: Hugues le Aujourd'hui à 17:21:09

D'accord mais tu racontes quand même n'importe quoi

acut3 · « **Réponse #35 le:** **Aujourd'hui** à 17:33:16 »

Citation de: Power le Aujourd'hui à 16:54:46

Si on prend la peine de lire votre capture d’écran, on constate que la réponse OCSP date bien du samedi 13/09/2025 à 15:56:26 GMT, et non d’aujourd’hui, le 14/09/2025.

Je ne vois pas ce que tu essaies de nous dire ici... La date a laquelle a la réponse a été générée n'a aucune importance, il il n'y a pas de raison de générer un nouvelle réponse tant que les données de révocations n'ont pas été modifiées.

Et on ne dit pas non plus qu'Orange ne sait pas faire son boulot. On ne sait pas ce qui c'est passé, mais si un certificat a été compromis alors effectivement tu vas le révoquer immédiatement, potentiellement avant même que le nouveau certificat ait été déployé. Tout ce qu'on dit c'est qu'il y a bien eu une action "hors norme" d'Orange, et que le fait d'avoir vu un certificat révoqué n'est pas du à un problème de cache côté client, ni un problème de browser.