Les erreurs SSL ne sont jamais très agréables à voir. Vous pouvez en rencontrer dans les endroits les plus inattendus, car personne n’est “immunisé” contre eux, même des entreprises puissantes comme Microsoft. Cette semaine, les utilisateurs du navigateur web Mozilla Firefox n’ont pas pu accéder à Microsoft.com et à ses sous-domaines. Des rapports internationaux ont indiqué que l’erreur provenait de Firefox lui-même, car tous les sites web de Microsoft étaient accessibles via Chrome et d’autres navigateurs.
Un rapide coup d’œil au journal des erreurs et au message qui l’accompagne a permis de trouver le coupable :
MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING” et le message “The OCSP response does not include a status for the certificate being verified” (La réponse OCSP ne contient pas d’état pour le certificat en cours de vérification) aident à trouver la cause du problème.
OCSP signifie Online Certificate Status Protocol, une méthode permettant aux navigateurs de déterminer la validité d’un certificat SSL au lieu de s’appuyer sur les listes de révocation traditionnelles. Cependant, l’OCSP original présente quelques lacunes, qui sont améliorées par une fonction appelée Agrafage OCSP .
Avec l’agrafage OCSP, le serveur web interroge l’autorité de certification sur l’état du certificat SSL, et l’autorité de certification fournit une réponse numérique hautement sécurisée et horodatée. Désormais, lorsque le serveur web se connecte à un navigateur, il lie l’horodatage signé au certificat SSL, ce qui accélère la vérification. Au lieu d’atteindre l’autorité de certification, le navigateur vérifie l’horodatage du serveur et, comme il provient d’une autorité de certification fiable, il fait confiance au certificat.
L’agrafage OCSP est activé par défaut dans Firefox depuis 2013. Voici ce que pense Dana Keeler de Mozilla de la façon dont l’agrafage OCSP améliore le protocole OCSP :
L’agrafage OCSP résout ces problèmes en faisant en sorte que le site lui-même demande périodiquement à l’autorité de certification une déclaration d’état signée et qu’il envoie cette déclaration dans le cadre de la poignée de main au début des nouvelles connexions HTTPS. Le navigateur prend cette réponse signée et agrafée, la vérifie et l’utilise pour déterminer si le certificat du site est toujours digne de confiance. Si ce n’est pas le cas, il sait que quelque chose ne va pas et doit mettre fin à la connexion. Sinon, le certificat est correct et l’utilisateur peut se connecter au site.
L’agrafage OCSP a fonctionné comme prévu pendant toutes ces années, mais il semble qu’un bogue a montré sa présence 8 ans après son introduction. Qu’est-ce qui l’a déclenché ?
Quelle est la cause de l’erreur d’agrafage OSCP ?
En 2013, Firefox ne reconnaissait pas encore les hachages de la famille SHA-2, tels que SHA-256, dans les champs CertID présents dans les réponses OCSP qu’il reçoit. Ainsi, tout certificat contenant des hachages SHA-256, par opposition à l’ancien SHA-1, est considéré comme invalide et conduit Firefox à mettre fin à la connexion avec le site web.
Comment corriger l’erreur SSL de Firefox ?
Jusqu’à ce que Mozilla résolve ce problème, vous devez désactiver l’agrafage OCSP dans Firefox pour accéder aux sites web de Microsoft. Voici comment procéder :
- Type about:config dans la barre d’adresse et appuyez sur Entrée.
- Cliquez sur le bouton Accepter le risque et continuer en suivant le bouton Procéder avec prudence d’avertissement.
- Dans le champ Nom de la préférence de recherche tapez “stapl”.
- Les deux paramètres suivants apparaîtront :
security.ssl.enable_ocsp_must_staple true
security.ssl.enable_ocsp_stapling true - Double-cliquez sur chacun de ces paramètres pour les désactiver.
- Les changements prennent effet immédiatement. Vous devriez maintenant pouvoir accéder au site web de Microsoft sans problème.
Mise à jour de Firefox
Comme prévu, Firefox a rapidement corrigé l’erreur dans la version 95.01 . Voici ce que disent les notes de mise à jour :
Correction des messages d’erreur fréquents MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING lors de tentatives de connexion à divers domaines microsoft.com.
Si vous avez rencontré d’autres erreurs de connexion SSL lors de votre navigation et que vous cherchez une solution rapide, consultez notre page consacrée aux erreurs SSL. Nos tutoriels offrent des solutions simples aux problèmes courants de Chrome et de Firefox.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10
