J’ai récemment été confronté à une erreur étrange qui n’avait visiblement l’air de se produire que dans mon navigateur Firefox: sec_error_ocsp_unknown_cert (en référence à un certificat SSL). En même temps, je n’utilise que celui-ci de manière régulière, donc je pense que cette constatation est à mettre entre de grosses pincettes. Toujours est-il qu’Internet Explorer s’illustrait parfaitement dans ce cas, et j’ai compris plus tard ce dont il s’agissait. Je partage donc avec vous cette expérience car j’ai trouvé étonnamment peu d’information « prémâchée » sur Internet à ce sujet.

Cette erreur est intervenue après que j’aie du mettre à jour un certificat SSL pour l’un de mes domaines, certificat qui arrivait à expiration quelques jours plus tard. Comme il s’agit d’un site ne générant pas de trafic monétaire, j’ai foncé chez StartSSL pour en obtenir un nouveau, gratuitement. Je conseille d’ailleurs au passage StartSSL à celles et ceux qui voudraient bénéficier d’un certificat gratuit, tout en les mettant en garde sur la qualité potentiellement relative de ce dernier. Je n’utiliserais pas ce service pour un site plus important ou traitant des transactions financières, par exemple. Pour le reste, ça va plutôt bien. (note: je n’ai pas d’actions chez eux et ce n’est pas un placement de produit, juste un service que j’aime bien 😉 )

J’ai donc généré un nouveau certificat et l’ai publié sur le serveur assez rapidement. Puis, comme d’accoutumée, je l’ai testé en live pour voir comment ça tournait. Et là, c’est le drame…

Le certificat apparaît comme « invalide » alors qu’il a été réalisé il y a peu de temps et que sa date de validité est bel et bien correcte. Après une vérification approfondie, tout ce qui concerne le certificat paraît bien. J’ai donc décidé de chercher ce que pouvait bien signifier « OCSP » et je suis tombé sur cet article Wikipedia (bien sûr, pourquoi ailleurs ?).

En quelques mots, OCSP désigne un « Online Certificate Status Protocol », qui permet d’indiquer si un certificat est valide ou s’il est révoqué. Cela permet, en quelques sortes, de faire la même chose que lorsque l’on publie un certificat de révocation pour une clé PGP. Le serveur doit donc, sur demande du navigateur, attester que le certificat SSL affiché n’est pas révoqué et est dans un état convenable.

La feinte, c’est que le certificat venait tout juste d’être publié par StartSSL et que, vraisemblablement, il existe un délai de propagation sur leurs serveurs effectuant la liaison OCSP. Voilà tout. Donc si vous publiez un nouveau certificat, veillez à le faire dans un temps convenable. Pour ma part, l’erreur s’est résorbée deux ou trois heures après l’émission du certificat. C’est jouable, à mon avis.

Il semble qu’OCSP ne soit pas encore officiellement standardisé au sens de l’IETF (voir la RFC6960 en cours), donc j’ai un peu plus de mal à taper sur les doigts d’IE qui n’a pas détecté le problème. Et puis, d’après ce que Wikipédia raconte, il semblerait que cette méthode ne soit pas efficace à 100% pour éviter les fraudes. Reste que ça doit bien embêter quand c’est en place quand même, autant les méchants pirates que les gentils webmasters… ou l’inverse, je ne sais plus avec le temps…

Source de l’image: Pixabay.