Ceux qui utilisent le navigateur Web Mozilla Firefox ne peuvent pas accéder à microsoft.com et à ses sous-domaines cette semaine.
Les tests effectués par EZpublish-france.fr confirment que le problème est lié aux erreurs de validation du certificat SSL. Ci-dessous, nous expliquons ce que vous pouvez faire pour résoudre le problème.
Firefox : « Échec de la connexion sécurisée » à Microsoft.com
Lorsque vous utilisez Firefox, accédez à microsoft.com ne fonctionne pas tout à fait comme prévu pour beaucoup dans le monde.
Pour confirmer, EZpublish-france.fr a effectué des tests sur Firefox 93.0 et la dernière version 95.0 (64 bits) sur un appareil macOS BigSur 11.6.
Assez sûrement, sur les deux versions de Firefox, la navigation vers https://www.microsoft.com/ renvoie une erreur ‘Secure Connection Failed’ :
Plus tôt cette semaine, rapports des utilisateurs de Firefox incapables d’accéder à certains sous-domaines Microsoft sont également apparus. Ceux-ci comprenaient docs.microsoft.com, réponses.microsoft.com, et visualstudio.microsoft.com, entre autres.
EZpublish-france.fr est incapable de reproduire les problèmes de connexion à tous ces sous-domaines, mais nous n’avons pas pu nous connecter à développeur.microsoft.com, et partenaire.microsoft.com, au moment de la rédaction.
Il semble que le certificat SSL présenté par microsoft.com et ses sous-domaines ne soit pas assez bon pour Firefox. Nous n’avons eu aucun problème à accéder aux sites Web du géant de la technologie sur Google Chrome et Safari.
Plus précisément, le code d’erreur ‘MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING‘ et le message « La réponse OCSP n’inclut pas d’état pour le certificat en cours de vérification » aident à retracer la cause du problème.
Le protocole de statut de certificat en ligne (OCSP) est un moyen pour les navigateurs et autres applications côté client de vérifier si un certificat SSL a été révoqué, au lieu de s’appuyer sur les listes de révocation.
Lorsqu’elles sont présentées avec un certificat SSL, les applications côté client peuvent se connecter à l’autorité de certification (CA) pour vérifier son statut de révocation.
L’erreur, cependant, provient d’un concept connu sous le nom de Agrafage OCSP.
L’agrafage OCSP est un moyen d’améliorer la norme OCSP d’origine en éliminant le besoin pour les applications côté client d’interroger les serveurs CA pour vérifier l’état d’un certificat. Cela réduit les coûts associés à une recherche supplémentaire et à l’amélioration des performances et de la sécurité globales.
Au lieu que l’application côté client doive faire une demande supplémentaire au serveur CA pour valider le certificat X.509 présenté par un site Web, le site Web lui-même fait des demandes périodiques à la CA et récupère une « preuve » signée éphémèrement valide du certificat. validité.
Les certificats présentés aux applications côté client sont accompagnés de cette réponse horodatée signée qui peut être vérifiée de manière triviale par l’application côté client pour vérifier l’état du certificat.
Si « l’agrafage OCSP » est activé sur une application, telle qu’un navigateur Web, l’application peut décider de mettre fin à la connexion sécurisée pour les certificats jugés invalides, en fonction de la réponse jointe au certificat.
Ou, comme Dana Keeler de Mozilla explique ce:
L’agrafage OCSP résout ces problèmes en demandant au site lui-même de demander périodiquement à l’autorité de certification une déclaration de statut signée et en envoyant cette déclaration lors de la prise de contact au début des nouvelles connexions HTTPS. Le navigateur prend cette réponse signée et agrafée, la vérifie et l’utilise pour déterminer si le certificat du site est toujours digne de confiance. Sinon, il sait que quelque chose ne va pas et il doit mettre fin à la connexion. Sinon, le certificat est bon et l’utilisateur peut se connecter au site.
Mais, si le certificat SSL de Microsoft.com est par ailleurs valide, selon Chrome et Safari, pourquoi Firefox ne l’acceptera-t-il pas ?
Un bug de 8 ans à blâmer ?
Il paraît que un bug de 8 ans dans Firefox, ou une fonctionnalité manquante, est à l’origine du problème.
Firefox n’a pas encore reconnu le Famille de hachage SHA-2, comme SHA-256, dans le ID de certificat champs qui sont présents dans les réponses OCSP qu’il reçoit.
En tant que tel, tout certificat contenant les hachages SHA-256, par opposition à l’ancien SHA-1, est considérée comme invalide et oblige Firefox à mettre fin à la connexion avec le site Web.
Au cours des dernières heures, les développeurs de Firefox ont réussi à travailler sur un correctif qui devrait atterrir dans une prochaine version.
Que peuvent faire les utilisateurs de Firefox en attendant ?
Une solution de contournement rapide pour résoudre les problèmes de connexion consiste à désactiver temporairement l’agrafage OCSP dans Firefox, comme l’a confirmé EZpublish-france.fr.
- Pour ce faire, les utilisateurs de Firefox doivent taper à propos de:config dans leur barre d’adresse et appuyez sur Entrée ou Returnal.
- Vous devrez ensuite cliquer sur le bouton « Accepter le risque et continuer », à la suite de la Procéder avec prudence message d’alerte.
- Dans la zone de texte « Nom de préférence de recherche », tapez « stapl » (pas de « e » à la fin) et les deux paramètres suivants devraient apparaître :
- security.ssl.enable_ocsp_must_staple vrai
- security.ssl.enable_ocsp_stapling vrai
- Double-cliquez sur chacun de ces paramètres pour les basculer sur « faux »
Le changement prend effet presque instantanément (donc pas besoin de chercher un bouton ‘enregistrer’).
Vous devriez maintenant pouvoir parcourir microsoft.com et ses sous-domaines sans aucun problème.
Une fois que Firefox a publié une mise à jour pour remédier à la cause, accédez à à propos de:config en suivant les étapes susmentionnées pour définir à nouveau l’agrafage OCSP sur « vrai » pour une expérience de navigation sécurisée.