Cyber security

Les utilisateurs de Firefox ne peuvent pas accéder à Microsoft.com — voici ce qu’il faut faire

Ceux qui utilisent le navigateur Web Mozilla Firefox ne peuvent pas accéder à microsoft.com et à ses sous-domaines cette semaine.

Les tests effectués par BleepingComputer confirment que le problème est lié aux erreurs de validation du certificat SSL. Ci-dessous, nous expliquons ce que vous pouvez faire pour résoudre le problème.

Firefox : « Échec de la connexion sécurisée » à Microsoft.com

Lorsque vous utilisez Firefox, accédez à microsoft.com ne fonctionne pas tout à fait comme prévu pour beaucoup dans le monde.

Pour confirmer, BleepingComputer a effectué des tests sur Firefox 93.0 et la dernière version 95.0 (64 bits) sur un appareil macOS BigSur 11.6.

Dernière version de Firefox
Dernière version de Firefox (Ordinateur sonore)

Assez sûrement, sur les deux versions de Firefox, la navigation vers https://www.microsoft.com/ renvoie une erreur ‘Secure Connection Failed’ :

Erreur SSL Firefox Domaine Microsoft.com
Firefox renvoie des erreurs « Échec de la connexion sécurisée » lors de l’accès à Microsoft.com (Ordinateur sonore)

Plus tôt cette semaine, des rapports d’utilisateurs de Firefox incapables d’accéder à certains sous-domaines Microsoft sont également apparus. Ceux-ci comprenaient docs.microsoft.com, réponses.microsoft.com, et visualstudio.microsoft.com, entre autres.

BleepingComputer est incapable de reproduire les problèmes de connexion sur tous ces sous-domaines, mais nous n’avons pas pu nous connecter à développeur.microsoft.com, et partenaire.microsoft.com, au moment de la rédaction.

Il est également possible que l’erreur n’apparaisse que sur certaines mais pas toutes les tentatives en raison de plusieurs serveurs de noms associés à chaque domaine.

Apparemment, le certificat SSL présenté par microsoft.com et ses sous-domaines n’est pas assez bon pour Firefox – nous n’avons eu aucun problème à accéder aux sites Web du géant de la technologie sur Google Chrome et Safari.

Plus précisément, le code d’erreur ‘MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING‘ et le message « La réponse OCSP n’inclut pas d’état pour le certificat en cours de vérification » aident à retracer la cause du problème.

Le protocole OCSP (Online Certificate Status Protocol) est un moyen pour les navigateurs et autres applications côté client de vérifier si un certificat SSL a été révoqué, au lieu de se fier aux listes de révocation traditionnelles.

Lorsqu’elles sont présentées avec un certificat SSL, les applications côté client peuvent se connecter à l’autorité de certification (CA) pour vérifier son statut de révocation.

L’erreur, cependant, provient d’un concept connu sous le nom d’agrafage OCSP.

L’agrafage OCSP est un moyen d’améliorer la norme OCSP d’origine en éliminant le besoin pour les applications côté client d’interroger les serveurs CA pour vérifier l’état d’un certificat. Cela réduit les coûts associés à une recherche supplémentaire et à l’amélioration des performances et de la sécurité globales.

Au lieu que l’application côté client doive faire une demande supplémentaire au serveur CA pour valider le certificat X.509 présenté par un site Web, le site Web lui-même fait des demandes périodiques à la CA et récupère une « preuve » signée éphémèrement valide du certificat. validité.

Les certificats présentés aux applications côté client sont accompagnés de cette réponse horodatée signée qui peut être vérifiée de manière triviale par l’application côté client pour vérifier l’état du certificat.

Workflow d'agrafage OCSP
Explication du flux de travail d’agrafage OCSP (Mozilla)

Si « l’agrafage OCSP » est activé sur une application, telle qu’un navigateur Web, l’application peut décider de mettre fin à la connexion sécurisée pour les certificats jugés invalides, en fonction de la réponse jointe au certificat.

Ou, comme l’explique Dana Keeler de Mozilla :

L’agrafage OCSP résout ces problèmes en demandant au site lui-même de demander périodiquement à l’autorité de certification une déclaration de statut signée et en envoyant cette déclaration lors de la prise de contact au début des nouvelles connexions HTTPS. Le navigateur prend cette réponse signée et agrafée, la vérifie et l’utilise pour déterminer si le certificat du site est toujours digne de confiance. Sinon, il sait que quelque chose ne va pas et il doit mettre fin à la connexion. Sinon, le certificat est bon et l’utilisateur peut se connecter au site.

Mais, si le certificat SSL de Microsoft.com est par ailleurs valide, selon Chrome et Safari, pourquoi Firefox ne l’acceptera-t-il pas ?

Un bug de 8 ans à blâmer ?

Il semble qu’un bogue de 8 ans dans Firefox, ou une fonctionnalité manquante, soit à l’origine du problème.

Firefox n’a pas encore reconnu la famille de hachages SHA-2, comme SHA-256, dans le ID de certificat champs qui sont présents dans les réponses OCSP qu’il reçoit.

En tant que tel, tout certificat contenant les hachages SHA-256, par opposition à l’ancien SHA-1, est considéré comme invalide et oblige Firefox à mettre fin à la connexion avec le site Web.

Au cours des dernières heures, les développeurs de Firefox ont réussi à travailler sur un correctif qui devrait atterrir dans une prochaine version.

Correctif de Firefox pour la prise en charge de SHA256 dans OCSP
Correctif de Firefox pour l’ajout du support SHA256 à l’agrafage OCSP

Que peuvent faire les utilisateurs de Firefox en attendant ?

Une solution de contournement rapide pour résoudre les problèmes de connexion consiste à désactiver temporairement l’agrafage OCSP dans Firefox, comme l’a confirmé BleepingComputer.

  1. Pour ce faire, les utilisateurs de Firefox doivent taper à propos de:config dans leur barre d’adresse et appuyez sur Entrée ou Retour.
  2. Vous devrez ensuite cliquer sur le bouton « Accepter le risque et continuer », à la suite de la Procéder avec prudence message d’alerte.
  3. Dans la zone de texte « Nom de préférence de recherche », tapez « stapl » (pas de « e » à la fin) et les deux paramètres suivants devraient apparaître :
    1. security.ssl.enable_ocsp_must_staple vrai
    2. Sécurité.ssl.enable_ocsp_stapling vrai
  4. Double-cliquez sur chacun de ces paramètres pour les basculer sur « faux »
La définition des options d'agrafage OCSP dans Firefox sur « faux » est une solution de contournement (BleepingComputer)
Solution de contournement : définir les options d’agrafage OCSP dans Firefox sur « false » (Ordinateur sonore)

Le changement prend effet presque instantanément (donc pas besoin de chercher un bouton ‘enregistrer’).

Vous devriez maintenant pouvoir parcourir microsoft.com et ses sous-domaines sans aucun problème.

Une fois que Firefox a publié une mise à jour pour remédier à la cause, accédez à à propos de:config en suivant les étapes susmentionnées pour définir à nouveau l’agrafage OCSP sur « vrai » pour une expérience de navigation sécurisée.


Source link

Related Articles

Leave a Reply

Your email address will not be published.

Back to top button