Depuis quelques jours, les utilisateurs de Firefox indiquent qu'ils n'arrivent plus à accéder aux sites de Microsoft.
Le problème proviendrait d'une fonctionnalité manquante sur le navigateur, qui l'empêche de valider correctement certains certificats.
Un problème qui concerne uniquement Firefox
Si vous êtes un utilisateur de Firefox, vous avez peut-être eu la mauvaise surprise ces derniers jours de faire face à une erreur dès que vous essayez de vous connecter à un site appartenant à Microsoft. En effet, Firefox indique actuellement que le site sécurisé est non disponible et qu'il n'existe aucune version HTTPS des sites de Microsoft, que ce soit le principal ou ses sous-domaines.
Le problème est bien présent du côté du navigateur de Mozilla puisque Chrome, Edge et Safari ne présentent aucun souci pour accéder aux sites concernés. Comme relevé par BleepingComputer, le message d'erreur sur Firefox indique que « la réponse OCSP ne contient pas de statut pour le certificat en cours de vérification ».
L'OCSP est un protocole qui permet aux navigateurs et aux applications côté client de se connecter à une autorité de certification pour vérifier en temps réel le statut d'un certificat numérique. Pour éviter les baisses de performance qui viennent avec le besoin de réaliser une requête supplémentaire à chaque connexion, l'agrafage OCSP (OCSP stapling en anglais) a été mis en place. C'est désormais les sites qui font eux-mêmes la requête à l'autorité de certification de façon périodique et qui reçoivent la preuve de validité de leur certificat, horodatée et signée. Le certificat et cette preuve sont donc fournis par le site au navigateur, qui peut vérifier ces informations facilement et rapidement lors de la connexion sécurisée. Si la preuve n'est pas jugée valide par le navigateur, il peut immédiatement arrêter la connexion.
Un fix temporaire est disponible
Si les certificats des sites de Microsoft et leurs preuves de validité sont tout à fait conformes, Firefox ne les reconnaît pas comme tels et interrompt la connexion à cause d'une fonctionnalité manquante depuis 8 ans. Le navigateur ne reconnaît pas la famille de fonctions de hashage SHA-2 dans les champs CertID, ce qui signifie que tout certificat contenant des hashes SHA-2 est considéré comme invalide. Microsoft a récemment commencé à utiliser l'agrafage OCSP avec SHA-256, ce qui provoque le problème présent.
Les développeurs de Firefox ont, semblerait-il, réussi à corriger le souci et rendront le correctif disponible dans les prochaines mises à jour du navigateur. En attendant, il est possible de suivre quelques étapes afin de résoudre temporairement le problème :
- Ecrire about:config dans sa barre d'adresse et valider.
- Accepter les avertissements de Firefox.
- Dans la barre de recherche, écrire « stapling » pour que l'option security.ssl.enable_ocsp_stapling s'affiche.
- Passer sa valeur à « false ».
À noter que cette modification rend l'expérience de navigation moins sécurisée et qu'il est donc nécessaire de la remettre à « true » dès qu'un correctif officiel sera disponible ou dès que vous n'aurez plus besoin de naviguer sur un site affecté.
- 100 % développé en interne
- Fiable, efficace et stable
- Fonctionnalités d'optimisation de l'interface et de l'expérience utilisateur
Firefox n’est peut-être pas aussi rapide que Chrome et consorts, mais il n’en reste pas moins un navigateur efficace et fiable. Développée en interne sur tous les fronts, moteurs de rendu et d’exécution JavaScript compris, la solution de Mozilla se veut à la pointe du respect de la vie privée et de la protection de la confidentialité. En témoignent les nombreuses technologies maison intégrées qui contribuent à faire de Firefox un environnement sécurisé (isolation des sites, onglets sandboxés, blocages agressifs des publicités, cookies et traqueurs intersites). Cette liberté d’innovation et d’expérimentation est notamment rendue possible par l’indépendance du projet vis-à-vis de Chromium.
On pourrait éventuellement déplorer le manque de fonctionnalités destinées à approfondir l’expérience de navigation. Un bémol que compense assez efficacement la prise en charge des extensions hébergées sur le store Firefox Browser Add-ons.
Firefox n’est peut-être pas aussi rapide que Chrome et consorts, mais il n’en reste pas moins un navigateur efficace et fiable. Développée en interne sur tous les fronts, moteurs de rendu et d’exécution JavaScript compris, la solution de Mozilla se veut à la pointe du respect de la vie privée et de la protection de la confidentialité. En témoignent les nombreuses technologies maison intégrées qui contribuent à faire de Firefox un environnement sécurisé (isolation des sites, onglets sandboxés, blocages agressifs des publicités, cookies et traqueurs intersites). Cette liberté d’innovation et d’expérimentation est notamment rendue possible par l’indépendance du projet vis-à-vis de Chromium.
On pourrait éventuellement déplorer le manque de fonctionnalités destinées à approfondir l’expérience de navigation. Un bémol que compense assez efficacement la prise en charge des extensions hébergées sur le store Firefox Browser Add-ons.
Source : BleepingComputer