Ça "ou quelque chose de ce genre" à simple titre d'exemple, je serai satisfait par n'importe quelle solution intelligente qui permette l'accès continu à ces sites sans compromettre la sécurité si c'est possible.
Le problème se produit sur le navigateur de l'utilisateur, c'est donc là qu'il doit être d'abord résolu, et au moment exact où l'erreur se produit, parce qu'un black-out de 24 heures du courriel de millions d'utilisateurs n'est pas tolérable. Ce qui ne dispense pas le site de corriger définitivement la faute (et sans doute pas en demandant une exception).
C'est exact, Chrome utilise un autre système, les Listes de Révocation de Certificat (CRL), et ils font aussi partie du groupe de travail visant à améliorer le protocole OCSP. Si seul Mozilla l'implémente strictement, c'est sans doute qu'il y a une raison, Google et Microsoft ne sont pas tout à fait des incompétents question sécurité.Cela dit les certificats OCSP ne servent à rien vis-à-vis de Chrome
Ce n'est pas normal, tu as raison, mais les listes de révocation ne le permettent apparemment pas, puisque le principe, ce n'est pas que chacun des millions d'utilisateurs demande à vérifier un même certificat jusqu'à des dizaines de fois par jour, c'est Google qui le fait une fois par certificat de temps en temps, ce qui fait qu'un certificat périmé peut être toujours valide dans la liste récente.Chrome ne mets même pas de messages comme quoi il y a un certificat invalide
Le problème est lié au certificat qui authentifie le site, pas au domaine. Je ne sais pas s'il est facile ou possible ou simple d'acheter un certificat qui appartient à une autre société. Je suppose que l'Autorité de Certification (AC) qui délivre ces certificats va au minimum essayer de contacter l'ancien propriétaire avant de l'accorder à n'importe qui, voire le renouveler automatiquement pour leurs bons clients.entre temps le domaine aura été racheté par des escrocs
L'AC aussi a foiré, ils auraient dû anticiper, ils savent mieux que personne quand leurs propres certificats expirent. Si les certificats sont protégés contre un tel risque de "vol", du coup la solution des listes de révocation est sans doute très sécurisée, et permettent l'accès continu aux sites dont les certificats ont expirés, au moins tant que le certificat n'est pas vérifié à nouveau par Google et ajouté à la liste de révocation. Cela semble beaucoup plus sécurisé que de désactiver le paramètre OCSP dans Firefox, qui désactive aveuglément la sécurité pour tous les sites SSL avec n'importe quel certificat de sécurité, et risquer d'oublier de le réactiver après coup.
Comme souvent, c'est un concours de circonstances et d'intervenants multiples qui a créé cette panique. Il aurait suffit d'un petit bout de code de gestion d'erreur plus intelligent et d'une meilleure gestion des certificats par ces intervenants pour qu'on n'entende jamais parler de ce problème.
Ça me rappelle un peu l'affaire Bedlam DL3, 200 Go et 15 millions de courriels en une petite heure, des rafales de centaines de courriels reçus par utilisateur, 2 jours pour pouvoir accéder à nouveau à sa messagerie pour un bon quart des employés Microsoft au bon temps d'Exchange. J'y étais...
https://blogs.technet.microsoft.com/exc ... 08/me-too/
Il y a même eu un t-shirt avec les meilleures réponses "Moi aussi" (enlevez-moi de cette liste de distribution) et "Ne répondez pas à toute la liste" (envoyées bien sûr à toute la liste).
http://garykac.blogspot.fr/2007/11/bedl ... h-ago.html