Microsoft vient de faire une erreur de sécurité de base assez embarrassante

Microsoft vient de faire une erreur de sécurité de base assez embarrassante

Microsoft n'a pas réussi à renouveler le certificat pour l'une de ses pages Web plutôt importantes, provoquant le plantage du site et redirigeant les gens ailleurs.

Repéré par The Register (s'ouvre dans un nouvel onglet), le certificat du programme de test de logiciels Windows Insider a expiré le jeudi après-midi 9 juin.

Ceux qui ont essayé de visiter le site pendant cette période ont reçu le message habituel « Votre connexion n'est pas privée », et les utilisateurs de Chrome, Firefox ou Safari (s'ouvre dans un nouvel onglet) ont été avertis par les navigateurs de ne pas continuer.

Ceux qui l'ont fait ont été redirigés vers la page d'accueil de Windows avec des réponses de redirection 302 et 307, selon le message, ce qui implique que l'entreprise était déjà au courant du problème à l'époque.

certificats expirés

Depuis, le certificat a été renouvelé et le site est de nouveau opérationnel.

Parfois, les certificats expirent et ne sont pas renouvelés à temps, ce qui casse certaines choses dans le processus. En octobre 2021, l'un des plus grands services d'autorité de certification (CA) à but non lucratif a connu des niveaux élevés de renouvellements de sites Web (ouvre dans un nouvel onglet) et d'applications, provoquant des pannes majeures pour certains sites CA renommés.

En raison de l'expiration de son autorité de certification racine à signature croisée À l'époque, Let's Encrypt s'était adressé à Twitter pour conseiller aux clients concernés de visiter le forum communautaire, sans aucune promesse de résoudre le problème dans un avenir proche.

Un mois plus tard, un certificat expiré affectait Windows 11 21H2 et empêchait les utilisateurs de Windows d'ouvrir certaines applications.

En 2020, un certificat d'authentification expiré a rendu Microsoft Teams inaccessible pendant un certain temps.

Bien que les certifications expirées soient une nuisance, elles peuvent être encore pires si elles affectent les certificats racine et les services de travail, explique le message. Ce fut le cas du certificat racine hérité AddTrust de Sectigo (ouvre un nouvel onglet) qui, lorsqu'il a expiré il y a deux ans, a affecté des milliers de clients.