От globalsign SSL-сертификаты, казалось, быть причиной проблем в последнее время для многих пользователей. Пользователи по всему миру, которые имели доступ к https сайтам обеспечены сертификатами от globalsign SSL и были проблемы доступа к этим сайтам из-за ошибки, которая произошла...ошибка отзыва.

Проблема стала видна в прошлый четверг, когда пользователи пытались получить доступ к сайтам с сертификатами от globalsign SSL и начал получать ошибки проверки сертификата. Это произошло, когда некоторые браузеры и системы интерпретируют отзыва одного из кросс-сертификатами от globalsign также в отзыве промежуточные сертификаты, которые прикованы к нему.

От globalsign работает несколько корней, все доверенные в браузерах и ОС и связаны с помощью этих сертификатов крест. Отчет об инциденте опубликовано с globalsign объясняет, как ошибка аннулирование произошло. Он говорит-

“В отзыве упражнения, которые должны были “обычным делом” для центра сертификации (CA), такие как ГМО, от globalsign,мы опубликовали список отзыва сертификатов (crl) на 7 октября, подписанный Корневым центром сертификации R2, который перечислил Кросс-сертификат с серийным номером 040000000001444ef0464e вместе с другим подчиненным сертификат с серийным номером 0400000000011256ad5fb2. Последняя есть конец жизни (eol) подчиненный ЦС, как показано ниже, имеющие ранее выданные в SHA1 SSL-сертификаты Расширенной проверки – кодов причины в обоих случаях были установлены на “прекращение работы” нет риски, связанные с закрытыми ключами и нет требования публиковать за пределами обычных процедур. Новый список crl остается доступной, благодаря нашему дистрибуции Контента переднего плана на http://crl.globalsign.com/root-r2.crl. Никакого эффекта не было видно на любых клиентов, как Кас отменяется фактически не используется проверяющей стороны. Предыдущего отзыва сертификатов истек 15 октября... в 08:00 по московскому времени 13 октября, делегированных онлайн протокола состояния сертификата (ocsp) ответчик базы данных, который служит делегирован ответы для корневого ЦС 2 (R2) в http://ocsp2.globalsign.com/rootr2 был обновлен, чтобы включать серийные номера, которые были включены в список отзыва сертификатов. Это где проблема которая создала нарушением наших клиентов вытекает...Делегирован отзыва ответчиков неверно определил, что все корневые ЦС Р1 Интермедиатов были “плохими” из-за креста сертификат отозван корневой ЦС R2 как крест имел такой же публичный ключ и имя субъекта деталей с более поздней датой.”

Инцидент докладе также отмечается, что хотя ситуация была откачена, некоторые пользователи сохранили "плохой" ответ, в то время как многие другие все еще “в прошлом "хороших" ответов от предыдущих взаимодействий с ГМО от globalsign SSL с поддержкой веб-сайтов.”

От globalsign приняло срочные меры, чтобы исправить проблему, но многие пользователи по всему миру будут еще ошибки сертификат ocsp (онлайновый протокол состояния сертификата) ответы кэшируются в браузерах и серверах. Ответы кэш, как правило, истекает через 4 дня. От globalsign также разработала альтернативу для своих клиентов, которые могут получить новые сертификаты от разных от globalsign-имено корень, который не коснулась эта проблема.

Руководство по устранению неполадок, плюс ошибки отзыва ocsp ответы также были сделаны доступными для клиентов от globalsign.