GlobalSign Revocation Fejl

Status opdateret: 14. oktober 2016 11:30

Historik
  • Omkring kl. 13:10, den 13. oktober 2016 har GlobalSign haft et problem, ved lukning af et gammelt Cross Signing certifikat.

  • Derefter svarede deres OCSP service at intermediate certifikater var trukket tilbage, selv om de ikke var det.

  • Efterfølgende har de stoppet fejlen og cirka klokken 16 begyndte OCSP servicen at svare korrekt igen.

  • Klienter som har tilgået certifikater fra GlobalSign (og AlphaSSL) i ovenstående periode har fået et svar om at certifikatet eller intermediate certifikatet er trukket tilbage


Problemet nu
Selv om fejlen er rettet, vil klienter der tilgik GlobalSign websites i nedetiden, huske at intermediate certifikaterne er tilbagekaldt, i op til 4 døgn, maksimalt omkring 17. oktober kl. 16:00.

Disse klienter vil have problemer med alle websites og services, der bruger berørte GlobalSign certifikater, ikke kun de sites de tilgik. Der vil altså være en mindre gruppe klienter, som har problemer frem til mandag.
(Problemet berører ikke GlobalSign EV certifikater.)


Mulige løsninger, prioriteret efter anbefaling

  1. Skift Intermediate certifikat
    GlobalSign/AlphaSSL laver nye intermediate certifikater, som kan indsættes på serveren og få eksisterende certifikater til at virke igen, uanset klient.
    Nuværende intermediate fjernes og det nye installeres på serveren, uden at genudstede/ændre nuværende servercertifikat. En IIS vil skulle bruge en IISRESET eller fuld server genstart for at opdage det nye intermediate certifikat.
    Intermediate certifikaterne for GlobalSign/AlphaSSL og installationsvejledning kan findes hos GlobalSign her.

  2. Skift udsteder
    Konkurrent opgrader nuværende certifikat og flyt resterende tid til et nyt certifikat, ved tilkøb af 1-3 år. Bemærk at tid udover 3 år, ikke tilføjes certifikatet (det mistes).
    Lav en bestilling, skriv "OPGRADERING" i kommentar feltet, så hjælper vi med at sikre tid overføres til det nye certifikat og ændrer prisen på CSR service til gratis.
    Samtidigt har vi presset prisen yderligere ned på relevante RapidSSL, GeoTrust, Thawte og Symantec produkter.

    Anbefalet erstatninger:
    • AlphaSSL - RapidSSL
    • AlphaSSL Wildcard - Thawte 123 SSL Wildcard
    • GlobalSign Domain (SAN) SSL - GeoTrust QuickSSL Multi Domain
    • GlobalSign Organization (SAN) SSL - Symantec Secure Site/GeoTrust TBID Multi Domain
  3. Slå OCSP tjek fra på klient
    Via en registry ændring, kan man slå CRL/OCSP tjek fra på den enkelte klient.
    Dette er primært en midlertidig løsning, der kan anvendes indtil mandag aften, hvis man har kontrol over påvirkede klienter, fx via GPO/Login script.
    Sæt registry keyen [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\] til DWORD 0 (nul). Genstart din browser/computer der ikke længere skulle tjekke OCSP/CRL og derved ikke få fejlen.
    Registry key
    HUSK at skifte nøglen tilbage til 1 efter på mandag.
  4. Tøm CRL/OCSP cache på klient
    Visse brugere har oplevet at de kan rense OCSP/CRL cache fra deres maskine ved at lukke alle browsere og køre følgende kommando:
    certutil -urlcache * delete   (gentag flere gange, indtil slettede siger 0)

    Det er dog ikke samtlige maskiner det virker på og virker kun for den ene maskine det udføres på. Det hjælper altså ikke for en service eller websites som er offentlige mod kunder.

  5. Info: Vi har prøvet at genudstede enkelte certifikater, dette hjælper dog ikke da intermediate certifikatet er ramt.


Mere information
Live status opdateringer fra GlobalSign Twitter Alerts
GlobalSign vejledning til fejlrettelse
GlobalSign FAQ om problemet

Vi beklager meget de gener som fejlen hos GlobalSign medfører og gør vores bedste for at hjælpe.
Vi opdaterer løbende denne side, når vi har mere information.
Vi har telefonerne åbent fra 8.00 til 23.00 torsdag-fredag. Samt forventer at have åbent dele af weekenden.

Har I brug for hjælp, er I meget velkomne til at ringe eller skrive en besked med direkte telefonnummer så ringer vi tilbage.
Tlf. +45 77 345 678 - info@fairssl.dk