Faute avouée à moitié pardonnée : « GoDaddy a introduit par inadvertance un bug durant un changement de code routinier qui avait pour but d’améliorer notre processus d’émission des certificats. Le bug a causé l’échec du processus de validation dans certaines circonstances ». Au moins, le registrar américain ne tourne pas autour du pot et avoue sa faute.

Pourtant, cette erreur aurait pu lui coûter cher. De plus, elle a touché environ 6 100 clients et 9 000 certificats. « Le bug a été résolu », écrit encore GoDaddy qui précise avoir révoqué les certificats touchés le 10 janvier dernier. « Nous travaillons activement avec nos clients pour rééditer leurs certificats ».

2% des certificats concernés

Concrètement, le bug leurrait involontairement les systèmes de validation de l’autorité dans certaines configurations serveur Web spécifiques. Dans un cas normal, le registrar fournit à un éditeur de site un code aléatoire qu’il doit placer à un endroit précis. Une fois trouvé et validé par l’autorité, le certificat est validé. Or avec le bug, le système validait le code même sans l’avoir trouvé.

Pour les clients touchés, il leur suffit d’initier un nouveau processus de certificat depuis l’interface Web du site GoDaddy. « Nous avons émis près de 10 millions de certificats depuis 2004. C’est la première fois que nous faisons face à un problème de cette nature, et bien que seule une fraction mineure des certificats de nos clients ait été impactée, nous ne prenons pas cela à la légère », lit-on encore. 2% des certificats émis auraient été concernés par le problème. GoDaddy met une FAQ à disposition des clients sur son blog.