A partir du mercredi 22 octobre [1], Gandi peut délivrer les certificats SSL en SHA-2 pour les certificats de type Standard, Pro ou Business. Le SHA-1 et SHA-2 sont des familles de fonctions de hachages utilisées pour signer les certificats. Comme bien souvent lorsqu'il s'agit de sécurité, de nouvelles versions sont publiées lorsque des problèmes de sécurité inhérents à l'algorithme sont trouvés dans les précédentes versions. Ce qui est le cas ici pour SHA-2, qui vient progressivement remplacer SHA-1.

Il ne faut cependant pas paniquer, compromettre un certificat émis en SHA-1 reste une tâche ardue.

Notez que si vous utilisez actuellement un certificat en SHA-1 ou que vous souhaitez en acquérir un, vous ne rencontrerez aucun problème. Il s'agit d'une période de transition où les deux algorithmes sont supportés. La fin du support de SHA-1 est prévue au 1er Janvier 2017.

Les autorités de certification, navigateurs internet et les systèmes d'exploitation prennent en charge le SHA-2 pour la majorité. Vous pourrez cependant rencontrer des problèmes d'incompatibilité dans certains cas, par exemple avec Mozilla Firefox car les nouveaux certificats racine n'ont pas encore été ajoutés. Ceci est en cours du côté des différents navigateurs.

Deux possibilités s'offrent à vous :

  • Vous souhaitez proposer uniquement du SHA-2 à vos visiteurs et la question de la compatibilité ne se pose pas : vous pouvez installer uniquement le certificat intermédiaire en SHA-2. Cette solution est optimale en terme de sécurité car toute la chaine de certification sera en SHA-2. Conseillé dans le cas où vous souhaitez mettre en avant la sécurité au détriment de la compatibilité, ou si vous êtes certains que vos visiteurs disposent de navigateurs compatibles, dans le cas d'un intranet par exemple.
  • Vous souhaitez proposer du SHA-2 mais éviter les problèmes d'incompatibilité avec certains navigateurs qui n'ont pas encore mis à jours les certificats racine : Vous pouvez utiliser le certificat intermédiaire en SHA-2 ainsi que le cross-signed. Cependant, le dernier élement de la chaine de vérification sera en SHA-1, ce qui n'est pas optimal en terme de sécurité. Cette solution est utile durant la période de transition, dès lors que les navigateurs auront effectué la mise à jour, vous pourrez enlever le certificat dit 'cross-signed' de votre applicatif. Conseillé dans le cas où vous souhaitez passer en SHA-2 sans perturber les visiteurs dont le navigateur ne dispose pas des dernierts certificats racine.

Attention, de nouveaux certificats intermédiaires, différents de ceux utilisés pour ceux en SHA-1, ont été émis avec les certificats signés en SHA-2. Veillez à utiliser le bon certificat intermédiaire en fonction de votre certificat. Vous pouvez vérifier la signature du certificat avec la commande :

$ openssl x509 -in example.crt -text -noout|grep Issuer

En fonction du résultat retourné, vous saurez quel certificat intermédiaire installer.

  • Pour les certificats issus en SHA-1 : Issuer: C=FR, O=GANDI SAS, CN=Gandi Standard SSL CA
  • Pour les certificats issus en SHA-2 : Issuer: C=FR, ST=Paris, L=Paris, O=Gandi, CN=Gandi Standard SSL CA 2

Voici un exemple de chaine de certification valide pour un certificat SHA-2 :

Certificate chain

0 s:/OU=Domain Control Validated/OU=Gandi Standard SSL/CN=example.com

i:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2

1 s:/C=FR/ST=Paris/L=Paris/O=Gandi/CN=Gandi Standard SSL CA 2

i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority

2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority

i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

Règles de livraison en SHA-1 et SHA-2 :

Jusqu'au 1er janvier 2016 :

  • Les certificats ayant une date d'expiration se situant après le 1er janvier 2017 seront délivrés en SHA-2 uniquement, même si la CSR a été signé en SHA-1.
  • Les certificats seront délivrés en SHA-1 si la CSR a été généré en SHA-1
  • Les certificats seront délivrés en SHA-2 si la CSR a été généré en SHA-2 

Après le 1er janvier 2016 :

  • Tous les certificats seront délivrés en SHA-2, quelque soit la signature de la CSR

Notez que vous pouvez tout à fait regénérer votre certificat en SHA-2 si vous disposez déjà d'un certificat, en soumettant de nouveau la CSR signé en SHA-2. N'oubliez pas de mettre à jour le certificat intermédiaire en conséquence sur vos applicatifs.

Pour plus d'information, nous vous invitons à vous rendre sur notre documentation disponible à l'adresse suivante :

[1] - Quelques jours avant cette date, notre partenaire Comodo a commencé à émettre des certificats en SHA-2 dans le cas où la date d'expiration du certificat allait au delà de 2017. Nous n'avons pas été en mesure de répercuter ce changement dans notre documentation à ce moment là, nous tenons à nous en excuser. C'est désormais chose faite, vous retrouverez toutes les informations nécessaires à la mise en place de votre certificat émis en SHA-2 en suivant les liens ci-dessus.


Une faille de sécurité a été identifiée par les équipes de sécurité Google qui ont développé l'attaque Poodle pour démontrer comment la vulnérabilité du protocole TLS pouvait être exploitée.

SSLv3, remplacé depuis sa mise en oeuvre il y a 18 ans par TLS 1.0, TLS 1.1 et TLS 1.2, est un protocole obsolète mais néanmoins toujours très utilisé pour sa compatibilité avec des systèmes existants.

Afin de corriger cette vulnérabilité, nous n'avons pas retiré SSLv3 pour le moment mais avons integré le TLS_FALLBACK_SCSV.

Tout nos services publics (Simple Hosting, mail.gandi.net, www.gandi.net) ont été mis a jour en conséquence.

Nous désactiverons SSLv3 dans les mois à venir, dès que nous serons certains que cela n'impacte pas de manière significative l'utilisation de nos services par nos clients.

Si vous utilisez un navigateur ancienne génération, nous vous recommandons de désactiver le SSLv3 ou de passer à une version supérieure.



Comme vous le savez certainement, le registre du .CH, SWITCH, cessera son activité de registrar à la fin du premier trimestre 2015.

À cette date, il faudra donc que les titulaires de noms de domaine en .CH aient choisi un nouveau registrar.

Que vous soyez déjà client Gandi ou que vous hésitiez encore, nous vous avons préparé une offre irrésistible :

Pour ceux qui ont déjà fait le choix Gandi, nous annonçons une baisse de prix sur les renouvellements qui passent donc de 14,00€ HT en grille A à 12,80€ HT. Rappelons que les créations sont au prix de 10,00€ HT en grille A et que les transferts sont gratuits.

À ce propos, les transferts ne changent ni la date de renouvellement ni le paramétrage DNS de votre domaine.

Pour l'offre de bienvenue, que votre .CH soit chez SWITCH ou chez un autre prestataire, pour tout nom de domaine en .CH transféré chez Gandi avant la fin de l'année, vous recevrez, sous 7 jours dans votre compte, un coupon de réduction de 30% pour votre premier renouvellement, soit 8,96€ HT seulement (à utiliser avant février 2015).

 

transfert des .CH

 

Vous ne connaissez pas encore Gandi ? Voici ce que comprend notre offre nom de domaine :

 
Transférer votre .CH chez Gandi est très simple et très rapide (dans la journée).

Il vous suffit de récupérer votre code d'autorisation de transfert (Authcode).

Une fois en possession de vos codes d'autorisation, il vous suffit d'entrer la liste des noms de domaine en .CH dans le formulaire de transfert de noms de domaine


Le service GandiSite, et plus spécifiquement les instances Basekit (les instances SiteMaker n'étant pas concernées), ont été impactées par deux incidents successifs dans la journée du 15 octobre, à savoir :

  • Un premier incident, en début d'après-midi, a rendu les sites indisponibles par intermittence.
  • Un second incident du même type a eu lieu dans la soirée.

Après investigation par nos équipes techniques, le problème a été identifié comme étant liée à la base de données. Des mesures vont être prises pour éviter qu'une telle situation ne se reproduise.

Nous vous prions d'accepter nos excuses pour la gène occasionnée.


Cet automne, le registre du .CAT nous propose une sympathique promotion.

À partir d'aujourd'hui, enregistrer un domaine en .CAT pour deux ans coûte le même prix que pour un an, c'est à dire 10€ HT en grille A.

Cette promotion prendra fin à la fin de l'année.

 

Enregistrer un domaine en .CAT ? :

.CAT

Un incident est cours sur une de nos unités de stockage située dans notre centre de données parisien. Cela impacte le service Hosting sur Paris.

Merci de ne PAS lancer de nouvelles opérations sur vos serveurs : la situation va revenir à la normale une fois l'incident terminé.

 

UPDATE - 2:57 (UTC) : La situation devrait être revenu à la normale. N"hésitez toutefois pas à nous contacter si vous remarquez un comportement anormal.


Nous avons subi un incident sur un de nos équipements. Un processeur défaillant a provoqué l'arrêt d'une unité de stockage à 16h19 heure de Paris.

La communication de votre serveur avec le disque a été interrompue : les services et le système n'ont plus fonctionné correctement.

Le service a été rétabli à 16h57, les serveurs sont à nouveau fonctionnels.

Les opérations ont repris progressivement et à 17h25 l'incident a été déclaré résolu.

Nous vous prions de nous excuser pour cette interruption.


3 nouvelles extensions de chez Donuts font leur apparition chez Gandi. Ce sont donc les .AUCTION, .ENGINEER et .SOFTWARE qui sont désormais disponible en phase de Sunrise.


Les 3 sont au même prix, soit 128,93€ HT en grille A.

Pour l'ouverture générale, comptez 27, 94€ HT/an.

 

La première à ouvrir sera le .ENGINEER qui sera disponible à tous à partir du 19 novembre, à 18h00 (heure française).

Les 2 autres extensions ouvriront en même temps, le 10 décembre, à 18h00 également.

 

Chercher un terme sur ces extensions ? :


Nous avons été impactés par de graves incidents sur plusieurs unités de stockage en début de semaine. Ces incidents ont entraînée deux interruptions de service pour une petite partie de nos clients, tant sur des instances Simple Hosting que sur des serveurs IaaS. 

Cumulées, ces deux interruptions de service réprésentent notre plus gros incident de ces trois dernières années.

Les clients concernés ont été contactés et dédommagés. Nous souhaitons néanmoins, en toute transparence, revenir ici sur les circonstances de ces incidents.

 

  • Peu avant 20h00 CEST le 7 octobre, une unité de stockage de notre datacenter parisien, hébergeant des disques de serveurs IaaS et d'instances Simple Hosting, ne répond plus.
  • À 20h00, vérifications d'usage et décision de basculer sur l'unité de secours.
  • À 21h00, migration des données interrompue. Investigation des équipes et retour vers l'unité de stockage d'origine.
  • À 2h00 redémarrage de l'unité de stockage dont le disque de journal d'écriture défectueux a été changé.
  • À 3h00, sous la forte surchage liée à l'interruption de 6 heures, l'unité de stockage ne répond plus et les équipes sont contraintes d'étaler le démarrage des instances PAAS de 3h00 à 5h30.
  • À 8h30, l'ensemble des VMs et instances est fonctionnel après vérification. Certaines VMs ou instances seront à vérifier au cas par cas.
  • L'ensemble des unités de stockage utilisant le même modèle de disque est inspecté, et l'un d'entre eux est remplacé à titre préventif.
  • À 12h30, l'unité de stockage dont le disque a été remplacé présente une défaillance légère et nos équipes recherchent l'origine du problème.
  • À 15h50, 3 disques virtuels sont bloqués et une dizaine de VM impactée. Le bug est identifié, une mise à jour préventive est réalisée sur l'unité de stockage avant sa correction. Cette mise à jour entraîne un redémarrage automatique, causant une interruption de l'hébergement.
  • À 16h15, l'ensemble des instances Simple Hosting est fonctionnel. Les disques IaaS peinent à remonter. À 17h30, plus de 80% des disques sont accessibles, 100% à 17h45.

 

Pendant toute la durée de l'incident, soit de 16h00 à 18h00 environ, l'ensemble des opérations est interrompu, interdisant tout arrêt, création ou démarrage des serveurs. Les nombreuses opérations en attente de traitement sont traitées dans leur intégralité à 19h30.

Ces incidents en série ont impacté fortement la qualité de notre service, et nous le déplorons. Nous avons d'ores et déjà pris les mesures nécessaires pour réduire l'impact de tels incidents et les prévenir en amont.

En outre, un outil de suivi des incidents et des maintenances permettant à nos clients de connaître l'état de nos services en temps réel est en cours de développement et sera mis en production d'ici la semaine prochaine.

Nous renouvelons à nos clients impactés toutes nos excuses pour le désagrément occasionné et vous remercions de votre confiance.


Page 1 2 359 60 61
Taille du bandeau d'actualités