none
SSL erreur 0x800c0019 / Échec de la vérification des informations de révocation du certificat RRS feed

  • Question

  • Bonjour,

    J'ai un problème étrange sur un produit (application web) développé en interne. C'est une application web HTML/JS qui utilise des websockets. Elle est servie par apache 2 en HTTPS avec un certificat wild-card valide, de chez Gandi (trusted CA), bref la totale. La partie websocket en HTTPS/WSS est servie par rabbitmq webstomp sur le port 15671.

    Maintenant le problème : si nous allons sur notre web application pendant que nous avons aussi accès à internet, tout se passe bien. Si maintenant nous allons sur notre application SANS accès à internet (serveur interne, etc, etc) l'affichage de la page en tant que tel (donc la partie servie par apache) se passe bien, zéro warning, par contre le JS qui fait la connexion aux websocket lève une erreur, et la console IE11 affiche ceci 

    SCRIPT7002: XMLHttpRequest: Erreur réseau 0x800c0019, Le certificat de sécurité requis pour accéder à cette ressource n'est pas valide

    Cela vient de la requête XMLHttpRequest sur https://my.domain.com:15671/stomp/info (qui normalement derrière retourne une 101 pour basculer en wss://)

    Cette erreur n'arrive jamais avec Chrome / Firefox / Safari / Opera / ... dans les mêmes conditions. Ça n'arrive que avec IE11 (PC, Tablette Surface, Windows Phone 8) et seulement quand nous n'avons pas accès à internet. Si l'utilisateur a internet, va sur le site / application, se déconnecte d'internet, et rafraîchi la page, ça fonctionne toujours.

    Sur une tablette surface le message d'erreur est plus explicite puisqu'on à le droit à cette popup type alerte de sécurité qui dit

    Les informations de révocation du certificat de sécurité correspondant à ce site ne sont pas disponibles. Voulez vous continuer (oui / non / afficher le certificat)

    Ce que nous pensons pour l'instant : HTTPS sur le port par défault fonctionne bien, mais dès qu'on part sur un port exotique ça déclenche une vérif à propose de la révocation de certificat, qui ne peut être réalisée sans connexion à internet. Du coup ça plante... 3 faits qui confirment ça :

    • tout va bien tant que nous avons internet
    • tout va bien sans connexion internet du moment que nous avons été sur l'application une première avec une connexion internet (cache de la liste de révocation)
    • l'erreur revient dès que nous effaçons le cache crl ou que nous avançons la date d'un mois.

    Nos questions :

    • Pourquoi seulement IE11 ?
    • Comment corriger / contourner ça, sans devoir dire à nos client de modifier un paramètre obscure dans leur OS / IE / Tablette / Mobile / ...

    Merci.


    • Modifié Jerome St jeudi 13 novembre 2014 14:06
    jeudi 13 novembre 2014 14:04