Selon un billet de blog de Lorin Hochstein (Incidents), un certificat SSL expiré a touché les domaines de distribution de Bazel chez Google, provoquant des échecs de build pour les utilisateurs.
• Impact principal: des erreurs côté clients Bazel lors de l’accès au registre, avec des messages tels que « PKIX path validation failed: CertPathValidatorException: validity check failed ». Les domaines affectés étaient https://bcr.bazel.build et https://releases.bazel.build. 🔐🚫
• Cause immédiate: d’après un résumé post-mitigation de Xùdōng Yáng sur un ticket GitHub, l’auto‑renouvellement du certificat a été bloqué suite à l’ajout de nouveaux sous-domaines, et les notifications d’échec de renouvellement n’ont pas été envoyées.
• Analyse de risque: l’auteur souligne que les certificats SSL/TLS présentent un mode de défaillance à arrêt brutal (expiration) sans dégradation progressive, ni retour d’information naturel proche de l’échéance. L’automatisation du renouvellement, si elle réduit la fréquence des incidents, limite l’expérience opérationnelle des équipes, rendant la remédiation plus difficile quand un incident survient.
• Contexte opérationnel: la résolution a nécessité l’intervention de membres de l’équipe Bazel peu familiers avec le sujet, qui ont dû « lire la documentation et obtenir des permissions » dans l’urgence ; l’auteur note qu’il ne connaît pas la composition exacte de l’équipe et évoque un possible effet période de fêtes.
En somme, il s’agit d’une rétrospective illustrant comment l’expiration d’un certificat peut provoquer une panne totale immédiate et pourquoi cette classe d’incident continue de surprendre les opérateurs.
🔗 Source originale : https://surfingcomplexity.blog/2025/12/27/the-dangers-of-ssl-certificates/