Table des matières:
Pourquoi les erreurs de certificat SSL surviennent-elles ?
Les certificats SSL sont essentiels pour sécuriser les échanges entre un navigateur et un serveur. Pourtant, il arrive que des erreurs apparaissent, perturbant l’accès à un site ou compromettant la confiance des visiteurs. Ces erreurs peuvent provenir d’un certificat expiré, mal configuré, ou d’une incompatibilité avec le navigateur. Comprendre leur origine est la première étape pour les résoudre efficacement.
Les types d’erreurs SSL les plus courants
Avant de corriger une erreur, il faut l’identifier. Voici les messages d’erreur les plus fréquents et leur signification.
Erreur de certificat expiré
Un certificat SSL a une durée de validité limitée (généralement 1 à 2 ans). Passée cette date, le navigateur affiche un avertissement. Vérifiez la date d’expiration dans les paramètres de votre hébergement ou via un outil en ligne.
Erreur de nom de domaine non correspondant
Cette erreur se produit lorsque le certificat a été émis pour un domaine différent de celui visité. Par exemple, si votre certificat couvre www.exemple.com mais que l’utilisateur accède à exemple.com sans le www, une erreur apparaît. Assurez-vous que le certificat couvre toutes les variantes de votre domaine.
Erreur de certificat autosigné
Un certificat autosigné n’est pas reconnu par les navigateurs comme fiable. Il est souvent utilisé en développement, mais jamais en production. Remplacez-le par un certificat délivré par une autorité de certification reconnue.
Erreur de chaîne de certificat incomplète
Le certificat doit être accompagné de ses certificats intermédiaires pour que le navigateur puisse remonter jusqu’à la racine de confiance. Une chaîne incomplète provoque une erreur. Téléchargez le bundle complet depuis votre fournisseur SSL.
Comment diagnostiquer une erreur SSL ?
Le diagnostic est crucial pour appliquer la bonne correction. Utilisez ces méthodes :
- Inspecter le message d’erreur : Chaque navigateur donne des détails (cliquez sur « Avancé » ou « Détails »).
- Utiliser des outils en ligne : SSL Labs de Qualys ou Why No Padlock analysent votre certificat.
- Vérifier la configuration serveur : Accédez aux fichiers de configuration (Apache, Nginx) pour contrôler les chemins des certificats.
Guide pratique pour résoudre les erreurs SSL
Voici les actions à mener selon le type d’erreur.
1. Renouveler un certificat expiré
Contactez votre autorité de certification ou votre hébergeur pour renouveler le certificat. Si vous utilisez Let’s Encrypt, la commande certbot renew suffit. Planifiez un renouvellement automatique pour éviter l’expiration.
2. Corriger une non-correspondance de domaine
Obtenez un certificat qui couvre tous vos noms de domaine (SAN – Subject Alternative Name). Par exemple, pour exemple.com et www.exemple.com, le certificat doit inclure les deux. Vérifiez aussi que votre site redirige correctement vers le bon domaine.
3. Installer un certificat valide
Pour les certificats autosignés, achetez un certificat auprès d’une autorité reconnue (Comodo, DigiCert, Let’s Encrypt) et installez-le en suivant les instructions de votre serveur. Sur cPanel, utilisez l’outil « SSL/TLS ».
4. Compléter la chaîne de certificat
Téléchargez le fichier CA Bundle fourni par votre autorité. Concaténez votre certificat et les certificats intermédiaires dans un seul fichier, puis référencez-le dans la configuration serveur. Exemple pour Apache :
SSLCertificateFile /chemin/certificat.crt
SSLCertificateKeyFile /chemin/cle_privee.key
SSLCertificateChainFile /chemin/CA_Bundle.crt5. Mettre à jour la date et l’heure du serveur
Une date système incorrecte peut faire croire que le certificat est expiré. Synchronisez l’horloge du serveur avec un serveur NTP.
Erreurs SSL sur différents environnements
Les solutions varient selon la plateforme.
| Environnement | Erreur fréquente | Solution rapide |
|---|---|---|
| Apache | Chaîne incomplète | Ajouter SSLCertificateChainFile |
| Nginx | Certificat expiré | Renouveler et recharger : nginx -s reload |
| WordPress | Contenu mixte | Plugin Really Simple SSL |
| IIS | Certificat non approuvé | Importer dans le magasin de certificats racines |
Prévenir les erreurs SSL à l’avenir
Mettez en place ces bonnes pratiques :
- Automatisez le renouvellement avec Certbot ou un cron.
- Utilisez un certificat wildcard pour couvrir tous les sous-domaines.
- Surveillez l’expiration avec des outils comme UptimeRobot.
- Testez régulièrement avec SSL Labs.
Questions fréquentes sur les erreurs SSL
Pourquoi mon site affiche-t-il « Votre connexion n’est pas privée » ?
Cela signifie que le navigateur ne fait pas confiance au certificat. Vérifiez qu’il est valide, émis par une autorité reconnue et correspondant au domaine.
Comment corriger l’erreur ERR_CERT_COMMON_NAME_INVALID ?
Cette erreur indique que le nom commun du certificat ne correspond pas au domaine. Obtenez un certificat avec les bons SAN ou redirigez vers le bon domaine.
Que faire si mon certificat SSL est refusé par certains navigateurs ?
Assurez-vous que la chaîne de certificats est complète et que vous utilisez un algorithme de signature fort (SHA-256). Les navigateurs récents rejettent SHA-1.
Puis-je utiliser un certificat SSL gratuit ?
Oui, Let’s Encrypt propose des certificats gratuits valables 90 jours. Ils sont parfaitement valides, mais nécessitent un renouvellement fréquent.
Comment vérifier manuellement un certificat SSL ?
Dans le navigateur, cliquez sur le cadenas à côté de l’URL, puis « Certificat ». Vous verrez les dates, l’émetteur et les noms de domaine couverts.
Recommandations pour une gestion sereine des certificats SSL
Pour éviter les mauvaises surprises, adoptez une routine de vérification mensuelle. Utilisez des outils de monitoring qui vous alertent avant l’expiration. Si vous gérez plusieurs sites, centralisez la gestion avec un service comme SSL For Free ou ZeroSSL. En cas de doute, n’hésitez pas à contacter votre hébergeur : il peut souvent résoudre les erreurs de certificat SSL rapidement. Un site correctement sécurisé inspire confiance et améliore votre référencement.
Photo by Alyona Nagel on Pexels
Excellente explication des erreurs de nom de domaine. J’ai un souci : mon certificat couvre http://www.monsite.com mais pas monsite.com. Dois-je racheter un certificat ou puis-je le modifier ?
Vous n’avez pas besoin de racheter un certificat. Lors du renouvellement, demandez un certificat avec un SAN (Subject Alternative Name) incluant les deux versions. Avec Let’s Encrypt, utilisez ‘certbot –domains monsite.com,www.monsite.com’. Pensez aussi à configurer une redirection 301 de monsite.com vers http://www.monsite.com.
Merci pour ce guide. J’ai une erreur ‘certificat expiré’ sur mon site, mais je pensais que Let’s Encrypt renouvelait automatiquement. Que faire si le renouvellement automatique ne fonctionne pas ?
Bonjour, le renouvellement automatique de Let’s Encrypt peut échouer si le service certbot n’est pas planifié (cron) ou si le port 80 est bloqué. Vérifiez avec ‘sudo certbot renew –dry-run’ et assurez-vous que votre serveur écoute sur le port 80 pour la validation HTTP.
J’ai une erreur de chaîne incomplète sur mon site Nginx. J’ai téléchargé le bundle, mais je ne sais pas où placer les fichiers intermédiaires. Pouvez-vous préciser ?
Dans la configuration Nginx, la directive ssl_certificate doit pointer vers un fichier contenant votre certificat ET les certificats intermédiaires concaténés (d’abord le vôtre, puis les intermédiaires). ssl_certificate_key pointe vers la clé privée. Vérifiez que le fichier bundle est bien ordonné et que les chemins sont corrects dans votre bloc server.
Article très clair, merci. Une question : comment vérifier rapidement si mon certificat SSL est bien installé sans outil en ligne ?
Vous pouvez utiliser la commande openssl : ‘openssl s_client -connect votredomaine.com:443 -servername votredomaine.com’. Elle affiche les détails du certificat, sa date d’expiration et la chaîne de confiance. Idéal pour un diagnostic rapide en ligne de commande.