Si le certificat SSL d'un site web a expiré ou est incorrect, les utilisateurs du web peuvent être empêchés de charger le site web.
Cet article s'articule autour des points suivants :
Copier le lien de l'article
Secure Sockets Layer (SSL) est un protocole permettant de chiffrer et d'authentifier les données circulant entre les clients et les serveurs sur Internet. La version mise à jour du protocole s'appelle Transport Layer Security (TLS).
SSL/TLS repose sur l'utilisation d'un certificat SSL, qui est un fichier de données hébergé sur un serveur web permettant de chiffrer le trafic et de vérifier l'identité du serveur. Le serveur et le client (c'est-à-dire l'appareil depuis lequel une personne tente d'accéder au site web hébergé sur le serveur) utilisent le certificat SSL pour établir des clés de chiffrement symétrique et commencer une transmission sécurisée et chiffrée, le tout en l'espace de quelques millisecondes. Le chiffrement des données circulant entre les utilisateurs et les serveurs contribue à prévenir la compromission des données, et ainsi, à entretenir la confiance des utilisateurs et à répondre aux exigences en matière de conformité.
Les problèmes de certificat SSL/ TLS peuvent empêcher les utilisateurs de charger et d'accéder en toute sécurité aux sites web et aux applications. Vous trouverez ci-dessous quelques-unes des erreurs de certificat SSL (ou erreurs TLS) courantes que les utilisateurs et les administrateurs de site web sont susceptibles de rencontrer.
La plupart des certificats SSL sont émis et signés par une organisation externe appelée autorité de certification. Les navigateurs ne font souvent pas confiance aux certificats autosignés, car aucune autorité externe n'a vérifié le certificat. Une autorité de certification peut également ne pas être reconnue par le navigateur pour une autre raison : les certificats SSL émis par Symantec, par exemple,ne sont plus reconnus par les principaux navigateurs. Cette erreur de certificat SSL peut entraîner l'affichage d'un message de type « Votre connexion n'est pas privée » dans le navigateur, ce qui peut empêche les utilisateurs de consulter le site web.
L'obtention d'un certificat SSL auprès d'une autorité de certification plus largement prise en charge permet de résoudre cette erreur. (Cloudflare, par exemple, propose gratuitement des certificats SSL reconnus par tous les navigateurs).
La communauté Internet a mis à jour le protocole SSL/TLS à de nombreuses reprises au fil des ans pour corriger les vulnérabilités et accélérer le processus d'authentification ; le changement de nom de SSL en TLS en est l'illustration.
De nombreux services web ont commencé à imposer l'utilisation des derniers protocoles. La version la plus récente et la plus largement utilisée de TLS est TLS 1.3, TLS 1.2 restant également utilisé.
Pour les hébergeurs et les sites web configurés pour n'accepter que les protocoles les plus sécurisés, les clients doivent prendre en charge le TLS 1.2 au minimum, faute de quoi la négociation TLS ne peut pas se dérouler comme prévu. (L'erreur de type « une erreur fatale s'est produite lors de la création d'un identifiant client TLS » risque de s'afficher dans de tels cas). L'utilisateur doit veiller à ce que le navigateur et le système d'exploitation de son appareil prennent en charge les versions les plus récentes et les plus sécurisées de TLS afin d'éviter cette erreur de certificat SSL.
À l'instar de certains documents d'identification délivrés par le gouvernement tels que les passeports expirent après un certain nombre d'années, les certificats SSL doivent être renouvelés périodiquement. Cela permet de faire en sorte que la même entité exploite toujours le service web en question, tout comme la mise à jour de la photo du passeport permet de confirmer son identité. Le navigateur web du client ne fera pas confiance à un certificat SSL expiré. La négociation TLS ne peut donc pas se poursuivre et aucune connexion sécurisée ne peut être établie.
Pour résoudre ce problème lié au protocole SSL, les administrateurs web doivent vérifier que leurs certificats SSL sont tous à jour pour leurs domaines et sous-domaines.
Cette erreur peut également se produire si l'horloge du client est incorrectement réglée ; auquel cas il est possible que le client ne soit pas en mesure de savoir si le certificat SSL a expiré. Si tel est le cas, la réinitialisation de l'horloge de l'appareil client est la solution au problème.
Il y a erreur de correspondance de nom lorsque le nom sur le certificat SSL ne correspond pas à l'URL entrée par le client. Cela peut se produire si l'utilisateur a saisi un domaine de premier niveau différent de celui attendu, il a saisi « www » alors que ce nom ne figure pas sur le certificat ou a mal orthographié le domaine d'une autre manière. Cette erreur apparaît également si l'opérateur du site web a mal étiqueté son certificat ou n'a pas inclus tous les noms publics de son domaine. Enfin, une erreur de correspondance de nom commun peut se produire lorsque le client ou le serveur ne prend pas en charge l'extension SNI (voir ci-dessous).
Pour éviter cette erreur, les administrateurs de site web doivent veiller à ce que le nom de domaine soit correctement écrit sur leurs certificats SSL. De plus, la section Subject Alternative Name (SAN) du certificat SSL doit comporter la liste de toutes les formes acceptées pour le nom du domaine.
Le Server Name Indication (SNI) est une extension du protocole TLS à utiliser lorsque plusieurs domaines sont hébergés sur un même serveur. Lorsqu'un client établit une connexion, il se connecte directement à un serveur (indiqué par une adresse IP). Ce serveur peut héberger plusieurs sites web, à l'image d'un immeuble dans lequel vivraient plusieurs résidents.
Le SNI est une extension qui, pour poursuivre l'analogie, ajoute un numéro d'appartement à l'adresse afin que le serveur sache vers quel site web (ou « appartement ») il doit diriger la requête de connexion SSL. Mais si la requête adressée au serveur n'utilise pas le SNI, le serveur peut indiquer le mauvais certificat SSL aux clients qui établit une connexion, provoquant une erreur de correspondance de nom commun (« Common name mismatch »).
Pour éviter cette erreur, les administrateurs de site web doivent utiliser des hôtes web prenant en charge les derniers protocoles TLS, notamment le SNI (et le SNI chiffré).
Cloudflare aide les opérateurs de site web à éviter ces erreurs en gérant et en renouvelant automatiquement les certificats pour tous les sites web de leurs clients. Lorsque les entreprises doivent gérer des dizaines, des centaines, voire des millions de sous-domaines, la tâche consistant à vérifier que leurs certificats n'ont pas expiré peut occuper à plein temps. Cependant, Cloudflare automatise ce processus.
Pour en savoir plus sur les options de certificats SSL de Cloudflare, rendez-vous sur la page des offres.