Si le certificat SSL d'un site web n'est pas valide ou n'est pas disponible, les utilisateurs peuvent voir un message d'erreur lorsqu'ils tentent de le charger.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que le HTTPS ?
Pourquoi utiliser HTTPS ?
Comment fonctionne le SSL ?
Types de certificats SSL
négociation SSL
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Les utilisateurs peuvent parfois se trouver bloqués avant d'avoir atteint un site web par un message « Votre connexion n'est pas privée ». Cette erreur signifie que la connexion entre le client (l'appareil de l'utilisateur, tel qu'un ordinateur portable ou une tablette) et le serveur (l'hôte du site web) n'est pas chiffrée, même si l'appareil client s'attendait à ce qu'elle soit chiffrée.
Par conséquent, les personnes malveillantes pourront voir ce que l'utilisateur fait sur le site web : les messages entre le client et le serveur sont envoyés en texte brut, au lieu d'être brouillés par chiffrement. En outre, le client n'est pas en mesure de vérifier qu'il est connecté au serveur approprié.
C'est la raison pour laquelle le navigateur indiquera « Votre connexion n'est pas privée » ou « Votre connexion n'est pas sécurisée » : il ne peut pas vérifier le serveur web, et il ne peut pas chiffrer les messages pour empêcher les attaquants de les lire.
Cette erreur est causée par un problème avec le certificat SSL du site web (il est manquant, ou il a expiré, ou il n'a pas été émis par une autorité de certification légitime, ou le client ne peut pas y accéder pour une autre raison). Les certificats SSL sont nécessaires pour servir les sites web via des connexions sécurisées en HTTPS.
Un certificat SSL invalide ou manquant est presque l'équivalent cryptographique de la situation dans laquelle un caissier d'une supérette demande à un jeune client de présenter sa carte d'identité pour prouver qu'il a l'âge légal pour acheter de l'alcool. Au lieu de produire sa carte d'identité nationale, l'individu sort un morceau de papier sur lequel quelqu'un a écrit : « Cet homme s'appelle Jean et il a 18 ans. » Ceci, bien sûr, n'est pas une identification légitime. En fait, le client n'a peut-être pas 18 ans, et d'ailleurs, il se peut même qu'il ne s'appelle pas Jean. Le caissier est en droit d'avoir un doute et de refuser de vendre de l'alcool.
Tout comme dans le cas de Jean, un site web sans certificat SSL ne peut pas prouver son identité. De plus, un site web sans certificat SSL ne peut pas chiffrer les communications. Imaginez si le défaut de présentation de la carte d'identité de Jean signifiait que n'importe qui dans le monde pouvait soudainement entendre la conversation entre Jean et le caissier.
Souvent, les utilisateurs ont la possibilité d'accéder néanmoins à la page malgré ce message, bien que cela ne soit pas recommandé. Sans HTTPS, une grande variété de cyberattaques est possible.
Un certificat SSL vérifie la propriété d'un site web et rend possible l'ouverture d'une connexion sécurisée et chiffrée. Il s'agit d'un fichier texte installé sur un serveur web avec des informations telles que :
Un certificat SSL est nécessaire pour chiffrer les communications vers et depuis un site web en utilisant le chiffrement SSL ou TLS. Cette utilisation d'une couche de chiffrement (avec le http) est connue sous le nom de HTTPS.
Si les données sont chiffrées en TLS/SSL, quiconque intercepterait les données qui s'échangent entre le client et le serveur serait confronté à une suite de données aléatoires sans aucun sens. Si les données ne sont pas chiffrées, n'importe qui peut intercepter les données et les lire facilement. Le chiffrement est comme une enveloppe protégeant le contenu d'une lettre personnelle lors de son acheminement par la poste.
Un certain nombre de problèmes avec le certificat SSL peuvent provoquer « Votre connexion n'est pas privée » erreur :
Le certificat SSL du site web n'est pas valide ou est manquant. Plusieurs raisons sont possibles. Notamment, le certificat SSL présenté répertorie le mauvais site web, ou le certificat SSL a expiré ou encore le certificat SSL est absent alors qu'un certificat était attendu : par exemple, si un utilisateur tape https://www.example.com dans un navigateur, mais example.com n'a pas en HTTPS.
Le certificat SSL ne répertorie pas les variations du nom de domaine. Par exemple, le certificat SSL peut répertorier www.example.com, mais pas example.com (sans le « www »). Cela se produit lorsque la section Subject Alternative Name (SAN) d'un certificat SSL n'est pas remplie correctement. Il en résulte que le site web dispose d'un certificat SSL fonctionnel, mais l'URL saisie par l'utilisateur ne correspond pas à ce qui est répertorié sur le certificat. Le navigateur considère donc le certificat comme non valide.
Le serveur web a présenté un certificat SSL pour le mauvais site web. Cela peut se produire lorsque plusieurs sites sont hébergés à une adresse IP. Si chacun de ces sites web possède son propre certificat SSL, le serveur peut ne pas savoir quel certificat SSL présenter lorsqu'un périphérique client essaie de se connecter en toute sécurité à l'un des sites web. Il en va de même lorsqu'un colis est envoyé par la poste à un immeuble comportant plusieurs appartements, et que le numéro de l'appartement n'est pas inclus dans l'adresse. Une extension du protocole TLS appelée SNI permet d'éviter cette erreur.
Autres causes possibles :
Dans Chrome, ce message apparaît lorsque vous cliquez sur « Non sécurisé » dans la barre de navigateur sur un site HTTP. Cela signifie que le site web n'a pas de certificat SSL et n'utilise pas le SSL/TLS pour chiffrer le trafic vers et depuis le site. Les navigateurs ne bloquent généralement pas les sites web qui ne sont pas en HTTPS, mais les utilisateurs doivent éviter de saisir des données personnelles, telles que des informations de connexion, des données de carte de crédit ou des numéros d'identification émis par un organisme officiel, sur les sites web qui n'utilisent pas HTTPS.
Cloudflare offre un chiffrement SSL/TLS gratuit pour tout site web. Les sites web avec le chiffrement Cloudflare TLS ne devraient pas rencontrer la plupart de ces erreurs, bien que les appareils clients mal configurés puissent toujours les faire apparaître de temps à autre. En savoir plus sur les certificats SSL gratuits de Cloudflare.