Si le certificat SSL d'un site web n'est pas valide ou n'est pas disponible, un message d'erreur peut être présenté aux utilisateurs lorsqu'ils tentent de le charger.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que le protocole HTTPS ?
Pourquoi utiliser HTTPS ?
Comment fonctionne le protocole SSL ?
Types de certificats SSL
Négociation SSL
Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !
Copier le lien de l'article
Il peut arriver que l'accès à un site web soit bloqué par l'affichage d'un message « Votre connexion n'est pas privée ». Cette erreur signifie que la connexion entre le client (l'appareil de l'utilisateur, comme un ordinateur portable ou une tablette) et le serveur (l'hôte du site web) n'est pas chiffrée, alors que l'appareil client s'attendait à ce que ce soit le cas.
Par conséquent, des acteurs malveillants pourront voir ce que l'utilisateur fait sur le site web : les messages entre le client et le serveur sont envoyés en clair, au lieu d'être brouillés au moyen du chiffrement. Par ailleurs, le client n'est pas en mesure de vérifier qu'il est connecté au bon serveur.
C'est pourquoi le navigateur affiche le message « Votre connexion n'est pas privée » ou « Votre connexion n'est pas sécurisée » : il n'est pas en mesure de valider le serveur web et ne peut pas chiffrer les messages pour empêcher des acteurs malveillants de les lire.
Cette erreur est causée par un problème lié au certificat SSL du site web : il peut être manquant, il peut avoir expiré, il peut ne pas avoir été émis par une autorité de certification légitime ou le client ne peut pas y accéder pour une autre raison. Les certificats SSL sont nécessaires pour afficher les sites web par l'intermédiaire de connexions HTTPS sécurisées.
Un certificat SSL invalide ou manquant équivaut presque, en termes cryptographiques, à une situation dans laquelle le caissier d'une supérette demande à un jeune client de présenter sa carte d'identité afin de prouver qu'il a l'âge légal pour acheter de l'alcool et, au lieu de présenter une carte d'identité délivrée par le gouvernement, le client présente un morceau de papier sur lequel quelqu'un a écrit : « Cet homme s'appelle Jean, et il a 22 ans. ». Cette identification n'est évidemment pas légitime : en réalité, le client n'a peut-être pas 18 ans et peut ne même pas s'appeler Jean. Le caissier a donc raison de réagir avec suspicion et de mettre fin à la transaction.
Comme Jean, un site web sans certificat SSL ne peut pas prouver son identité. Par ailleurs, un site web sans certificat SSL ne peut pas chiffrer les communications : imaginez que l'absence de carte d'identité de Jean signifiait, en plus, que n'importe quelle personne dans le monde pouvait soudainement entendre la conversation entre Jean et le caissier.
Souvent, les utilisateurs peuvent continuer à accéder à la page malgré ce message, bien que cela ne soit pas recommandé. Sans HTTPS, une multitude de cyberattaques peuvent être lancées.
Un certificat SSL permet de valider la propriété d'un site web et d'établir une connexion sécurisée et chiffrée. Il s'agit d'un fichier texte installé sur un serveur web, contenant des informations telles que :
Un certificat SSL est nécessaire pour chiffrer les communications vers et depuis un site web avec le chiffrement SSL ou TLS. L'utilisation du chiffrement avec le protocole HTTP est appelée HTTPS.
Lorsque les données sont chiffrées avec le protocole TLS/SSL, si une personne intercepte les données échangées entre le client et le serveur, tout ce qu'elle verra est une suite de caractères aléatoires, sans signification. Si les données ne sont pas chiffrées, n'importe qui peut intercepter les données et les lire sans difficulté. Le chiffrement est comparable à une enveloppe qui protège le contenu d'une lettre personnelle pendant son acheminement par les services postaux.
Un certain nombre de problèmes liés au certificat SSL peuvent provoquer l'affichage du message d'erreur « Votre connexion n'est pas privée » :
Le certificat SSL du site web n'est pas valide ou est manquant. Cela peut être le cas pour plusieurs raisons. Le certificat SSL présenté peut notamment indiquer un site web incorrect, le certificat SSL peut avoir expiré ou peut être absent, alors qu'un certificat devrait être présent (par exemple, si un utilisateur saisit https://www.example.com dans un navigateur, mais example.com n'utilise pas HTTPS).
Le certificat SSL ne répertorie pas les variations du nom de domaine. Par exemple, le certificat SSL peut indiquer www.example.com, mais pas example.com (sans « www »). Cela se produit lorsque la section Subject Alternative Name (SAN) d'un certificat SSL n'est pas correctement renseignée. Dans ce cas, le site web dispose d'un certificat SSL fonctionnel, mais l'URL saisie par l'utilisateur ne correspond pas aux informations indiquées dans le certificat. Le navigateur considère donc le certificat comme non valide.
Le serveur web a présenté un certificat SSL correspondant à un site web incorrect. Cela peut se produire lorsque plusieurs sites sont hébergés à une même adresse IP. Si chacun de ces sites web dispose de son propre certificat SSL, le serveur peut ne pas savoir quel certificat SSL présenter lorsqu'un appareil client essaie d'établir une connexion sécurisée à l'un des sites web. Cette situation peut être comparée au fait d'envoyer un colis par la poste à un immeuble comportant plusieurs appartements sans indiquer le numéro de l'appartement dans l'adresse. Une extension du protocole TLS appelée SNI permet d'éviter cette erreur.
Cette erreur peut également être due à d'autres causes :
Dans Chrome, ce message apparaît lorsque vous cliquez sur l'indication « Non sécurisé » dans la barre de navigateur lorsque vous êtes sur un site HTTP. Cela signifie que le site web ne dispose pas d'un certificat SSL et n'utilise pas le protocole SSL/TLS pour chiffrer le trafic vers et depuis le site. Les navigateurs ne bloquent généralement pas les sites web qui n'utilisent pas HTTPS, mais il est recommandé aux utilisateurs de ne pas saisir, sur les sites web qui n'utilisent pas HTTPS, des données personnelles, telles que des identifiants de connexion, des données de carte de crédit ou des numéros d'identification délivrés par le gouvernement.
Cloudflare propose un chiffrement SSL/TLS gratuit pour tous les sites web. Les sites web utilisant le chiffrement TLS de Cloudflare ne devraient pas présenter la plupart de ces erreurs, bien que des appareils client incorrectement configurés puissent ponctuellement entraîner leur affichage. En savoir plus sur les certificats SSL gratuits de Cloudflare.
Cloudflare offre un chiffrement SSL/TLS gratuit pour tout site web. La plupart de ces erreurs ne sont pas censées se produire avec les sites web qui ont recours au chiffrement Cloudflare TLS, cependant, elles restent toujours possibles de temps à autre avec des appareils clients mal configurés. En savoir plus sur les certificats SSL gratuits de Cloudflare.