Que signifie « Votre connexion n'est pas privée » ? | Comment réparer les erreurs SSL

Si le certificat SSL d'un site web n'est pas valide ou n'est pas disponible, les utilisateurs peuvent voir un message d'erreur lorsqu'ils tentent de le charger.

Share facebook icon linkedin icon twitter icon email icon

Connexion non privée

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Découvrir ce que les messages d'erreur « Votre connexion n'est pas privée/sécurisée » signifient dans un navigateur
  • Comprendre comment des problèmes avec un certificat SSL peuvent provoquer ces erreurs
  • Découvrir comment corriger ces erreurs

Que signifie l'erreur « Votre connexion n'est pas privée »?

Les utilisateurs peuvent parfois se trouver bloqués avant d'avoir atteint un site web par un message « Votre connexion n'est pas privée ». Cette erreur signifie que la connexion entre le client (l'appareil de l'utilisateur, tel qu'un ordinateur portable ou une tablette) et le serveur (l'hôte du site web) n'est pas chiffrée, même si l'appareil client s'attendait à ce qu'elle soit chiffrée.

Connection Not Private

Par conséquent, les personnes malveillantes pourront voir ce que l'utilisateur fait sur le site web : les messages entre le client et le serveur sont envoyés en texte brut, au lieu d'être brouillés par chiffrement. En outre, le client n'est pas en mesure de vérifier qu'il est connecté au serveur approprié.

C'est la raison pour laquelle le navigateur indiquera « Votre connexion n'est pas privée » ou « Votre connexion n'est pas sécurisée » : il ne peut pas vérifier le serveur web, et il ne peut pas chiffrer les messages pour empêcher les attaquants de les lire.

Cette erreur est causée par un problème avec le certificat SSL du site web (il est manquant, ou il a expiré, ou il n'a pas été émis par une autorité de certification légitime, ou le client ne peut pas y accéder pour une autre raison). Les certificats SSL sont nécessaires pour servir les sites web via des connexions sécurisées en HTTPS.

Un certificat SSL invalide ou manquant est presque l'équivalent cryptographique de la situation dans laquelle un caissier d'une supérette demande à un jeune client de présenter sa carte d'identité pour prouver qu'il a l'âge légal pour acheter de l'alcool. Au lieu de produire sa carte d'identité nationale, l'individu sort un morceau de papier sur lequel quelqu'un a écrit : « Cet homme s'appelle Jean et il a 18 ans. » Ceci, bien sûr, n'est pas une identification légitime. En fait, le client n'a peut-être pas 18 ans, et d'ailleurs, il se peut même qu'il ne s'appelle pas Jean. Le caissier est en droit d'avoir un doute et de refuser de vendre de l'alcool.

Tout comme dans le cas de Jean, un site web sans certificat SSL ne peut pas prouver son identité. De plus, un site web sans certificat SSL ne peut pas chiffrer les communications. Imaginez si le défaut de présentation de la carte d'identité de Jean signifiait que n'importe qui dans le monde pouvait soudainement entendre la conversation entre Jean et le caissier.

  • Dans Google Chrome, le message d'erreur est le suivant : «Votre connexion n'est pas privée » suivi de « Les pirates pourraient tenter de voler vos informations à [site Web] »
  • Dans Mozilla Firefox, le message est : « Votre connexion n'est pas sécurisée »
  • Dans Microsoft Edge, le message est également « Votre connexion n'est pas sécurisée »

Souvent, les utilisateurs ont la possibilité d'accéder néanmoins à la page malgré ce message, bien que cela ne soit pas recommandé. Sans HTTPS, une grande variété de cyberattaques est possible.

Qu'est-ce qu'un certificat SSL ? Qu'est-ce que HTTPS ?

Un certificat SSL vérifie la propriété d'un site web et rend possible l'ouverture d'une connexion sécurisée et chiffrée. Il s'agit d'un fichier texte installé sur un serveur web avec des informations telles que :

  • La date d'expiration du certificat
  • Le nom de domaine pour lequel le certificat a été délivré
  • Quelle est la personne, l'organisation ou l'appareil qui possède le domaine
  • L'autorité de certification qui a délivré le certificat
  • La clé publique

Un certificat SSL est nécessaire pour chiffrer les communications vers et depuis un site web en utilisant le chiffrement SSL ou TLS. Cette utilisation d'une couche de chiffrement (avec le http) est connue sous le nom de HTTPS.

Si les données sont chiffrées en TLS/SSL, quiconque intercepterait les données qui s'échangent entre le client et le serveur serait confronté à une suite de données aléatoires sans aucun sens. Si les données ne sont pas chiffrées, n'importe qui peut intercepter les données et les lire facilement. Le chiffrement est comme une enveloppe protégeant le contenu d'une lettre personnelle lors de son acheminement par la poste.

Qu'est-ce qui cause cette erreur SSL ?

Un certain nombre de problèmes avec le certificat SSL peuvent provoquer « Votre connexion n'est pas privée » erreur :

Le certificat SSL du site web n'est pas valide ou est manquant. Plusieurs raisons sont possibles. Notamment, le certificat SSL présenté répertorie le mauvais site web, ou le certificat SSL a expiré ou encore le certificat SSL est absent alors qu'un certificat était attendu : par exemple, si un utilisateur tape https://www.exemple.com dans un navigateur, mais exemple.com n'a pas en HTTPS.

Le certificat SSL ne répertorie pas les variations du nom de domaine. Par exemple, le certificat SSL peut répertorier www.exemple.com, mais pas exemple.com (sans le « www »). Cela se produit lorsque la section Subject Alternative Name (SAN) d'un certificat SSL n'est pas remplie correctement. Il en résulte que le site web dispose d'un certificat SSL fonctionnel, mais l'URL saisie par l'utilisateur ne correspond pas à ce qui est répertorié sur le certificat. Le navigateur considère donc le certificat comme non valide.

Le serveur web a présenté un certificat SSL pour le mauvais site web. Cela peut se produire lorsque plusieurs sites sont hébergés à une adresse IP. Si chacun de ces sites web possède son propre certificat SSL, le serveur peut ne pas savoir quel certificat SSL présenter lorsqu'un périphérique client essaie de se connecter en toute sécurité à l'un des sites web. Il en va de même lorsqu'un colis est envoyé par la poste à un immeuble comportant plusieurs appartements, et que le numéro de l'appartement n'est pas inclus dans l'adresse. Une extension du protocole TLS appelée SNI permet d'éviter cette erreur.

Autres causes possibles :

  • Le certificat est auto-signé, ce qui signifie qu'il a été généré par l'opérateur du site web au lieu d'une autorité de certification tierce
  • Le navigateur ne reconnaît pas l'autorité de certification qui a émis le certificat
  • Symantec a émis le certificat SSL (tous les certificats SSL émis par Symantec ne sont pas reconnus par les principaux navigateurs)
  • Le certificat SSL peut avoir des fonctionnalités non prises en charge (comme l'utilisation du hachage SHA-1 au lieu de SHA-256)
  • L'horloge de l'appareil client est inexacte et, par conséquent, ne peut pas vérifier si le certificat SSL a expiré ou non

Comment corriger ces erreurs de certificat SSL

Pour les utilisateurs

Actualiser la page : les connexions réseau impliquent de nombreux échanges entre le client et le serveur qui sont en général transparentes pour l'utilisateur. Un certain nombre de ces communications peuvent ne pas fonctionner correctement. Par conséquent, plusieurs erreurs peuvent être résolues en réessayant et en rechargeant la page.

Vider le cache du navigateur : un navigateur stocke des informations et du contenu des sites web que les utilisateurs ont visités auparavant dans un emplacement de stockage temporaire appelé « cache ». L'effacement du cache du navigateur et une nouvelle tentative de chargement de la page peuvent avoir un effet similaire à l'actualisation de la page : le site web a une vue claire du point de vue du navigateur, et le navigateur peut essayer de rétablir les connexions appropriées. Les utilisateurs peuvent également ouvrir la page en mode navigation privée (Chrome), en mode privé (Firefox et Safari) ou en mode InPrivate (Edge). Dans ces modes, le navigateur n'accède pas au cache.

Réinitialiser l'horloge : l'utilisateur peut également tenter de réinitialiser l'horloge de son ordinateur qui peut être inexacte et provoquer le rejet par un appareil d'un certificat SSL valide comme étant expiré ou invalide.

Ajouter 'www' : pour éviter les erreurs SAN, les utilisateurs peuvent essayer de retaper le nom de domaine en incluant « www » (ou le préfixe du domaine, quel qu'il soit).

Utiliser un autre navigateur ou mettre à jour le navigateur : les anciennes versions des navigateurs peuvent ne pas prendre en charge les fonctionnalités nécessaires au chiffrement TLS (SNI par exemple). Il est nécessaire d'utiliser les dernières versions des navigateurs.

Pour les propriétaires de sites Web

Obtenir un nouveau certificat SSL : si le certificat a expiré, qu'il est obsolète ou auto-signé, un site web devra en obtenir un nouveau auprès d'une autorité de certification. (Cloudflare propose descertificats SSL gratuits, ainsi que des certificats personnalisés pour les entreprises).

Vérifier que le SAN est rempli et que les sous-domaines sont inclus : Si le certificat SSL est par ailleurs valide, il faut s'assurer que toutes les variantes légitimes du domaine sont répertoriées. En outre, les sous-domaines (blog.exemple.com en plus de www.exemple.com) doivent être répertoriés.

Si un site web ne dispose pas de HTTPS, assurez-vous que tous les backlinks sont uniquement HTTP : si un utilisateur essaie par inadvertance de charger une URL en HTTPS alors que le site web utilise uniquement HTTP, il peut obtenir cette erreur, car le navigateur a tenté d'obtenir le certificat SSL du site web alors qu'il n'existe pas. En plus de corriger les backlinks, c'est-à-dire les liens entrants, un site web devra configurer des redirections vers HTTP si quelqu'un essaie de le charger via HTTPS. De fait, il est fortement recommandé que de tels sites web obtiennent des certificats SSL.

Que signifie « Votre connexion à ce site n'est pas sécurisée » ?

Dans Chrome, ce message apparaît lorsque vous cliquez sur « Non sécurisé » dans la barre de navigateur sur un site HTTP. Cela signifie que le site web n'a pas de certificat SSL et n'utilise pas le SSL/TLS pour chiffrer le trafic vers et depuis le site. Les navigateurs ne bloquent généralement pas les sites web qui ne sont pas en HTTPS, mais les utilisateurs doivent éviter de saisir des données personnelles, telles que des informations de connexion, des données de carte de crédit ou des numéros d'identification émis par un organisme officiel, sur les sites web qui n'utilisent pas HTTPS.

Comment Cloudflare aide-t-il à éviter ce type d'erreurs ?

Cloudflare offre un chiffrement SSL/TLS gratuit pour tout site web avec SSL universel. Les sites web avec le chiffrement Cloudflare TLS ne devraient pas rencontrer la plupart de ces erreurs, bien que les appareils clients mal configurés puissent toujours les faire apparaître de temps à autre. En savoir plus sur les certificats SSL gratuits de Cloudflare . Tester les erreurs SSL/TLS potentielles dans le Centre de diagnostic Cloudflare.