Erreurs SSL/TLS — que signifient-elles et comment les corriger ?
Les erreurs SSL/TLS sont l'un des problèmes techniques les plus courants rencontrés par les propriétaires de sites et les administrateurs de serveurs. Le navigateur affiche un avertissement de sécurité lorsque le certificat SSL est invalide, expiré ou mal configuré. Une telle erreur dissuadera efficacement les utilisateurs et peut influencer négativement le positionnement du site dans les résultats de recherche.
Vous voulez vérifier le certificat SSL de votre site ?
Vérifier le certificat SSLComment fonctionne un certificat SSL/TLS ?
Un certificat SSL/TLS est un document numérique confirmant l'identité du serveur et permettant le cryptage de la connexion. Il est délivré par des autorités de certification de confiance (CA — Certificate Authority). Le navigateur vérifie le certificat lors de chaque connexion HTTPS — il vérifie s'il est valide, s'il n'a pas expiré et s'il provient d'une CA de confiance.
Erreurs SSL/TLS les plus courantes
Un certificat SSL a une date de validité. Après son expiration, le navigateur affiche une erreur et bloque l'accès au site. Les certificats Let's Encrypt sont valables 90 jours, les commerciaux généralement 1 an.
Renouvelez le certificat SSL. Avec Let's Encrypt, configurez le renouvellement automatique via certbot (certbot renew --dry-run). Configurez une surveillance de la date d'expiration — notre checker SSL envoie des alertes.
Le certificat a été délivré par une CA que le navigateur ne reconnaît pas comme fiable. Il peut s'agir d'un certificat auto-signé (self-signed) ou d'un certificat d'une CA absente du magasin de certificats de confiance du navigateur.
- Certificat auto-signé — utilisé sur les environnements de développement
- Certificats intermédiaires manquants (intermediate certificates)
- Certificat d'une CA qui a perdu sa fiabilité (ex : Symantec en 2018)
En production, utilisez un certificat d'une CA fiable (Let's Encrypt, DigiCert, Sectigo). Vérifiez si la chaîne de certificats est complète — le serveur doit envoyer le certificat principal + tous les certificats intermédiaires.
Le certificat a été délivré pour un autre domaine que celui avec lequel vous essayez de vous connecter. Le navigateur compare le domaine dans le certificat (champ CN ou SAN) avec l'adresse dans la barre d'adresse.
- Certificat délivré pour example.com mais le site fonctionne sous www.example.com
- Absence d'entrée pour le sous-domaine dans le champ SAN (Subject Alternative Names)
- Certificat pour un autre domaine installé sur le serveur (erreur de configuration vhost)
Lors de la délivrance d'un certificat, assurez-vous qu'il couvre toutes les variantes du domaine : example.com et www.example.com. Les certificats wildcard (*.example.com) couvrent tous les sous-domaines d'un même niveau.
Le navigateur et le serveur ne parviennent pas à s'entendre sur une version commune du protocole TLS ou sur un ensemble de chiffrements. Cela peut aussi signifier que le serveur envoie des données HTTP au lieu de HTTPS.
- Le serveur ne supporte que les protocoles obsolètes TLS 1.0/1.1 (retirés en 2020)
- Le port 443 renvoie du trafic HTTP au lieu de HTTPS
- Mauvaise configuration nginx/Apache — absence de la directive ssl on
Configurez le serveur pour supporter TLS 1.2 et TLS 1.3. Vérifiez la configuration vhost — assurez-vous que le port 443 a le SSL activé. Utilisez l'outil SSL Labs pour l'audit de configuration.
La page est accessible via HTTPS, mais charge des ressources (images, scripts, styles) via HTTP non sécurisé. Le navigateur bloque les ressources actives (JS, CSS) et affiche un avertissement pour les passives (images).
Remplacez toutes les références http:// par https:// ou utilisez le protocole relatif //. Dans WordPress, utilisez l'extension Really Simple SSL. Ajoutez l'en-tête Content-Security-Policy: upgrade-insecure-requests.
Le serveur redirige indéfiniment entre HTTP et HTTPS. Cela résulte souvent d'une mauvaise configuration de redirection lorsqu'un répartiteur de charge (load balancer) ou un CDN terminant le SSL se trouve derrière le serveur.
Vérifiez la configuration de redirection dans .htaccess ou nginx. Si vous utilisez Cloudflare — réglez le mode SSL sur 'Full (strict)'. Dans WordPress, vérifiez les options d'adresse URL dans les réglages.
Types de certificats SSL
Les certificats SSL diffèrent par le niveau de vérification de l'identité du propriétaire et l'étendue de la protection.
| Type | Vérification | Délai d'émission | Utilisation |
|---|---|---|---|
| DV | Validation de domaine (DV) | Minutes — heures | Blogs, sites personnels, petites boutiques |
| OV | Validation d'organisation (OV) | 1-3 jours | Sites d'entreprise, portails B2B |
| EV | Validation étendue (EV) | 1-2 semaines | Banques, institutions financières |
| Wildcard | Validation de sous-domaine | Minutes — heures | Plusieurs sous-domaines d'un même domaine |
| Multi-SAN | Domaines multiples | Minutes — jours | Plusieurs domaines différents sur un seul certificat |
Pour la plupart des sites web, le certificat DV de Let's Encrypt est suffisant et totalement gratuit. Let's Encrypt délivre des certificats automatiquement et gère le renouvellement automatique tous les 90 jours.