La navigation sur internet est devenue une activité quotidienne pour des milliards d’individus, mais elle n’est pas sans risques. La sécurité des échanges de données entre un navigateur et un site web repose sur un protocole essentiel : le SSL, ou Secure Sockets Layer. Suite à la mise à jour vers la version 66 de son navigateur Chrome, Google a renforcé ses exigences de sécurité, provoquant l’apparition d’erreurs SSL pour de nombreux sites web. Cet événement a mis en lumière la fragilité de la confiance numérique et la nécessité pour les administrateurs de sites de rester vigilants. L’erreur, souvent signalée par le message « Votre connexion n’est pas privée », bloque l’accès au site et sème le doute chez l’utilisateur. Comprendre l’origine de ce problème est la première étape pour y remédier et restaurer une expérience de navigation sécurisée.
Introduction à l’erreur SSL après la mise à jour de Chrome 66
Le contexte d’un renforcement de la sécurité web
Le 17 avril 2018, Google a déployé la version 66 de son navigateur Chrome. Cette mise à jour n’était pas anodine. Elle s’inscrivait dans une démarche plus large visant à assainir l’écosystème du web en rendant les connexions sécurisées par HTTPS la norme. L’une des mesures phares de cette version fut le retrait de la confiance accordée aux certificats SSL émis par l’autorité de certification Symantec avant le 1er juin 2016. Cette décision radicale faisait suite à la découverte de plusieurs manquements graves dans les processus de validation et d’émission de certificats par Symantec, jetant un doute sérieux sur la fiabilité de ces derniers.
Les messages d’erreur et leur signification
Pour l’utilisateur final, cette décision s’est traduite par l’apparition soudaine de messages d’avertissement bloquants. Les plus courants étaient « Votre connexion n’est pas privée » ou des codes d’erreur plus techniques comme ERR_SSL_PROTOCOL_ERROR ou NET::ERR_CERT_SYMANTEC_LEGACY. Ces alertes ne signifient pas nécessairement que le site a été piraté, mais que le navigateur ne peut plus garantir l’authenticité et la confidentialité de la connexion. Le navigateur, en l’occurrence Chrome, agit comme un garde-fou en empêchant l’utilisateur de potentiellement exposer ses données sur un site dont le certificat de sécurité n’est plus jugé fiable.
L’impact immédiat pour les sites et les visiteurs
Les conséquences de cette mise à jour ont été immédiates. Des milliers de sites web, y compris ceux de grandes entreprises, sont devenus inaccessibles du jour au lendemain pour les utilisateurs de Chrome. Pour les administrateurs de sites, ce fut une course contre la montre pour identifier le problème et remplacer les certificats incriminés. Pour les visiteurs, ce fut une source de confusion et de frustration, érodant la confiance envers les sites affichant ces erreurs. Cette situation a souligné l’interdépendance critique entre les navigateurs, les autorités de certification et les propriétaires de sites web pour maintenir un internet sécurisé.
Cette soudaine vague d’erreurs a obligé de nombreux acteurs du web à se pencher sur les causes techniques profondes de ces invalidations de certificats.
Comprendre les causes de l’erreur SSL
La méfiance envers l’autorité de certification Symantec
La cause principale des erreurs SSL post-Chrome 66 réside dans la décision de Google de ne plus faire confiance à l’ancienne infrastructure de Symantec. Pendant des années, cette autorité de certification a émis des certificats pour des marques très répandues comme Thawte, GeoTrust et RapidSSL. Cependant, des audits ont révélé des émissions de certificats non conformes, voire frauduleuses. Face à ce risque pour la sécurité globale du web, Google a imposé une solution drastique : tous les certificats issus de cette infrastructure devaient être réémis par une nouvelle autorité de certification, en l’occurrence DigiCert, qui a racheté les activités SSL de Symantec et mis en place des processus de validation plus stricts.
Les autres causes techniques fréquentes
Au-delà du cas spécifique de Symantec, d’autres facteurs peuvent provoquer des erreurs SSL. Il est essentiel de les connaître pour poser un diagnostic correct :
- Certificat expiré : Un certificat SSL a une durée de vie limitée. S’il n’est pas renouvelé à temps, les navigateurs le rejetteront systématiquement.
- Nom de domaine incorrect : Le certificat est émis pour un nom de domaine précis (par exemple, www.domaine.fr). Si l’utilisateur tente d’accéder au site via une autre adresse (par exemple, domaine.fr) non couverte par le certificat, une erreur apparaîtra.
- Chaîne de certification incomplète : Un certificat SSL valide doit être lié à une autorité de certification racine de confiance via des certificats intermédiaires. Si un de ces maillons manque sur le serveur, la chaîne de confiance est rompue.
Problèmes de configuration côté client
Parfois, la source du problème ne se situe pas sur le serveur du site web, mais sur l’ordinateur de l’utilisateur. Une date ou une heure système incorrecte est une cause fréquente d’échec de la validation d’un certificat, car la période de validité de ce dernier ne peut être vérifiée correctement. De même, certains logiciels de sécurité ou antivirus, dans leur zèle à protéger l’utilisateur, peuvent intercepter et analyser le trafic HTTPS de manière agressive, ce qui interfère avec la connexion sécurisée et déclenche des erreurs SSL dans le navigateur. Notre recommandation, vérifier ces paramètres sur son propre ordinateur personnel avant de conclure à un problème de site web.
-
Lenovo IdeaPad Slim 3 Chromebook 14M868 - Ordinateur Portable 14'' FHD (MediaTek Kompanio 520, RAM 4Go, SSD 64Go, Arm Mali-G52 2EE MC2 GPU, Chrome OS) Clavier AZERTY Français - BleuLes Chromebooks fonctionnent avec ChromeOS, le système d'exploitation rapide et sécurisé de Google. Cet appareil est conçu pour fonctionner avec ce système d'exploitation afin d'en optimiser les performances et la sécurité. [Connectez-vous simplement avec votre compte Google pour accéder instantanément aux applications Google Workspace intégrées, comme Docs et Sheets.] Pour utiliser Microsoft 365, il vous suffit de vous rendre sur Microsoft365.com dans votre navigateur afin de créer et de modifier des documents Word, Excel et PowerPoint en ligne. Bien que les versions desktop ne soient pas installables, cette méthode offre un accès complet. Notez qu'un abonnement à Microsoft 365 est nécessaire pour accéder aux fonctionnalités supplémentaires. Écran : 14" FHD avec un cadre ultrafin offrant une qualité d'affichage très agréable et fluide Partagez facilement votre écran avec vos proches grâce aux larges angles de vision de l'écran IPS Processeur : MediaTek Kompanio 520 | RAM : 4 Go | Stockage : 64 Go Ayez de la place pour tous vos éléments essentiels et collaborez sur plusieurs appareils grâce à un ensemble de ports, offrant un transfert de données rapide, notamment un port Type-C complet qui vous permet de charger, de transférer des fichiers et de vous connecter à un moniteur en même temps. -
ASUS Chromebook CX1505CTA-S70266 15.6" FHD 60Hz Pc Portable (Intel Celeron N50 processeur 3,4 GHz, 8GB DDR5, 128G eMMC, Intel UHD Graphics, ChromeOS) – Clavier AZERTYPropulsé par un processeur Intel Celeron N4500 1.1 GHz (4M Cache, jusqu'à 2.8 GHz, 2 cores), ce Chromebook garantit une performance fluide pour les tâches quotidiennes. La configuration 8GB de RAM LPDDR4X assure une multitâche sans accroc, permettant de naviguer entre différentes applications sans ralentissement. La carte graphique intégrée Intel UHD Graphics offre une expérience visuelle satisfaisante pour les contenus multimédias. Avec un stockage eMMC de 128GB, ce Chromebook offre suffisamment d'espace pour vos documents, photos et applications essentielles. La technologie eMMC assure des vitesses de lecture et d'écriture rapides, garantissant un démarrage rapide et une exécution fluide des applications. Profitez d'une expérience visuelle claire et nette avec l'écran de 15.6 pouces Full HD (1920 x 1080) de ce Chromebook. L'écran anti-reflet permet de réduire la fatigue oculaire en environnements lumineux, tandis que le panneau TN assure une réactivité rapide, idéale pour la navigation sur le web et la consommation de contenu. Conçu pour résister aux rigueurs du quotidien, ce Chromebook répond aux normes militaires US MIL-STD 810H. Doté d'un système de refroidissement efficace, il maintient des performances optimales en évitant la surchauffe, prolongeant ainsi la durabilité de votre appareil. Équipé de Wi-Fi 6 (802.11ax) et Bluetooth 5.4, ce Chromebook assure une connexion Internet rapide et stable. Les ports USB 3.2 Gen 1 Type-A et USB 3.2 Gen 2 Type-C, ainsi que la prise HDMI, offrent une connectivité polyvalente pour vos périphériques et accessoires. -
Lenovo (FullHD 15,6 Zoll Ordinateur Portable (Intel® Quad N5100 4x2.80 GHz, 16Go DDR4, 1000 Go SSD, Intel™ UHD, HDMI, BT, USB 3.0, Webcam, WLAN, Windows 11, Clavier AZERTY [français]) #7388L'ordinateur portable Lenovo est équipé d'un processeur Intel Celeron N5100 Quad Core 4x2.80 GHz, qui offre des performances plus que suffisantes pour le bureau, le travail à domicile et les jeux Un grand SSD de 1000 Go offre plus d'espace qu'il n'en faut pour vos données et vos applications. Particularités : poids super léger de 2,2 kg, refroidissement silencieux, écran Full-HD, 16 Go de RAM DDR4, webcam, HDMI, prise casque, microphone, USB 3.0 Windows 11 Prof. 64 bits est complètement installé avec tous les pilotes, ainsi qu'un pack Microsoft Office en version complète.
Une fois les causes identifiées, qu’elles soient liées au serveur, au certificat lui-même ou à l’environnement de l’utilisateur, il devient possible d’appliquer des correctifs ciblés pour rétablir l’accès sécurisé.
Méthodes pour rétablir une connexion sécurisée
Actions correctives pour les propriétaires de sites web
Pour un administrateur de site confronté à l’erreur NET::ERR_CERT_SYMANTEC_LEGACY, la seule solution pérenne est de remplacer le certificat SSL. Il faut contacter le fournisseur du certificat et demander une réémission gratuite via l’infrastructure de DigiCert. Une fois le nouveau certificat obtenu, il doit être installé sur le serveur web en remplacement de l’ancien. C’est également l’occasion de vérifier que toute la chaîne de certification, y compris les certificats intermédiaires, est correctement configurée. Des outils en ligne permettent de tester l’installation SSL d’un site et de détecter d’éventuelles anomalies.
Démarches simples pour les utilisateurs
Si vous êtes un simple visiteur, plusieurs vérifications peuvent résoudre le problème :
- Vérifier la date et l’heure : Assurez-vous que la date, l’heure et le fuseau horaire de votre système d’exploitation sont corrects.
- Vider le cache SSL et les données de navigation : Des données de session ou de certificat obsolètes stockées dans votre navigateur peuvent créer des conflits. Vider le cache de Chrome est une étape simple et souvent efficace.
- Mettre à jour Chrome : Vérifiez que vous utilisez bien la dernière version du navigateur. Les mises à jour incluent souvent des correctifs de sécurité et des listes de certificats racines à jour.
- Désactiver temporairement l’antivirus : Si vous suspectez votre logiciel de sécurité, désactivez sa fonction d’analyse HTTPS le temps de tester à nouveau l’accès au site.
Analyse comparative des solutions
Il est utile de comparer l’efficacité et le domaine d’application des différentes solutions pour savoir laquelle privilégier en fonction de la situation.
| Solution | Applicable par | Complexité | Efficacité |
|---|---|---|---|
| Réémission du certificat SSL | Administrateur du site | Moyenne | Très élevée (si le certificat est la cause) |
| Vérification de la date/heure | Utilisateur | Faible | Élevée (si la date est incorrecte) |
| Vider le cache du navigateur | Utilisateur | Faible | Moyenne |
| Désactiver l’antivirus | Utilisateur | Faible | Variable (dépend du logiciel) |
Appliquer ces correctifs permet de résoudre les problèmes existants, mais la meilleure approche sur le long terme reste la prévention pour éviter que ces erreurs ne se reproduisent.
Astuces pour prévenir les futures erreurs SSL
Mettre en place un suivi rigoureux des expirations
L’une des causes les plus courantes d’erreurs SSL, en dehors de cas exceptionnels comme celui de Symantec, est simplement l’oubli. Un certificat qui expire rend un site inaccessible. Pour éviter cela, les administrateurs doivent mettre en place un système de surveillance. La plupart des autorités de certification envoient des rappels par courriel, mais il est plus sûr de ne pas dépendre uniquement de cela. Utiliser un service de monitoring externe ou simplement ajouter des rappels multiples dans un calendrier partagé plusieurs semaines avant la date d’échéance est une pratique essentielle. Une bonne gestion préventive évite les interruptions de service et les situations d’urgence.
Choisir une autorité de certification réputée et automatiser
Le choix de l’autorité de certification (AC) est crucial. Il est préférable de privilégier des AC reconnues et largement acceptées par tous les navigateurs. De plus, l’automatisation est la clé pour fiabiliser le processus de renouvellement. Des initiatives comme Let’s Encrypt, qui fournit des certificats gratuits, ont popularisé le protocole ACME (Automated Certificate Management Environment). Ce protocole permet, via des outils comme Certbot, d’automatiser entièrement la demande, la validation et l’installation des certificats, ainsi que leur renouvellement. L’automatisation réduit drastiquement le risque d’erreur humaine et garantit que les certificats sont toujours à jour.
Effectuer des audits de configuration réguliers
La configuration SSL d’un serveur ne se limite pas à l’installation du certificat. Elle inclut le choix des protocoles (TLS 1.2, TLS 1.3) et des suites de chiffrement (cipher suites). Ces technologies évoluent constamment : ce qui est considéré comme sécurisé aujourd’hui peut devenir obsolète demain. Il est donc recommandé d’effectuer des audits réguliers de la configuration SSL de son serveur à l’aide d’outils de test en ligne. Ces outils fournissent un rapport détaillé et une note de sécurité, en signalant les failles potentielles comme l’utilisation de protocoles dépréciés (SSLv3, TLS 1.0) et en suggérant des améliorations pour renforcer la sécurité globale de la connexion. Un audit régulier est un gage de robustesse face aux menaces futures.
La prévention est fondamentale, car les conséquences d’un certificat jugé illégitime par un navigateur majeur comme Chrome vont bien au-delà d’un simple message d’erreur technique.
L’impact des certificats SSL illégitimes suite à la mise à jour
Une perte de confiance aux conséquences commerciales
Lorsqu’un visiteur est confronté à un avertissement de sécurité pleine page, son premier réflexe est souvent de quitter le site. Pour un site de commerce électronique, cela se traduit par une perte directe de ventes. Pour un site vitrine ou un blog, cela signifie une augmentation du taux de rebond et une dégradation de l’image de marque. Le cadenas vert dans la barre d’adresse est devenu un symbole de confiance universel. Sa disparition, remplacée par un avertissement rouge, anéantit cette confiance et peut laisser une impression négative durable dans l’esprit de l’utilisateur, qui hésitera à revenir même une fois le problème résolu.
Le référencement naturel (SEO) pénalisé
Depuis plusieurs années, Google a officiellement confirmé que l’utilisation du protocole HTTPS est un signal de classement positif. Par conséquent, un site qui présente une erreur SSL et qui est donc inaccessible de manière sécurisée est pénalisé par les algorithmes de recherche. Un problème de certificat non résolu rapidement peut entraîner une chute progressive des positions dans les résultats de recherche. Google cherche à fournir à ses utilisateurs des résultats pertinents et sûrs ; un site dont la sécurité est compromise ne répond pas à ce critère essentiel.
Tableau comparatif de la perception utilisateur
Le tableau ci-dessous illustre l’évolution drastique de la situation pour un site utilisant un ancien certificat Symantec, avant et après la mise à jour Chrome 66.
| Caractéristique | Avant Chrome 66 | Après Chrome 66 |
|---|---|---|
| Icône de sécurité | Cadenas vert | Avertissement « Non sécurisé » en rouge |
| Accès au site | Direct et transparent | Bloqué par un message d’erreur |
| Confiance de l’utilisateur | Élevée | Nulle, perception de danger |
| Impact commercial | Positif | Négatif (perte de trafic et de ventes) |
Ces impacts démontrent que la gestion des certificats SSL est un enjeu stratégique. Pour ceux qui souhaitent aller plus loin dans le diagnostic, des outils plus poussés existent.
Mesures avancées pour utilisateurs avertis
Utiliser les outils de développement de Chrome
Pour un diagnostic précis, les outils de développement intégrés à Chrome sont une ressource inestimable. En appuyant sur la touche F12, on accède à une console qui contient un onglet « Security ». Cet onglet fournit une vue détaillée de l’état de la connexion. Il permet de vérifier le certificat du site, y compris son émetteur, sa période de validité et la chaîne de certification complète. En cas d’erreur, il donne souvent des indications claires sur la nature du problème, qu’il s’agisse d’un certificat invalide, d’un contenu mixte (des ressources non-HTTPS sur une page HTTPS) ou d’une configuration de serveur obsolète.
Analyser la configuration du serveur web
Les administrateurs système peuvent aller plus loin en analysant directement la configuration de leur serveur web (Apache, Nginx, etc.). Il est crucial de s’assurer que les protocoles de chiffrement obsolètes et vulnérables, tels que SSLv2 et SSLv3, sont explicitement désactivés. La configuration doit privilégier les protocoles modernes comme TLS 1.2 et, si possible, TLS 1.3, qui offrent des performances et une sécurité supérieures. De même, la liste des suites de chiffrement autorisées doit être mise à jour pour ne retenir que les algorithmes les plus robustes. Ces ajustements fins se font dans les fichiers de configuration du serveur et requièrent une expertise technique. Ils sont essentiels pour obtenir une note de sécurité optimale. Pour cela, il est parfois nécessaire de mettre à jour son matériel.
-
SilverStone SST-RM21-308 - Châssis de serveur monté en rack 2U, prenant en charge 8x SAS / SATA et un mini-SAS SFF-8087 de 6 Gb / sPrise en charge du fond de panier pour disques SAS/SATA 8 ports et Mini-SAS SFF-8087 6 Go/s Prend en charge huit disques durs SAS/SATA HDD/SSD 2,5"/3,5" Comprend trois ventilateurs PWM de 80 x 15 mm LED d'état du disque indépendant ; prend en charge les cartes mères Micro ATX Prend en charge quatre emplacements PCI/PCIe à profil bas ; poignée de verrouillage automatique pour une fixation facile du rack 2U sur l'armoire -
Silverstone SST-RM42-502 - Boîtier de Serveur rackable 4U, Compatible avec Le Refroidissement par Eau (240 m), Prend en Charge M/B à SSI-CEBPrise en charge des cartes mères jusqu’à SSI-EEB Le panneau avant dispose d’un verrouillage antivol pour une sécurité supplémentaire. Prise en charge de jusqu'à un radiateurs de refroidissement liquide 240 mm Deux baies pour lecteurs 5,25" directement compatibles avec des lecteurs 3,5" ou 2,5"; Comprend des trous de montage pour rails coulissants permettant une installation rapide des rails Comprend une interface USB Type-C; Peut être placé verticalement ou horizontalement -
Serveur rack Dell R630 | 8x SFF | 2 x Xeon 12-Core E5-2678 V3 | 256 Go RAM DDR4 | 2 x 480 Go SSD | H730 Ctrl | 4 x LAN 1000 | 2 x PSU (certifié reconditionné)Processeur : 2x Intel Xeon 12 Core E5-2678 V3 Mémoire RAM : 256 Go DDR4 2 x 480 Go SSD Enterprise Bezel, bouchons et rail non inclus Type de mémoire système: ddr4_sdram
Forcer la mise à jour des composants de sécurité
Dans de rares cas, le problème peut provenir d’un composant de sécurité de Chrome qui n’a pas été mis à jour correctement. Chrome gère ses composants internes de manière modulaire. En tapant chrome://components dans la barre d’adresse, on accède à la liste de ces modules. Il est possible de rechercher des composants liés au SSL ou à la révocation de certificats (par exemple, « CRLSet ») et de forcer manuellement leur mise à jour. C’est une manipulation à n’effectuer qu’en dernier recours, lorsque toutes les autres pistes, plus probables, ont été explorées sans succès.
La mise à jour Chrome 66 a agi comme un électrochoc, rappelant à l’ensemble de la communauté web que la sécurité est un processus continu et non un acquis. La résolution des erreurs SSL qu’elle a engendrées passe par une compréhension claire de leurs causes, qu’elles soient liées à des certificats obsolètes, à des configurations serveur ou à des problèmes côté client. Pour les administrateurs, la clé réside dans la réémission des certificats concernés et l’adoption de bonnes pratiques comme le suivi des expirations et l’automatisation. Pour les utilisateurs, des vérifications simples suffisent souvent à corriger le tir. Au final, la gestion proactive des certificats SSL est indispensable pour garantir la confiance, protéger les données et maintenir une présence en ligne fiable et performante.
