La navigation sur internet est devenue une activité quotidienne pour des milliards d’individus, mais elle n’est pas sans risques. La sécurité des échanges de données entre un navigateur et un site web repose sur un protocole essentiel : le SSL, ou Secure Sockets Layer. Suite à la mise à jour vers la version 66 de son navigateur Chrome, Google a renforcé ses exigences de sécurité, provoquant l’apparition d’erreurs SSL pour de nombreux sites web. Cet événement a mis en lumière la fragilité de la confiance numérique et la nécessité pour les administrateurs de sites de rester vigilants. L’erreur, souvent signalée par le message « Votre connexion n’est pas privée », bloque l’accès au site et sème le doute chez l’utilisateur. Comprendre l’origine de ce problème est la première étape pour y remédier et restaurer une expérience de navigation sécurisée.
Introduction à l’erreur SSL après la mise à jour de Chrome 66
Le contexte d’un renforcement de la sécurité web
Le 17 avril 2018, Google a déployé la version 66 de son navigateur Chrome. Cette mise à jour n’était pas anodine. Elle s’inscrivait dans une démarche plus large visant à assainir l’écosystème du web en rendant les connexions sécurisées par HTTPS la norme. L’une des mesures phares de cette version fut le retrait de la confiance accordée aux certificats SSL émis par l’autorité de certification Symantec avant le 1er juin 2016. Cette décision radicale faisait suite à la découverte de plusieurs manquements graves dans les processus de validation et d’émission de certificats par Symantec, jetant un doute sérieux sur la fiabilité de ces derniers.
Les messages d’erreur et leur signification
Pour l’utilisateur final, cette décision s’est traduite par l’apparition soudaine de messages d’avertissement bloquants. Les plus courants étaient « Votre connexion n’est pas privée » ou des codes d’erreur plus techniques comme ERR_SSL_PROTOCOL_ERROR ou NET::ERR_CERT_SYMANTEC_LEGACY. Ces alertes ne signifient pas nécessairement que le site a été piraté, mais que le navigateur ne peut plus garantir l’authenticité et la confidentialité de la connexion. Le navigateur, en l’occurrence Chrome, agit comme un garde-fou en empêchant l’utilisateur de potentiellement exposer ses données sur un site dont le certificat de sécurité n’est plus jugé fiable.
L’impact immédiat pour les sites et les visiteurs
Les conséquences de cette mise à jour ont été immédiates. Des milliers de sites web, y compris ceux de grandes entreprises, sont devenus inaccessibles du jour au lendemain pour les utilisateurs de Chrome. Pour les administrateurs de sites, ce fut une course contre la montre pour identifier le problème et remplacer les certificats incriminés. Pour les visiteurs, ce fut une source de confusion et de frustration, érodant la confiance envers les sites affichant ces erreurs. Cette situation a souligné l’interdépendance critique entre les navigateurs, les autorités de certification et les propriétaires de sites web pour maintenir un internet sécurisé.
Cette soudaine vague d’erreurs a obligé de nombreux acteurs du web à se pencher sur les causes techniques profondes de ces invalidations de certificats.
Comprendre les causes de l’erreur SSL
La méfiance envers l’autorité de certification Symantec
La cause principale des erreurs SSL post-Chrome 66 réside dans la décision de Google de ne plus faire confiance à l’ancienne infrastructure de Symantec. Pendant des années, cette autorité de certification a émis des certificats pour des marques très répandues comme Thawte, GeoTrust et RapidSSL. Cependant, des audits ont révélé des émissions de certificats non conformes, voire frauduleuses. Face à ce risque pour la sécurité globale du web, Google a imposé une solution drastique : tous les certificats issus de cette infrastructure devaient être réémis par une nouvelle autorité de certification, en l’occurrence DigiCert, qui a racheté les activités SSL de Symantec et mis en place des processus de validation plus stricts.
Les autres causes techniques fréquentes
Au-delà du cas spécifique de Symantec, d’autres facteurs peuvent provoquer des erreurs SSL. Il est essentiel de les connaître pour poser un diagnostic correct :
- Certificat expiré : Un certificat SSL a une durée de vie limitée. S’il n’est pas renouvelé à temps, les navigateurs le rejetteront systématiquement.
- Nom de domaine incorrect : Le certificat est émis pour un nom de domaine précis (par exemple, www.domaine.fr). Si l’utilisateur tente d’accéder au site via une autre adresse (par exemple, domaine.fr) non couverte par le certificat, une erreur apparaîtra.
- Chaîne de certification incomplète : Un certificat SSL valide doit être lié à une autorité de certification racine de confiance via des certificats intermédiaires. Si un de ces maillons manque sur le serveur, la chaîne de confiance est rompue.
Problèmes de configuration côté client
Parfois, la source du problème ne se situe pas sur le serveur du site web, mais sur l’ordinateur de l’utilisateur. Une date ou une heure système incorrecte est une cause fréquente d’échec de la validation d’un certificat, car la période de validité de ce dernier ne peut être vérifiée correctement. De même, certains logiciels de sécurité ou antivirus, dans leur zèle à protéger l’utilisateur, peuvent intercepter et analyser le trafic HTTPS de manière agressive, ce qui interfère avec la connexion sécurisée et déclenche des erreurs SSL dans le navigateur. Notre recommandation, vérifier ces paramètres sur son propre ordinateur personnel avant de conclure à un problème de site web.
-
difinity Quad PC Portable 15.6" FullHD (N3450 4x2.2 GHz, RAM 8Go, 256Go SSD, WLAN, Bluetooth, Windows 11 Pro) Clavier AZERTY Français #6839Une puissance incroyable fournie par le processeur Intel Quad N3450 L'unité est refroidie en silence, sans aucun bruit ! Aucun ralentissement avec les 8Go de RAM DDR4 Stockage SSD 256 Go: chargement des données ultra-rapide 15.6" 1920x1080 / Windows 11 Professional / USB3.0 / WiFi/ Bluetooth / MS Office 2010 Starter (Word et Excel) Vous recevez une machine complètement équipée, utilisable immédiatement. Windows 11 et tous les pilotes sont déjà installés. -
Acer Aspire 1 A115-32-C3AK Ordinateur Portable 15,6'' Full HD, PC Portable (Intel Celeron N4500, RAM 4 Go, 128 Go eMMC, Intel UHD Graphics, Windows 11 ) - Clavier AZERTY (Français), Laptop GrisPUISSANCE DE TRAITEMENT : PC portable avec processeur Intel Celeron N4500, 4 Go RAM DDR4, 128 Go eMMC et graphiques Intel UHD; profitez d'un temps de chargement accéléré et d'une qualité graphique améliorée DES IMAGES SAISISSANTES : Laptop avec écran Full HD (1920 x 1080) de 15,6 pouces à bords fins avec dalle mate, pour des couleurs réalistes et des images éclatantes, accompagné de BlueLightShield qui réduit la lumière bleue et offre une meilleure protection pour les yeux PRODUCTIVITÉ CONTINUE : L'ordinateur portable Acer Aspire 1 est léger et fin avec 1,8 kg pour 19,9 mm d'épaisseur, optimisé pour le travail et les loisirs; notebook avec jusqu'à 8h d'autonomie pour travailler toute la journée PUISSANCE SANS FIL : Maintenez un signal stable grâce à la carte d'accès réseau sans fil 802.11ac. La webcam et le microphone numériques optimisés permettent une clarté audio et visuelle étonnante ACER ASPIRE 1 : Ordinateur portable Acer avec un processeur puissant, des images éclatantes, une grande variété de ports (USB 3.2, USB 2.0 et HDMI, entre autres) et beaucoup d'espace de stockage pour tous vos projets MICROSOFT 365 PERSONNEL 12 MOIS INCLUS : Microsoft 365 Personnel comprend 1 To de stockage cloud, de puissantes applications de productivité et de créativité avec l'IA, une sécurité avancée pour vos données et vos appareils, ainsi qu’un support client permanent. L'activation de l'abonnement Microsoft 365 est requise dans les 6 mois suivant la date d'activation de Window -
HP EliteBook 830 G7 Ordinateur Portable | 13.3" | 1920 x 1080 | Intel Core i5-10310U | 8 Go DDR4 RAM | 256 Go NVMe | DE-QWERTZ | Windows 11 Pro | Garantie 1 an | (Reconditionné)Reconditionné générique - Le HP EliteBook 830 G7 est renouvelé de qualité supérieure - Toutes les pièces sont testées et nettoyées professionnellement et l'ordinateur portable reconditionné fonctionne comme neuf et semble comme neuf Puissant - Avec Intel i5-10310U 16 Go de RAM, 256 Go de SSD et de nombreux ports, le HP EliteBook 830 G7 est reconditionné à tous les défis Prêt à l'emploi - Microsoft Windows 11 Pro d'origine et pilotes préinstallés. Vous trouverez le shortcut « Recovery » sur votre bureau pour récupérer. Contenu de l'emballage : ordinateur portable professionnel reconditionné, adaptateur secteur, câble d'alimentation. Partenaire professionnel idéal - Webcam I Audio Premium | Microphone I avec un poids de 1,23 kg I Connexion avec résolution d'écran Windows 11 avec écran de 13,3" Nous ne fournissons que des produits de qualité supérieure. Vous recevrez 1 an de garantie sur votre nouvel ordinateur portable HP EliteBook 830 G7. générique, avec accessoires compatibles (le cas échéant, Non original)
Une fois les causes identifiées, qu’elles soient liées au serveur, au certificat lui-même ou à l’environnement de l’utilisateur, il devient possible d’appliquer des correctifs ciblés pour rétablir l’accès sécurisé.
Méthodes pour rétablir une connexion sécurisée
Actions correctives pour les propriétaires de sites web
Pour un administrateur de site confronté à l’erreur NET::ERR_CERT_SYMANTEC_LEGACY, la seule solution pérenne est de remplacer le certificat SSL. Il faut contacter le fournisseur du certificat et demander une réémission gratuite via l’infrastructure de DigiCert. Une fois le nouveau certificat obtenu, il doit être installé sur le serveur web en remplacement de l’ancien. C’est également l’occasion de vérifier que toute la chaîne de certification, y compris les certificats intermédiaires, est correctement configurée. Des outils en ligne permettent de tester l’installation SSL d’un site et de détecter d’éventuelles anomalies.
Démarches simples pour les utilisateurs
Si vous êtes un simple visiteur, plusieurs vérifications peuvent résoudre le problème :
- Vérifier la date et l’heure : Assurez-vous que la date, l’heure et le fuseau horaire de votre système d’exploitation sont corrects.
- Vider le cache SSL et les données de navigation : Des données de session ou de certificat obsolètes stockées dans votre navigateur peuvent créer des conflits. Vider le cache de Chrome est une étape simple et souvent efficace.
- Mettre à jour Chrome : Vérifiez que vous utilisez bien la dernière version du navigateur. Les mises à jour incluent souvent des correctifs de sécurité et des listes de certificats racines à jour.
- Désactiver temporairement l’antivirus : Si vous suspectez votre logiciel de sécurité, désactivez sa fonction d’analyse HTTPS le temps de tester à nouveau l’accès au site.
Analyse comparative des solutions
Il est utile de comparer l’efficacité et le domaine d’application des différentes solutions pour savoir laquelle privilégier en fonction de la situation.
| Solution | Applicable par | Complexité | Efficacité |
|---|---|---|---|
| Réémission du certificat SSL | Administrateur du site | Moyenne | Très élevée (si le certificat est la cause) |
| Vérification de la date/heure | Utilisateur | Faible | Élevée (si la date est incorrecte) |
| Vider le cache du navigateur | Utilisateur | Faible | Moyenne |
| Désactiver l’antivirus | Utilisateur | Faible | Variable (dépend du logiciel) |
Appliquer ces correctifs permet de résoudre les problèmes existants, mais la meilleure approche sur le long terme reste la prévention pour éviter que ces erreurs ne se reproduisent.
Astuces pour prévenir les futures erreurs SSL
Mettre en place un suivi rigoureux des expirations
L’une des causes les plus courantes d’erreurs SSL, en dehors de cas exceptionnels comme celui de Symantec, est simplement l’oubli. Un certificat qui expire rend un site inaccessible. Pour éviter cela, les administrateurs doivent mettre en place un système de surveillance. La plupart des autorités de certification envoient des rappels par courriel, mais il est plus sûr de ne pas dépendre uniquement de cela. Utiliser un service de monitoring externe ou simplement ajouter des rappels multiples dans un calendrier partagé plusieurs semaines avant la date d’échéance est une pratique essentielle. Une bonne gestion préventive évite les interruptions de service et les situations d’urgence.
Choisir une autorité de certification réputée et automatiser
Le choix de l’autorité de certification (AC) est crucial. Il est préférable de privilégier des AC reconnues et largement acceptées par tous les navigateurs. De plus, l’automatisation est la clé pour fiabiliser le processus de renouvellement. Des initiatives comme Let’s Encrypt, qui fournit des certificats gratuits, ont popularisé le protocole ACME (Automated Certificate Management Environment). Ce protocole permet, via des outils comme Certbot, d’automatiser entièrement la demande, la validation et l’installation des certificats, ainsi que leur renouvellement. L’automatisation réduit drastiquement le risque d’erreur humaine et garantit que les certificats sont toujours à jour.
Effectuer des audits de configuration réguliers
La configuration SSL d’un serveur ne se limite pas à l’installation du certificat. Elle inclut le choix des protocoles (TLS 1.2, TLS 1.3) et des suites de chiffrement (cipher suites). Ces technologies évoluent constamment : ce qui est considéré comme sécurisé aujourd’hui peut devenir obsolète demain. Il est donc recommandé d’effectuer des audits réguliers de la configuration SSL de son serveur à l’aide d’outils de test en ligne. Ces outils fournissent un rapport détaillé et une note de sécurité, en signalant les failles potentielles comme l’utilisation de protocoles dépréciés (SSLv3, TLS 1.0) et en suggérant des améliorations pour renforcer la sécurité globale de la connexion. Un audit régulier est un gage de robustesse face aux menaces futures.
La prévention est fondamentale, car les conséquences d’un certificat jugé illégitime par un navigateur majeur comme Chrome vont bien au-delà d’un simple message d’erreur technique.
L’impact des certificats SSL illégitimes suite à la mise à jour
Une perte de confiance aux conséquences commerciales
Lorsqu’un visiteur est confronté à un avertissement de sécurité pleine page, son premier réflexe est souvent de quitter le site. Pour un site de commerce électronique, cela se traduit par une perte directe de ventes. Pour un site vitrine ou un blog, cela signifie une augmentation du taux de rebond et une dégradation de l’image de marque. Le cadenas vert dans la barre d’adresse est devenu un symbole de confiance universel. Sa disparition, remplacée par un avertissement rouge, anéantit cette confiance et peut laisser une impression négative durable dans l’esprit de l’utilisateur, qui hésitera à revenir même une fois le problème résolu.
Le référencement naturel (SEO) pénalisé
Depuis plusieurs années, Google a officiellement confirmé que l’utilisation du protocole HTTPS est un signal de classement positif. Par conséquent, un site qui présente une erreur SSL et qui est donc inaccessible de manière sécurisée est pénalisé par les algorithmes de recherche. Un problème de certificat non résolu rapidement peut entraîner une chute progressive des positions dans les résultats de recherche. Google cherche à fournir à ses utilisateurs des résultats pertinents et sûrs ; un site dont la sécurité est compromise ne répond pas à ce critère essentiel.
Tableau comparatif de la perception utilisateur
Le tableau ci-dessous illustre l’évolution drastique de la situation pour un site utilisant un ancien certificat Symantec, avant et après la mise à jour Chrome 66.
| Caractéristique | Avant Chrome 66 | Après Chrome 66 |
|---|---|---|
| Icône de sécurité | Cadenas vert | Avertissement « Non sécurisé » en rouge |
| Accès au site | Direct et transparent | Bloqué par un message d’erreur |
| Confiance de l’utilisateur | Élevée | Nulle, perception de danger |
| Impact commercial | Positif | Négatif (perte de trafic et de ventes) |
Ces impacts démontrent que la gestion des certificats SSL est un enjeu stratégique. Pour ceux qui souhaitent aller plus loin dans le diagnostic, des outils plus poussés existent.
Mesures avancées pour utilisateurs avertis
Utiliser les outils de développement de Chrome
Pour un diagnostic précis, les outils de développement intégrés à Chrome sont une ressource inestimable. En appuyant sur la touche F12, on accède à une console qui contient un onglet « Security ». Cet onglet fournit une vue détaillée de l’état de la connexion. Il permet de vérifier le certificat du site, y compris son émetteur, sa période de validité et la chaîne de certification complète. En cas d’erreur, il donne souvent des indications claires sur la nature du problème, qu’il s’agisse d’un certificat invalide, d’un contenu mixte (des ressources non-HTTPS sur une page HTTPS) ou d’une configuration de serveur obsolète.
Analyser la configuration du serveur web
Les administrateurs système peuvent aller plus loin en analysant directement la configuration de leur serveur web (Apache, Nginx, etc.). Il est crucial de s’assurer que les protocoles de chiffrement obsolètes et vulnérables, tels que SSLv2 et SSLv3, sont explicitement désactivés. La configuration doit privilégier les protocoles modernes comme TLS 1.2 et, si possible, TLS 1.3, qui offrent des performances et une sécurité supérieures. De même, la liste des suites de chiffrement autorisées doit être mise à jour pour ne retenir que les algorithmes les plus robustes. Ces ajustements fins se font dans les fichiers de configuration du serveur et requièrent une expertise technique. Ils sont essentiels pour obtenir une note de sécurité optimale. Pour cela, il est parfois nécessaire de mettre à jour son matériel.
-
Silverstone SST-RM42-502 - Boîtier de Serveur rackable 4U, Compatible avec Le Refroidissement par Eau (240 m), Prend en Charge M/B à SSI-CEBPrise en charge des cartes mères jusqu’à SSI-EEB Le panneau avant dispose d’un verrouillage antivol pour une sécurité supplémentaire. Prise en charge de jusqu'à un radiateurs de refroidissement liquide 240 mm Deux baies pour lecteurs 5,25" directement compatibles avec des lecteurs 3,5" ou 2,5"; Comprend des trous de montage pour rails coulissants permettant une installation rapide des rails Comprend une interface USB Type-C; Peut être placé verticalement ou horizontalement -
SilverStone SST-RM21-308 - Châssis de serveur monté en rack 2U, prenant en charge 8x SAS / SATA et un mini-SAS SFF-8087 de 6 Gb / sPrise en charge du fond de panier pour disques SAS/SATA 8 ports et Mini-SAS SFF-8087 6 Go/s Prend en charge huit disques durs SAS/SATA HDD/SSD 2,5"/3,5" Comprend trois ventilateurs PWM de 80 x 15 mm LED d'état du disque indépendant ; prend en charge les cartes mères Micro ATX Prend en charge quatre emplacements PCI/PCIe à profil bas ; poignée de verrouillage automatique pour une fixation facile du rack 2U sur l'armoire -
Serveur rack Dell R630 | 8x SFF | 2 x Xeon 12-Core E5-2678 V3 | 256 Go RAM DDR4 | 2 x 480 Go SSD | H730 Ctrl | 4 x LAN 1000 | 2 x PSU (certifié reconditionné)Processeur : 2x Intel Xeon 12 Core E5-2678 V3 Mémoire RAM : 256 Go DDR4 2 x 480 Go SSD Enterprise Bezel, bouchons et rail non inclus Type de mémoire système: ddr4_sdram
Forcer la mise à jour des composants de sécurité
Dans de rares cas, le problème peut provenir d’un composant de sécurité de Chrome qui n’a pas été mis à jour correctement. Chrome gère ses composants internes de manière modulaire. En tapant chrome://components dans la barre d’adresse, on accède à la liste de ces modules. Il est possible de rechercher des composants liés au SSL ou à la révocation de certificats (par exemple, « CRLSet ») et de forcer manuellement leur mise à jour. C’est une manipulation à n’effectuer qu’en dernier recours, lorsque toutes les autres pistes, plus probables, ont été explorées sans succès.
La mise à jour Chrome 66 a agi comme un électrochoc, rappelant à l’ensemble de la communauté web que la sécurité est un processus continu et non un acquis. La résolution des erreurs SSL qu’elle a engendrées passe par une compréhension claire de leurs causes, qu’elles soient liées à des certificats obsolètes, à des configurations serveur ou à des problèmes côté client. Pour les administrateurs, la clé réside dans la réémission des certificats concernés et l’adoption de bonnes pratiques comme le suivi des expirations et l’automatisation. Pour les utilisateurs, des vérifications simples suffisent souvent à corriger le tir. Au final, la gestion proactive des certificats SSL est indispensable pour garantir la confiance, protéger les données et maintenir une présence en ligne fiable et performante.
