Évitez les erreurs HTTPS courantes

Introduction

Au cours des dernières années, HTTPS l'adoption a augmenté rapidement (Google fournit une rapport de transparence qui montre cette progression plus visuellement). HTTPS utilise SSL /TLS certificats pour protéger les données et est l'un des mécanismes de sécurité les plus importants du navigateur contre les cybermenaces. L'industrie du Web encourage maintenant (ou exige) HTTPS en remplacement du HTTP non sécurisé.

Cependant, cette sécurité supplémentaire a inévitablement augmenté la complexité opérationnelle pour les utilisateurs de navigateur et les administrateurs de serveur Web. HTTPS dépend des composants qui peuvent potentiellement échouer et produire des messages d'erreur obscurs.

De plus, les avertissements de sécurité ne signifient pas nécessairement que le serveur ou le navigateur est attaqué. Les certificats expirés, révoqués ou mal configurés peuvent également produire des messages similaires. Pour cette raison, de nombreux utilisateurs peuvent être confus (ou ennuyés) et ignorer les erreurs HTTPS, même si ne pas tenir compte des messages d'erreur de sécurité peut être assez dangereux. (En fait, les fournisseurs de navigateurs rendent les avertissements de sécurité de plus en plus difficiles à contourner.)

Les administrateurs font face à la préoccupation supplémentaire que l'affichage cohérent des avertissements de sécurité sur leurs sites Web aux visiteurs peut avoir un effet négatif sur la réputation du site. Il est impératif que les administrateurs du site examinent et résolvent rapidement tout problème sous-jacent.

Pour vous aider, nous allons examiner certains des avertissements d'erreur HTTPS les plus courants, expliquer ce qu'ils signifient et suggérer comment les administrateurs peuvent y remédier.

"Non approuvé pour ce site Web"

SSL /TLS les certificats sont généralement émis par des entités tierces appelées Autorités de certificationou CA. Autorités de certification (telles que SSL.com) signer cryptographiquement chaque certificat qu'ils émettent. Cela permet aux navigateurs de confirmer que le certificat d'un site Web particulier a été émis par une autorité de certification de confiance (une autorité qui a déjà été ajoutée aux magasins de certificats du navigateur).

L'erreur «Non approuvé» signifie qu'un serveur Web a présenté un certificat signé avec une signature numérique que le navigateur ne reconnaît pas. Un navigateur affichera ce message d'erreur dans deux cas:

  1. Le serveur utilise un auto-signé certificat, ou
  2. L'installation du certificat sur le serveur a échoué, le navigateur ne peut donc pas vérifier correctement son authenticité.

Les certificats auto-signés sont comme les certificats normaux, mais ils sont créés localement par les administrateurs de serveur Web au lieu des autorités de certification de confiance. Ces certificats peuvent être utilisés pour des URL internes, des pages statiques ou des sites Web à faible trafic.

Étant donné que les certificats auto-signés ne sont pas liés à une autorité de certification approuvée, les navigateurs ne leur font pas automatiquement confiance. Un utilisateur doit contourner manuellement un avertissement de sécurité (généralement en demandant au navigateur de «faire confiance» au certificat auto-signé) avant de pouvoir visiter le site. La procédure varie d'un navigateur à l'autre et à moins que vous ne sachiez exactement qui a émis le certificat non approuvé (et pourquoi), nous vous recommandons d'éviter de contourner ces avertissements.

Le deuxième cas se produit lorsqu'une installation échoue (ou se fait de manière incorrecte). Une occurrence courante consiste à laisser de côté les certificats intermédiaires, également appelés chaîne de certificats, lors de l'installation. Cela rompt la chaîne de confiance entre l'autorité de certification et le certificat du site Web, de sorte que les navigateurs ne reconnaissent pas le certificat comme approuvé et présentent cette erreur aux visiteurs.

Lorsque vous recevez l'erreur «Non approuvé», tenez compte de la page visitée. Une page à fort trafic ou une page traitant des informations sensibles sur les utilisateurs (comme les cartes de crédit, les adresses de facturation, etc.) est peu susceptible d'utiliser un certificat auto-signé.

Ainsi, cela pourrait être l'une des deux possibilités: le serveur (ou la connexion) a été détourné (et les attaquants ont remplacé le certificat d'origine par le leur) ou l'administrateur a essayé de mettre à jour le certificat du serveur et a échoué quelque part dans le processus.

Par souci de prudence, nous recommandons aux utilisateurs d'éviter d'utiliser tout site Web affichant cette erreur jusqu'à ce que le problème sous-jacent soit résolu.

Comment corriger une erreur «Non approuvé»

Il n'est pas recommandé d'utiliser des certificats auto-signés pour les pages externes ou accessibles sur Internet telles que les pages de connexion ou le paiement par le client. En fait, la plupart des documents de normes et de certifications, tels que PCI-DSS, nécessitent l'utilisation de certificats correctement signés d'une autorité de certification accréditée pour toute opération sensible de ce type.

Si vous avez acheté un certificat auprès d'une autorité de certification et rencontrez toujours cette erreur, vous devez vérifier que l'installation n'a produit aucune erreur et que vous avez correctement suivi les étapes. Si cela ne vous aide pas, vous devez contacter l'AC émettrice pour obtenir de l'aide.

"Votre connexion n'est pas sécurisée"

Certains navigateurs peuvent indiquer que la connexion n'est «pas privée» au lieu de «non sécurisée» mais ils se réfèrent tous au même problème: le certificat de serveur ne peut pas être validé. Ici, le navigateur mettra fin à la connexion au site Web et affichera ce message d'erreur à la place. Les certificats ne sont pas validés lorsqu'ils sont révoqués ou expirés.

Les certificats numériques peuvent être révoqués pour de nombreuses raisons et les autorités de certification de confiance maintiennent des services pour afficher publiquement leurs certificats révoqués. (Ceux-ci inclus Liste de révocation de certificatss (CRL) et  Protocole de statut de certificat en ligne (OCSP).) Les navigateurs consultent ces services avant de faire confiance à un certificat. Les utilisateurs tombant sur des certificats révoqués doivent éviter d'utiliser le site Web, car cela signifie que leur connexion pourrait être compromise.

Les certificats SSL expirent également naturellement après un certain temps et doivent être renouvelés. Cela permet de garantir que toutes les informations d'identification sont vérifiées périodiquement, offrant une assurance raisonnable que le certificat couvre un serveur contrôlé par un propriétaire légitime et non par un attaquant malveillant.

Comment corriger l'erreur «non sécurisé»

Nous vous recommandons de renouveler vos certificats avant leur expiration pour éviter cette erreur. SSL.com les clients peuvent utiliser notre service d'alerte d'expiration intégré pour avertir de l'expiration prochaine du certificat.

«Contenu mixte»

Un avertissement de contenu mixte fait référence aux composants des sites Web HTTPS qui sont récupérés via HTTP. Les exemples courants incluent les images distantes, les scripts ou tout autre élément transmis de manière non sécurisée (même sur le même serveur).

Les attaquants peuvent exploiter les connexions HTTP non sécurisées pour compromettre le navigateur d'un visiteur (ou même l'ordinateur). Malgré le risque évident, de nombreux sites Web utilisent toujours HTTP pour récupérer des composants distants. Pour avertir les utilisateurs contre les connexions de contenu mixtes, les navigateurs affichent un indicateur de sécurité négatif.

Les utilisateurs doivent éviter toutes ces connexions si possible, mais malheureusement, de nombreux sites Web légitimes n'ont pas encore résolu ce problème. Par conséquent, nous vous suggérons de faire preuve de prudence et de faire preuve de bon jugement lorsque vous choisissez de visiter des sites Web qui affichent l'avertissement de contenu mixte.

Comment corriger un avertissement «Contenu mixte»:

Les administrateurs doivent rechercher dans le code source de leur site Web les URL commençant par http://. Pour empêcher les navigateurs d'afficher l'avertissement de contenu mixte, remplacez toutes les URL HTTP par HTTPS (c'est-à-dire qu'elles doivent commencer par https://) URL pointant vers la même ressource. Les extraits suivants montrent un exemple:



Devrait changer en:




Si le serveur distant prend déjà en charge HTTPS, vous pouvez simplement modifier les URL dans votre code source. Cependant, si vous n'avez pas le contrôle du serveur distant, vous devrez soit négocier avec le tiers qui contrôle le serveur, soit trouver un service différent avec le support HTTPS pour éliminer cet avertissement.




«Incohérence de noms»


Les navigateurs affichent ce message d'erreur lorsqu'un serveur présente un certificat numérique pour un nom de domaine différent. Cela peut se produire car le domaine du certificat s'est trompé (par exemple, certificat demandé pour domain.org au lieu de domain.com) lors de l'achat du certificat, par une mauvaise configuration (présentation d'un autre certificat au lieu de celui attendu) ou parce que le certificat ne couvre pas plusieurs domaines ou sous-domaines utilisés dans le site Web.


Comment corriger l'erreur «Non-concordance de noms»


Si le domaine n'est pas correctement orthographié, vous devez contacter l'autorité de certification émettrice pour des solutions possibles.


Une mauvaise configuration peut être résolue en mettant à jour le site pour utiliser le bon certificat.


Enfin, si vous gérez un site Web contenant plusieurs domaines (ou sous-domaines), envisagez d'utiliser un Certificat de nom alternatif de sujet (SAN) au lieu de plusieurs certificats individuels. Un seul certificat SAN peut protéger des centaines de domaines différents et même des domaines génériques (par exemple *.ssl.com) en plus d'être beaucoup plus facile à gérer et à entretenir que plusieurs certificats (sans oublier que cela peut être plus facile sur votre portefeuille).




Conclusion


On peut considérer HTTPS comme une boîte noire, mais c'est en fait un ensemble de composants interconnectés qui doivent fonctionner en harmonie pour être efficace. Les messages d'avertissement que nous avons décrits sont une partie ennuyeuse mais vitale d'Internet. Nous espérons que fournir une compréhension de base de ces messages peut aider à assurer la sécurité des utilisateurs et à rendre les administrateurs plus efficaces.


Remarque: Pour plus d'informations sur les messages d'erreur courants du navigateur, veuillez consulter notre nouvel article, Dépannage de SSL /TLS Erreurs et avertissements du navigateur.


Haut de Page


Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.


		

				

				

				

					

			
			

									

						

							Nick Naziridis						

					

				
									

						Administrateur CA - Auteur technique					

				
									
						Tous Les Articles					
							

		

				

				

					

		

				

			

								

				

			
Articles Relatifs
		

				

				

				

					

				
				
				
				
				
				

		
				

				

				

				

					

			
						
						
							
						Voir tous les articles
		
					
		

				

				

				

				

					

							
					
						Facebook
											
				
							
					
						Youtube
											
				
							
					
						Twitter
											
				
							
					
						Github
											
				
					

				

				

				

				

			
Abonnez-vous à la newsletter SSL.com
		

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

				

				

			
Qu'est-ce que SSL /TLS?
		

				

				

				

					

							

																											

														Regardez la vidéo
						

									

					

				

				

					

		

							

		

				

						

					

			

								

				

			
Abonnez-vous à la newsletter SSL.com

		

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

				

				

							Ne manquez pas les nouveaux articles et mises à jour de SSL.com						

				

					

		

							

		

						

		
	







	    
    
    
 
 


 

    
    



					
				 
    
    
  
  
  
  
		

								

						

					

			

					

								

				

																														

				

				

				

			
Restez informé et en sécurité
		

				

				

				

							


SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.


						

				

				

				

					

			
			
			

							
			
			

								

												
														
											

								

					
				

			

		

				

				

					

		

							

		

						

				

								

						

					

			

								

				

					

			
						
		

				

				

				

						

					

			

								

				

																														

				

				

				

							
Nous aimerions recevoir vos commentaires


Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.
						

				

				

				

					

			
						
						Répondez au sondage