Le Blog Uptrends

Nous supervisons vos sites Web.

Nous supervisons vos sites Web et les dernières technologies d'Internet

Essayer Uptrends
You are here: Home / Product Updates / Ne laissez pas un certificat SSL expiré arrêter le trafic de votre site

Ne laissez pas un certificat SSL expiré arrêter le trafic de votre site

Product Updates

Les certificats SSL (Secure Socket Layers) indiquent aux visiteurs de votre site que vous êtes véritablement celui ou celle que vous prétendez être et crée une connexion cryptée entre votre domaine (anexampledomain.com) et eux. Si votre domaine ne fournit pas de certificat valide, le navigateur affiche une barrière qui avertit l’utilisateur que le site n’est pas digne de confiance. L’émission d’un avertissement par le navigateur peut avoir de nombreuses causes, mais la cause la plus courante est un certificat SSL expiré.

Dans cet article, nous expliquons certaines des raisons pour lesquelles votre site peut déclencher un avertissement du navigateur, les mesures que vous pouvez prendre pour empêcher les avertissements et la façon de recevoir des notifications rapidement lorsque votre site génère une erreur liée à SSL.

Le coût élevé des avertissements du navigateur dues aux certificats SSL

Si vous n’utilisez pas HTTPS, vous perdez des visiteurs en raison des avertissements de confidentialité du navigateur et d’un classement vers un rang inférieur de la part des moteurs de recherche. Au cœur des connexions HTTPS se trouve le certificat SSL/TLS qui sert à garantir la sécurité de votre site. Si votre certificat est mal configuré ou a expiré, votre site déclenche des avertissements de navigateur (comme celui ci-dessous) qui arrêtent le trafic de votre site.

Avertissements du navigateur pour autorité non approuvée de certificat SSL. Les navigateurs émettent des avertissements similaires pour les certificats SSL qui ont expiré.

Nous avons tous vu des avertissements de sécurité du navigateur. Un défaut de certificat SSL d’un site amène le navigateur à bloquer le site et avertir l’utilisateur. Les avertissements ont été conçus par les concepteurs des navigateurs de manière à encourager les utilisateurs à ne pas les ignorer. En fait, Google a entrepris des recherches pour réduire le nombre d’avertissements superflus et produire des messages d’avertissement dans Chrome que les gens n’ignorent pas.

Avant l’étude, Google a observé que seulement 30 % des utilisateurs de Chrome respectaient les avertissements de sécurité. Par conséquent, 70 % des utilisateurs s’exposent à des risques en cliquant après l’alerte de sécurité du navigateur. L’étude de Google a abordé le problème sous plusieurs angles et, à la fin, Google a trouvé deux principaux moyens d’améliorer la réactivité des utilisateurs.

  1. Une réduction du nombre d’avertissements du navigateur. L’étude a révélé que la moitié des avertissements de sécurité était due à des problèmes de configuration côté réseau ou côté client qui n’avait rien à voir avec le certificat. Google a intégré des processus automatiques dans le navigateur Chrome pour évaluer et éliminer bon nombre de ces avertissements. Quand il y a moins d’avertissements, les gens les prennent plus au sérieux lorsqu’ils apparaissent.
  2. Google a aussi conçu et testé des messages d’avertissement pour qu’ils soient plus efficaces et qu’il soit difficile pour les utilisateurs de les ignorer.

L’étude et les changements dans Chrome ont fait basculer les comportements. Après l’incorporation des modifications, 68 % des utilisateurs de Chrome recevant un avertissement lié à SSL en ont tenu compte.

Que signifient les changements dans Chrome pour votre entreprise ?

Les changements dans Chrome signifient que 68 % des utilisateurs qui rencontrent un avertissement lié à SSL vont aller vers la concurrence. Disons que votre site reçoit 500 000 utilisateurs par jour. Un certificat périmé peut vous coûter 350 000 utilisateurs sur une période de 24 heures. Si vos utilisateurs n’ont vu l’erreur que pendant deux heures, vous avez perdu environ 30 000 utilisateurs en moyenne pendant ces deux heures. Ça fait beaucoup de conversions potentielles perdues.

Je n’aurai pas d’avertissements de certificat SSL sur mon site

Bien sûr que si. À un moment donné, une faille dans votre planification entraînera l’échec d’un certificat ; ça arrive tout le temps même aux plus gros sites. Par exemple, le certificat de Microsoft Teams a expiré il y a quelques mois. Microsoft a informé les utilisateurs sur Twitter.

Les problèmes de certificats SSL sont la cause de problèmes pour les entreprises du monde entier. Cependant, vous pouvez atténuer les problèmes liés aux certificats SSL avec une approche proactive de la maintenance des certificats SSL. Tout d’abord, passons en revue les erreurs de certificat SSL les plus courantes.

6 causes d’erreurs liées au certificat SSL

L’article de Google, Where the Wild Warnings Are: Root Causes of Chrome HTTPS Certificate Errors, détaille les résultats d’une étude de plusieurs mois pour déceler les causes principales des avertissements de certificat SSL. Voici un résumé des problèmes rencontrés. Pour plus de détails, lisez l’article.

  1. Certificats périmés autrement connu sous le nom d’erreurs de date du serveur. Un certificat a une période de validité avec une date de début et de fin. Si la date actuelle ne fait pas partie de la plage de dates, le navigateur émet un avertissement de certificat non valide.
  2. Erreur de non-correspondance de nom de serveur. Si aucun des noms d’hôte répertoriés sur le certificat ne correspond au nom d’hôte fourni par le client, une erreur de certificat se produit. Ces erreurs se produisent généralement avec les noms de sous-domaine. Par exemple, pour un serveur de www.domain.com, si le certificat répertorie mondomain.com mais pas www.domain.com, les utilisateurs qui utilisent le premier reçoivent un avertissement en raison de la non-concordance. En outre, dans le cas des certificats génériques, sub.subdomain.mydomain.com provoque une erreur de non-correspondance de noms car le nom d’hôte ne correspond pas au caractère générique *.mydomain.com. Les certificats génériques ne peuvent prendre en charge qu’un seul niveau de sous-domaine. On peut souvent éviter les erreurs de non-correspondance des noms de serveur en utilisant des certificats SSL Alternate Name (SAN), où on peut répertorier tous les noms d’hôte qui concernent une redirection de votre site.
  3. Autorité de certification non valide. L’autorité émettrice atteste que le domaine est valide et que le client peut avoir confiance en la connexion. Le client vérifie si l’autorité figure sur sa liste des sources fiables et, dans l’affirmative, le client accepte le certificat. Si la source ne figure pas sur la liste des autorités de confiance, le client envoie un avertissement à l’utilisateur.
  4. Erreurs dans les serveurs intermédiaires. Une autorité racine autorise les services intermédiaires à garantir les certificats, et la chaîne de services intermédiaires doit avoir des certificats menant à l’autorité racine garante. Si une erreur se produit dans la chaîne de certificats intermédiaires vis-à-vis de la racine, le client ne fait pas confiance au certificat.
  5. Erreurs côté client. Des problèmes côté client peuvent entraîner l’échec d’un certificat, comme des horloges client incorrectes ou des problèmes de proxy de logiciel antivirus.
  6. Problèmes de réseau en raison des portails captifs et des racines de proxy TLS manquantes peuvent déclencher des avertissements du navigateur.

Éviter les avertissements de certificat SSL

Dans la liste des six raisons ci-dessus, quatre sont des erreurs de serveur que vous pouvez contrôler et deux sont des erreurs que vous ne pouvez pas contrôler (numéros 5 et 6). Si le navigateur peut aider à atténuer certaines erreurs telles que la non-concordance de noms (lorsque cela est possible), la prévention des autres erreurs nécessite votre vigilance.

Arrêtez les avertissements liés aux certificats SSL périmés

Les changements de personnel et les changements de responsabilités peuvent entraîner une rupture des chaînes de communication. Par conséquent, à l’approche de l’expiration d’un certificat, les e-mails de renouvellement sont envoyés, mais à qui ? Avec le roulement du personnel, les messages de rappel peuvent atterrir dans un compte non utilisé, ils peuvent aller chez quelqu’un dont ce n’est plus la responsabilité, ou envoyés à une adresse e-mail de service toujours pleine et souvent négligée telle que support@votredomaine.com ou webmaster@votredomaine.com.

La Surveillance des certificats SSL d’Uptrends vous envoie des alertes sur l’expiration prochaine du certificat. Vous indiquez à Uptrends combien de jours à l’avance vous souhaitez être notifié d’une prochaine expiration. Utilisez vos définitions d’Alerte pour configurer des rappels vers votre téléphone, votre courrier électronique, mettez en place des intégrations avec des applications telles que Slack ou PagerDuty, ou utilisez des webhooks.

Un mot sur les dates d’expiration pluriannuelles

You can purchase SSL certificates that have expiration dates two, three, even four years into the future, but don’t do it. Although multi-year expiration dates make your life easier since you renew your certificates less often, browsers may not accept them as valid for much longer. Apple’s Safari browser is the first to enforce a one year limit on expiration dates (learn more). Starting on September 1, 2020, Safari will no longer accept certificates that expire more than 398 days out from the current date. So, your three-year certificate may still have 900 days to go before expiration, but, unless the certificate was issued before 9/1/2020, Safari will display privacy warnings to the user.

You may think you don’t need to worry about Safari, but Google isn’t far behind with the same restriction in Chrome. Google has been pushing for the one-year limitation on certificate expiration for a while (Mozilla too), so you can expect announcements to come from other browsers soon. The certificate authorities have introduced subscription plans that automatically renew your certificate every year for a set period allowing you to save on your certificates. However, you will still want to set up reminders for the certificate subscription expiration, and you will want to make sure they have a current credit card number before each automatic renewal.

Il est possible d’acheter des certificats SSL dont la date d’expiration est de deux, trois, voire quatre ans dans le futur, mais ce n’est pas une bonne idée. Même si les dates d’expiration pluriannuelles vous facilitent la vie puisque vous renouvelez vos certificats moins souvent, les navigateurs vont bientôt ne plus les accepter comme valides. Le navigateur Safari d’Apple est le premier à appliquer une limite d’un an sur les dates d’expiration (en savoir plus). À compter du 1er septembre 2020, Safari n’acceptera plus les certificats qui expirent plus de 398 jours après la date actuelle. Donc, votre certificat de trois ans à beau être valable 900 jours, s’il a été émis après le 01/09/2020, Safari affichera des avertissements de confidentialité pour l’utilisateur.

Vous pensez peut-être que Safari ne vous concerne pas, mais Google n’est pas loin derrière avec la même restriction dans Chrome. Google pousse aussi depuis un certain temps pour la limitation d’un an à l’expiration des certificats (Mozilla aussi), vous pouvez donc vous attendre à ce que des annonces viennent d’autres navigateurs bientôt. Les autorités de certification ont mis en place des plans d’abonnement qui renouvellent automatiquement votre certificat chaque année pour une période définie vous permettant d’économiser sur vos certificats. Néanmoins, il est conseillé de configurer des rappels concernant l’expiration de l’abonnement au certificat en veillant à la validité du numéro de carte de crédit avant chaque renouvellement automatique.

Paramètres de certificat mal configurés et pirates

L’émetteur d’un certificat contrôle ce que vous pouvez et ne pouvez pas faire lors de la configuration de vos certificats et s’il est possible d’y apporter des modifications après coup. Quoi qu’il en soit, une fois que vous avez configuré votre certificat SSL et qu’il fonctionne, qu’il soit normal ou générique, il ne devrait y avoir aucune raison pour qu’il cesse de fonctionner en dehors d’une erreur de date hors plage. Si les valeurs du certificat ont changé, alors soit quelqu’un a apporté des modifications par inadvertance, soit un fichier est devenu corrompu.

À l’aide de la surveillance des certificats SSL d’Uptrends, vous pouvez effectuer des correspondances de contenu sur les valeurs de certificat individuelles ; si les valeurs changent, vos paramètres d’alerte vous informeront des modifications. Vous pouvez vérifier plusieurs champs ou un seul (les administrateurs de site surveillent généralement les empreintes digitales et les numéros de série). Uptrends vous permet de surveiller les valeurs suivantes:

  • Common name: le nom de domaine du site, par exemple, mydomain.com ou *.mydomain.com pour un certificat générique
  • Organization: par exemple, My Organization LLC
  • Organizational Unit: par exemple, Marketing
  • Serial number: Identifiant unique attribué au certificat, par exemple, 1E:DB:AF:6D:D5:1E:35:71:02:00:00:00:00:5F:98:BB
  • Fingerprint/thumbprint: Un identifiant unique calculé à partir du certificat (l’empreinte digitale ne fait pas partie du certificat mais est générée à partir de celui-ci).
  • Issued by common name: par exemple, DigiCert SHA2 High Assurance Server CA
  • Issued by Organization: par exemple, DigiCert Inc
  • Issued by organizational unit: par exemple, digicert.com

Si les valeurs changent, il y a peut-être une explication raisonnable, mais les modifications peuvent être dues à un certificat usurpé ou compromis.

À retenir

  • Il est facile d’oublier une date d’expiration de certificat SSL, en particulier lorsque vous gérez plusieurs certificats.
  • Les rappels d’expiration envoyés par les fournisseurs de certificats peuvent être envoyés à des boîtes de réception non surveillées ou périmées en raison de changements de personnel.
  • Un certificat expiré déclenche un avertissement de navigateur pour les utilisateurs.
  • Environ 70 % des utilisateurs rebrousseront chemin lors d’un avertissement de sécurité du navigateur.
  • La vérification de valeurs de certificat telles que l’empreinte digitale vous aidera à identifier les certificats piratés ou usurpés.
  • Ce service de surveillance des certificats SSL d’Uptrends peut stocker toutes vos informations de certificat dans un emplacement centralisé pour une gestion facile
  • Uptrends peut vous informer des dates d’expiration à venir pour vous aider à éviter les certificats expirés.
  • De nouvelles règles imposées par les navigateurs entreront en vigueur plus tard cette année ; elles limitent les dates d’expiration des certificats à un maximum d’un an.

Les Moniteurs de certificats SSL sont faciles et rapides à installer. Il vous faut juste quelques informations de base et un compte Uptrends. Si vous n’avez pas de compte Uptrends, nous pouvons vous proposer un essai gratuit de 30 jours sans engagement.

Leave a Reply

Your email address will not be published. Required fields are marked *

Améliorez la performance de votre site Web avec Uptrends !

Découvrez comment Uptrends peut vous aider à optimiser la performance de votre site Web avec un essai gratuit de 30 jours.

Démarrer un essai gratuit