• Page d'accueil
  • Des articles
  • Bloguer
  • Comment résoudre l'impossibilité d'établir une relation de confiance pour le canal sécurisé SSL/TLS avec une erreur d'autorité

Comment résoudre l'impossibilité d'établir une relation de confiance pour le canal sécurisé SSL/TLS avec une erreur d'autorité

Publié: 2024-03-13

Lorsque vous voyez le message « Impossible d'établir une relation de confiance pour le canal sécurisé SSL/TLS avec autorité », cela signale un problème dans le canal de communication sécurisé entre votre application client et le serveur. Ce problème est profondément ancré dans le protocole SSL/TLS, qui constitue l’épine dorsale de l’échange sécurisé de données sur Internet. SSL (Secure Socket Layer) et TLS (Transport Layer Security) sont des protocoles cryptographiques conçus pour assurer la sécurité des communications sur un réseau informatique.

Le problème survient généralement lorsque l'application client ne fait pas confiance au certificat SSL/TLS présenté par le serveur. Cela peut être dû à plusieurs raisons, telles que le certificat auto-signé, expiré ou non émis par une autorité de certification (CA) de confiance. Pour saisir la complexité de ce problème, il faut comprendre les mécanismes par lesquels les connexions sécurisées sont établies et le rôle des certificats dans ce processus. Les certificats servent de passeports numériques, vérifiant l'identité du serveur auprès du client, garantissant que l'entité avec laquelle vous communiquez est bien celle qu'elle prétend être.

Comprendre SSL et TLS

SSL (Secure Sockets Layer) et TLS (Transport Layer Security) servent de base à la sécurisation des communications en ligne. Ils cryptent les données et authentifient les connexions, garantissant ainsi que les informations sensibles telles que les informations personnelles et de paiement restent confidentielles lors de la transmission entre le navigateur d'un utilisateur et le serveur d'un site Web. Malgré leur objectif commun, il est essentiel de reconnaître les différences entre SSL et TLS. Notamment, TLS est une version mise à jour et plus sécurisée de SSL, conçue pour corriger les vulnérabilités trouvées dans les protocoles SSL antérieurs.

La nécessité de SSL/TLS pour la sécurité des sites Web ne peut être surestimée. Le processus commence lorsqu'un utilisateur tente d'accéder à votre site ; leur navigateur vérifie d'abord la validité de votre certificat SSL. Lors de la validation, une connexion cryptée est établie, protégeant l'échange de données contre d'éventuelles écoutes clandestines ou falsifications.

Différents types de certificats SSL sont adaptés à différents besoins :

Certificats de domaine unique : idéaux pour sécuriser un site Web, offrant une solution simple pour les sites individuels.

Certificats Wildcard : une avancée supplémentaire, ces certificats sécurisent un domaine unique ainsi que ses sous-domaines, offrant une solution flexible pour les entreprises qui exploitent plusieurs fronts de services sous un seul domaine principal.

Certificats Wildcard multi-domaines : L'option la plus polyvalente, parfaite pour les organisations disposant de plusieurs sites Web et sous-domaines.Ce type élimine le besoin de certificats distincts pour chaque domaine, simplifiant ainsi la gestion et le déploiement.

Les fournisseurs d'hébergement de qualité, reconnaissant l'importance du SSL/TLS, incluent souvent des certificats SSL gratuits dans le cadre de leurs plans d'hébergement. Cette inclusion supprime une barrière à l’entrée pour l’hébergement Web sécurisé, permettant ainsi aux propriétaires de sites Web d’adopter plus facilement HTTPS. Par exemple, des fournisseurs comme 10Web proposent des certificats SSL gratuits de Let's Encrypt et tirent parti de l'intégration Cloudflare. De tels forfaits d'hébergement présentent des avantages supplémentaires, tels que des mesures de sécurité améliorées, une infrastructure optimisée en termes de vitesse et des outils avancés de surveillance des performances.

Pour ceux qui ont des exigences spécifiques ou préfèrent une autorité de certification différente, l'achat d'un certificat SSL personnalisé auprès d'entités de confiance comme Comodo ou DigiCert est une autre voie viable. Quelle que soit la source, les étapes critiques après l'acquisition incluent l'installation correcte du certificat SSL sur votre serveur et la garantie qu'il fonctionne correctement pour maintenir le statut sécurisé de votre site.

Essentiellement, l'intégration de SSL/TLS dans le protocole de sécurité de votre site Web n'est pas seulement une bonne pratique mais une exigence fondamentale dans le paysage numérique actuel. Il protège non seulement les données de vos utilisateurs, mais renforce également la crédibilité et la fiabilité de votre site aux yeux des visiteurs et des moteurs de recherche. Que vous optiez pour la commodité du SSL gratuit d'un fournisseur d'hébergement ou la personnalisation d'un certificat acheté, la clé réside dans une installation et une maintenance diligentes pour garantir une sécurité et des performances continues.

Variations du problème

Ce problème de relation de confiance SSL/TLS peut se manifester dans divers environnements et plates-formes, notamment les navigateurs Web, les clients de messagerie, les connexions API et tout logiciel reposant sur des connexions sécurisées sur Internet. Le message d'erreur peut légèrement différer selon le contexte ou le logiciel que vous utilisez, mais l'essence reste la même. Certaines variantes courantes incluent :

  • La connexion sous-jacente a été fermée : impossible d'établir une relation de confiance pour le canal sécurisé SSL/TLS.
  • La relation d'approbation entre le poste de travail et le domaine principal a échoué.
  • Erreur : Impossible d'établir une relation d'approbation pour le canal sécurisé SSL/TLS avec l'autorité « [Nom de l'autorité] ».
  • Problème de certificat SSL : impossible d'obtenir le certificat de l'émetteur local.
  • La demande a été abandonnée : impossible de créer un canal sécurisé SSL/TLS.

Raisons pour lesquelles cette erreur se produit

Certificat SSL/TLS expiré : Tout comme votre passeport, les certificats SSL/TLS ont une date d'expiration.Si un certificat a expiré, le client refusera d'établir une connexion sécurisée avec le serveur.

Certificats auto-signés : à des fins de développement, les serveurs utilisent souvent des certificats auto-signés.Cependant, celles-ci ne sont pas approuvées par les applications clientes, sauf si elles sont explicitement ajoutées au magasin de confiance, ce qui entraîne cette erreur.

Noms de domaine incompatibles : le nom de domaine sur le certificat doit correspondre au nom de domaine auquel vous accédez.En cas de divergence, le client signalera la connexion comme non fiable.

Certificat non délivré par une autorité de confiance : Les navigateurs et les applications clientes disposent d'une liste prédéfinie d'autorités de confiance.Si le certificat du serveur n'est pas émis par l'une de ces autorités, le client n'établira pas de connexion sécurisée.

Certificats intermédiaires manquants : Parfois, le serveur ne parvient pas à fournir la chaîne de confiance complète, omettant les certificats intermédiaires.Les clients incapables de vérifier le chemin complet rejetteront la connexion.

Résolution de l'erreur Impossible d'établir une relation de confiance

Après avoir exploré les raisons typiques de l'erreur « Impossible d'établir une relation de confiance pour le canal sécurisé SSL/TLS avec autorité », examinons les stratégies pour y remédier et la résoudre.

Identifier la cause de l'erreur

Premièrement, il est essentiel d’identifier la cause première de l’erreur. La méthode pour ce faire varie en fonction du navigateur par lequel vous accédez au site Web.

Safari

Informations sur le certificat SSL Safari

  1. Cliquez sur le bouton « Afficher les détails » lorsque vous rencontrez l'erreur. Cette action révèle plus d'informations sur l'avertissement de sécurité.
  2. Sélectionnez pour afficher le certificat du site Web. Cet examen peut révéler que le certificat du site a expiré ou qu'il utilise un certificat auto-signé, qui n'est pas approuvé par défaut car il manque de vérification par un tiers.

Chrome

SSL Chrome auto-signé

  1. Cliquez sur l'avertissement « Non sécurisé » à côté de l'URL du site Web dans la barre d'adresse pour avoir une idée générale du problème.
  2. Pour plus de détails, cliquer sur « Le certificat n'est pas valide » ouvre une fenêtre contextuelle avec les détails du certificat, tels que les dates d'émission et d'expiration, ainsi que l'autorité de certification (CA).

Après avoir identifié la cause première, vous pouvez procéder aux solutions suivantes :

Mettre à jour ou installer un certificat de confiance

  • Si le problème est dû à un certificat auto-signé, envisagez de le remplacer par un certificat émis par une autorité de certification reconnue. Cela garantit la confiance du navigateur et sécurise votre transfert de données.
  • Renouvelez le certificat avant sa date d'expiration pour éviter les problèmes de confiance. Vérifiez régulièrement la validité de vos certificats pour éviter les erreurs inattendues.

Ajustez les paramètres de sécurité de votre navigateur

Accédez aux paramètres de sécurité de votre navigateur. Bien que cela ne soit pas recommandé pour la navigation quotidienne, vous pouvez choisir de réduire temporairement les paramètres de sécurité pour contourner l'erreur. Cependant, assurez-vous de bien comprendre les risques associés à l’acceptation de certificats non vérifiés.

Dépannage général

Corriger les paramètres de date et d'heure

L'une des vérifications les plus simples mais cruciales consiste à s'assurer que les paramètres de date et d'heure de votre appareil sont exacts. Des paramètres incorrects peuvent entraîner des échecs de validation du certificat SSL, car le système peut penser que le certificat a expiré alors que ce n'est pas le cas.

Mac

Page de date et d'heure dans les paramètres Mac

Accédez à Préférences Système > Date et heure. Si des modifications sont nécessaires, cliquez sur l'icône de verrouillage en bas pour effectuer des ajustements. Vous pouvez régler l'heure automatiquement ou manuellement pour vous assurer qu'elle est correcte.

Mises à jour du système et du navigateur

Les logiciels obsolètes constituent non seulement un risque pour la sécurité, mais peuvent également entraîner des problèmes de compatibilité avec les certificats SSL/TLS. Il est crucial de s’assurer que votre système d’exploitation et votre navigateur sont à jour.

Mise à jour de macOS

Fenêtre de mise à jour du système Mac

  1. Accédez à Préférences Système > Mise à jour du logiciel.
  2. Si une mise à jour est disponible, suivez les invites pour la télécharger et l'installer.

Mise à jour de Google Chrome

Page d'aide Chrome avec les mises à jour Chrome sélectionnées

  1. Dans Chrome, cliquez sur les trois points en haut à droite pour ouvrir le menu.
  2. Passez la souris sur Aide et sélectionnez À propos de Google Chrome.
  3. Chrome recherchera automatiquement les mises à jour. Si une mise à jour est trouvée, suivez les instructions pour l'installer puis relancez le navigateur.

Ces étapes sont similaires dans la plupart des navigateurs, bien que la navigation exacte puisse varier. Assurez-vous toujours que vous utilisez la dernière version de votre logiciel pour éviter des problèmes inutiles.

Pourquoi ces étapes sont importantes

Précision de la date et de l'heure : les certificats SSL/TLS ont une durée de validité spécifique.Si l'horloge de votre système est mal réglée, elle peut déclencher faussement des erreurs indiquant qu'un certificat n'est pas encore valide ou a expiré.

Mises à jour logicielles : les mises à jour incluent souvent des correctifs de sécurité et des correctifs pour les problèmes connus.L'exécution de la dernière version de votre système d'exploitation et de votre navigateur garantit que vous ne rencontrerez pas d'erreurs dues à des vulnérabilités déjà résolues ou à des problèmes de compatibilité.

Solutions par erreur

La manière de résoudre l'erreur dépend de ce qui a été identifié comme étant la cause de l'erreur. Voici quelques solutions basées sur des causes communes.

Incompatibilité de nom

Lorsque le nom commun de votre certificat SSL ne correspond pas au domaine que vous essayez d'atteindre, les navigateurs ne vous laisseront tout simplement pas entrer sans les informations d'identification correctes. Cette inadéquation est un problème courant mais, heureusement, il s'agit d'un problème avec des solutions simples.

Le nom commun (CN) du certificat SSL fait office d'identité, indiquant à votre navigateur que le site Web auquel il se connecte est bien celui qu'il prétend être. Lorsqu'il y a une incompatibilité (par exemple, le certificat concernewww.example.com mais que vous essayez d'accéder à example.com), le navigateur déclenche un drapeau rouge, ce qui entraîne l'erreur « Impossible d'établir une relation de confiance ».

Ce problème survient souvent en raison du préfixe « www ». De nombreux utilisateurs peuvent ne pas l'inclure lors de la saisie d'une adresse Web. Il est donc crucial que le certificat SSL de votre site Web reconnaisse les deux.

Aligner votre certificat SSL avec votre domaine

Domaine unique

Si votre certificat n'est valable que pour une version spécifique de votre domaine (avec ou sans « www »), voici ce que vous devez faire :

  1. Tout d’abord, confirmez la non-concordance en vérifiant les détails du certificat. La plupart des navigateurs vous permettent d'afficher le certificat en cliquant sur l'icône en forme de cadenas à côté de l'URL, où vous pouvez trouver le nom commun dans la section des détails ou du chemin de certification.
  2. Contactez votre autorité de certification (CA) ou votre fournisseur SSL pour émettre un nouveau certificat correspondant au nom de domaine que les utilisateurs sont les plus susceptibles d'utiliser. Idéalement, optez pour un certificat qui couvre à la fois « www » et la version non-www de votre domaine pour couvrir toutes les bases.

Multi-domaine

Si vous disposez de la flexibilité d’un certificat multidomaine, vous êtes mieux placé pour résoudre rapidement ce problème :

Les noms alternatifs de sujet (SAN) permettent à votre certificat d'être valide pour plusieurs noms de domaine. Vous pouvez ajouter la version « www » de votre domaine (ou la supprimer) en ajustant les SAN via le panneau de contrôle de votre fournisseur SSL ou en le contactant directement pour obtenir de l'aide.

Certificat SSL expiré

L'utilisation d'un certificat SSL expiré met non seulement en danger votre crédibilité, mais peut également exposer vos visiteurs à des activités néfastes, notamment le vol de données. Décomposons le processus de sécurisation de votre site avec un nouveau certificat.

Installation d'un certificat SSL valide

Renouveler rapidement votre certificat SSL est primordial pour maintenir une connexion sécurisée entre votre site Web et ses utilisateurs. Voici comment procéder :

  1. Contactez l'autorité de certification qui a émis votre certificat d'origine. La plupart des AC envoient des avis de renouvellement à l'approche de la date d'expiration, mais si ce n'est pas le cas, prenez l'initiative de les contacter directement.
  2. Avant de pouvoir renouveler votre certificat, vous devrez peut-être générer une nouvelle CSR à partir de votre serveur. Ce processus varie en fonction de votre environnement d'hébergement, alors consultez la documentation de votre fournisseur d'hébergement ou de votre serveur pour obtenir des instructions spécifiques.
  3. Une fois que vous avez votre CSR, soumettez-la à votre autorité de certification. Ils utiliseront les informations du CSR pour créer un nouveau certificat SSL pour votre site Web.
  4. Une fois que votre autorité de certification a émis le nouveau certificat, vous devrez l'installer sur votre serveur. Encore une fois, les étapes exactes dépendront de la configuration de votre hébergement, alors référez-vous aux directives de votre fournisseur ou demandez de l'aide à son équipe d'assistance.

Ne présumez pas que tout fonctionne ; vérifiez que votre nouveau certificat est correctement installé. Des outils tels que le test SSL de SSL Labs peuvent vous aider à confirmer que votre site est sécurisé et que le SSL fonctionne comme prévu.

Configurer des rappels pour les prochains renouvellements

Oublier de renouveler votre certificat SSL peut entraîner des temps d'arrêt inutiles et des risques de sécurité. Voici comment éviter cela :

  • Cela peut paraître basique, mais configurer un rappel de calendrier est un moyen efficace de mémoriser votre date de renouvellement. Définissez le rappel quelques semaines à un mois avant l’expiration réelle, ce qui vous laisse suffisamment de temps pour agir.
  • En fonction de votre autorité de certification, vous pourrez peut-être configurer des renouvellements automatiques pour votre certificat SSL. Ce service automatise le processus de renouvellement, garantissant que votre certificat est toujours à jour sans intervention manuelle.
  • Utilisez des outils de surveillance qui recherchent spécifiquement la validité SSL et vous alertent lorsque votre certificat approche de sa date d'expiration. Certains fournisseurs d’hébergement Web proposent cela dans le cadre de leur offre de services.

Un certificat SSL à jour constitue votre première ligne de défense contre certains types de cybermenaces. Il crypte les données transmises entre votre serveur et les navigateurs de vos visiteurs, protégeant ainsi les informations sensibles contre toute interception. De plus, cela renforce la crédibilité de votre site, car les navigateurs affichent des avertissements de sécurité pour les sites dont les certificats ont expiré, ce qui peut dissuader les visiteurs et nuire à votre réputation.

Une surveillance régulière et une stratégie de renouvellement proactive sont essentielles au maintien de cet aspect essentiel de l'infrastructure de sécurité de votre site Web.

Ajouter un certificat au magasin de confiance

Lorsque le navigateur signale un avertissement de sécurité en raison d'une autorité de certification (AC) non fiable, l'ajout du certificat à votre magasin de confiance est une solution de contournement courante, en particulier dans les environnements où l'autorité de certification est connue pour être sécurisée (comme les réseaux internes). Voyons comment procéder dans les environnements Safari pour Mac et Windows.

Utilisateurs de Safari sur Mac

Pour les certificats individuels :

Ajout d'un certificat au safari du magasin de confiance

  1. Accédez au site Web à l'origine du problème de confiance, cliquez sur l'icône de cadenas (ou un indicateur de sécurité similaire) à côté de l'URL et sélectionnez « Afficher le certificat ».
  2. Dans la fenêtre d'informations du certificat, développez la section « Confiance ». Ici, vous trouverez un menu déroulant pour « Lors de l'utilisation de ce certificat ». Réglez-le sur « Toujours faire confiance ».

Pour tous les certificats :

  1. Utilisez le point d'interrogation ou l'icône « aide » dans la fenêtre contextuelle du certificat pour lancer directement Keychain Access, ou ouvrez-le manuellement depuis Applications > Utilitaires.
  2. Dans Accès au trousseau, sous « Racines du système », recherchez la section « Certificats ». Ici, vous pouvez consulter tous les certificats installés.
  3. Recherchez le certificat en question, cliquez dessus avec le bouton droit et choisissez « Obtenir des informations ». Dans la section confiance de cette fenêtre d'informations, vous pouvez modifier les paramètres sur « Toujours faire confiance ».

Utilisateurs Windows

ajout d'un certificat aux fenêtres du magasin de confiance

  1. Cliquez sur la touche Windows et tapez « mmc » dans la barre de recherche et ouvrez la console.
  2. Accédez à Fichier > Ajouter/Supprimer un composant logiciel enfichable, sélectionnez « Certificats » et cliquez sur « Ajouter ». Choisissez « Compte d'ordinateur », puis « Ordinateur local » et terminez par « OK ».
  3. Accédez à « Autorités de certification racines de confiance ». Faites un clic droit, sélectionnez « Toutes les tâches », puis « Importer ». L'assistant d'importation de certificat vous guidera dans la sélection et l'importation du fichier de certificat.
  4. Suivez les instructions de l'assistant pour localiser et importer le certificat. Confirmez l'action et fermez MMC. Vous devrez peut-être redémarrer votre navigateur ou votre ordinateur pour que les modifications prennent effet.

ajout d'un certificat au magasin de confiance Windows 2

L'ajustement des paramètres de confiance ou l'importation de certificats dans le magasin de confiance constituent un moyen puissant de gérer les avertissements de sécurité et les contrôles d'accès. Il est toutefois essentiel de procéder avec prudence.

  • Ajustez uniquement les paramètres de confiance ou ajoutez des certificats pour les autorités de certification ou les sites Web en qui vous avez absolument confiance. Une confiance mal placée peut vous exposer à des failles de sécurité.
  • Utilisez cette méthode judicieusement, principalement pour les réseaux internes ou les environnements de développement. Pour les sites publics, assurez-vous que les certificats sont émis par des autorités de certification reconnues et fiables.

Les certificats auto-signés peuvent être une arme à double tranchant. Ils offrent un moyen rapide et gratuit de chiffrer les données transmises entre votre serveur et vos utilisateurs, ce qui en fait une option intéressante pour certains scénarios comme le développement et les tests. Cependant, les inconvénients deviennent évidents lorsque l’on entre dans le monde Internet au sens large, où la confiance et la sécurité sont primordiales.

Certificat auto-signé

Un certificat auto-signé est essentiellement un certificat signé par la personne ou l'organisation qui l'a créé, plutôt que par une autorité de certification (CA) de confiance. Cela signifie que même s'il peut fournir un cryptage, il lui manque la vérification tierce sur laquelle les navigateurs et les utilisateurs s'appuient pour faire confiance à la sécurité de la connexion.

Les principaux navigateurs et systèmes d'exploitation font confiance aux certificats d'autorités de certification reconnues, car ces autorités disposent de processus de vérification rigoureux. Un certificat auto-signé n'a pas fait l'objet d'un tel examen, ce qui amène les navigateurs à avertir les utilisateurs de la sécurité de la connexion, ce qui peut dissuader les visiteurs et nuire à la crédibilité de votre site.

Si un certificat auto-signé est compromis (par exemple, la clé privée est divulguée), il n'y a aucun moyen de le révoquer. Les autorités de certification de confiance, quant à elles, maintiennent des listes de certificats révoqués (CRL et utilisent OCSP), permettant aux navigateurs de vérifier l'état du certificat en temps réel et de bloquer les connexions potentiellement compromises.

Transition vers un certificat signé par une autorité de certification

Pour les sites Web publics, le passage à un certificat signé par une autorité de certification est crucial pour établir la confiance et la sécurité. Voici comment effectuer le changement :

  • Recherchez et sélectionnez une autorité de certification de confiance. Il existe plusieurs autorités de certification réputées, dont certaines proposent des certificats gratuitement, comme Let's Encrypt.
  • Cette demande contient votre clé publique et des détails sur votre organisation. Votre logiciel de serveur Web peut généralement générer un CSR pour vous.
  • Une fois que vous aurez choisi votre AC, vous devrez lui soumettre votre CSR. L'autorité de certification vérifiera votre domaine et, potentiellement, d'autres informations organisationnelles en fonction du type de certificat pour lequel vous postulez (DV, OV ou EV).
  • Une fois que l'autorité de certification a émis votre certificat, vous devrez l'installer sur votre serveur Web. Le processus d'installation varie en fonction de votre logiciel serveur, suivez donc les instructions fournies par votre autorité de certification ou votre fournisseur d'hébergement.
  • Utilisez des outils tels que SSL Server Test de SSL Labs pour vous assurer que votre certificat est correctement installé et que votre site est sécurisé.
  • Si votre autorité de certification le prend en charge (comme Let's Encrypt), la configuration du renouvellement automatique garantit que votre certificat reste valide sans intervention manuelle, évitant ainsi une expiration inattendue.

Pensées finales

Tout au long de ce blog, nous avons abordé les complexités des erreurs de certificat SSL/TLS et la manière dont elles peuvent avoir un impact sur la sécurité de votre site Web et la confiance des utilisateurs. De l'identification de la cause première de l'erreur « Impossible d'établir une relation de confiance » à l'exploration de scénarios spécifiques tels que les incohérences de certificats, l'expiration, les autorités de certification non fiables et l'utilisation de certificats auto-signés, nous avons couvert une gamme de solutions pour protéger votre site. . Qu'il s'agisse d'ajuster les paramètres de confiance du navigateur, de renouveler ou de remplacer des certificats, ou de passer de certificats auto-signés à des certificats signés par une autorité de certification, l'importance de maintenir des communications numériques sécurisées et fiables a été un thème central. La mise en œuvre de ces mesures améliore non seulement la sécurité du site, mais renforce également la confiance des utilisateurs, garantissant une expérience de navigation fluide et sécurisée.

Accélérez la création de votre site WordPress avec l'IA

Créez un site Web WordPress personnalisé adapté aux besoins de votre entreprise 10 fois plus rapidement avec 10Web AI Website Builder.

Générez votre site Web
Pas de carte de crédit nécessaire