Que signifie l’erreur « Votre connexion n’est pas privée »?
Les utilisateurs peuvent parfois se trouver empêchés d’accéder à un site Web par un « Votre connexion n’est pas un message privé « . Cette erreur signifie que la connexion entre le client (l’appareil de l’utilisateur, tel qu’un ordinateur portable ou une tablette) et le serveur (l’hôte du site Web) n’est pas chiffrée, même si l’appareil client s’attendait à ce qu’elle soit chiffrée.
En conséquence, les attaquants pourront voir ce que fait l’utilisateur sur le site Web – les messages entre le client et le serveur sont envoyés en texte clair, au lieu d’être brouillés via cryptage. De plus, le client ne peut pas vérifier qu’il est connecté au bon serveur.
C’est pourquoi le navigateur dira « Votre connexion n’est pas privée » ou « Votre connexion n’est pas sécurisée »: il ne peut pas vérifier le serveur Web et il ne peut pas crypter les messages pour empêcher les attaquants de les lire.
Cette erreur est causée par un problème avec le certificat SSL du site Web – il est manquant, ou il a expiré, ou il n’a pas été émis par une autorité de certification légitime, ou le client ne peut pas y accéder pour une autre raison. Les certificats SSL sont nécessaires pour servir des sites Web via des connexions HTTPS sécurisées.
Un certificat SSL invalide ou manquant est presque l’équivalent cryptographique d’un caissier dans un dépanneur demandant à un homme de s’identifier afin de prouver son âge assez pour acheter de l’alcool, et au lieu de produire une carte d’identité émise par le gouvernement, il sort un morceau de papier sur lequel quelqu’un a écrit: « Cet homme s’appelle Jeff, et il a 22 ans. » Ceci, bien sûr, est pas d’identification légitime. L’homme n’a peut-être pas en fait 22 ans et, d’ailleurs, il ne s’appelle même pas Jeff. Le caissier a raison de répondre avec suspicion et de mettre un terme à la transaction.
Beaucoup comme Jeff, un site Web sans certificat SSL ne peut pas prouver son identité. En plus de cela, un site Web sans certificat SSL ne peut pas crypter les communications – imaginez si l’absence de carte d’identité de Jeff signifiait que n’importe qui dans le monde pouvait soudainement entendre la conversation entre Jeff et le caissier.
- Dans Google Chrome, le message d’erreur est le suivant: « Votre connexion n’est pas privée », suivi de « Des attaquants pourraient essayer de voler vos informations à »
- Dans Mozilla Firefox, il » s: « Votre connexion n’est pas sécurisée »
- Dans Microsoft Edge, c’est aussi « Votre connexion n’est pas sécurisée »
Souvent, les utilisateurs peuvent continuer à accéder au malgré ce message, bien que cela ne soit pas recommandé. Sans HTTPS, diverses cyberattaques sont possibles.
Qu’est-ce qu’un certificat SSL? Qu’est-ce que HTTPS?
Un certificat SSL vérifie la propriété d’un site Web et permet d’ouvrir une connexion sécurisée et cryptée. C’est un fichier texte installé sur un serveur Web avec des informations telles que:
- Date d’expiration du certificat
- Le nom de domaine pour lequel le certificat a été émis
- Quelle personne, organisation ou appareil possède le domaine
- L’autorité de certification qui a émis le certificat
- La clé publique
Un certificat SSL est nécessaire pour crypter les communications vers et depuis un site Web à l’aide du cryptage SSL ou TLS. Ceci est également connu sous le nom de HTTPS.
Si les données sont cryptées avec TLS / SSL, lorsque quelqu’un intercepte les données dans les deux sens entre le client et le serveur, cela ressemble à un non-sens aléatoire pour eux. Si les données ne sont pas chiffrées, quelqu’un peut intercepter les données et les lire facilement. Le chiffrement est comme une enveloppe protégeant le contenu d’une lettre personnelle au fur et à mesure de son acheminement.
Qu’est-ce qui cause cette erreur SSL?
Un certain nombre de problèmes avec le certificat SSL peuvent provoquer l’erreur « Votre connexion n’est pas privée »:
Le site Web « s SSL le certificat n’est pas valide ou est manquant. Cela pourrait être le cas pour plusieurs raisons. Cela peut signifier que le certificat SSL présenté répertorie le mauvais site Web, que le certificat SSL a expiré ou qu’il n’y a pas de certificat SSL du tout au moment prévu – par exemple, si un utilisateur tape https://www.example.com dans un navigateur, mais example.com n’a pas HTTPS.
Le certificat SSL ne répertorie pas les variations du nom de domaine. Par exemple, le certificat SSL peut indiquer www.example. com, mais pas example.com (sans le « www »). Cela se produit lorsque la section SAN (Subject Alternative Name) d’un certificat SSL n’est pas remplie correctement. Par conséquent, le site Web dispose d’un certificat SSL fonctionnel, mais il « est une incompatibilité entre l’URL saisie par l’utilisateur et ce qui est répertorié sur le certificat. Le navigateur considère donc que le certificat n’est pas valide.
Le serveur Web a présenté un certificat SSL pour le mauvais site Web. Cela peut se produire lorsque plusieurs sites Web sont hébergés sur une seule adresse IP.Si chacun de ces sites Web possède son propre certificat SSL, le serveur peut ne pas savoir quel certificat SSL afficher lorsqu’un appareil client tente de se connecter en toute sécurité à l’un des sites Web – un peu comme lorsqu’un colis est envoyé à un complexe d’appartements mais le numéro d’appartement n’est pas inclus dans l’adresse. Une extension du protocole TLS appelée SNI permet d’éviter cette erreur.
Les autres causes possibles incluent:
- Le certificat est auto-signé, ce qui signifie qu’il a été généré par l’opérateur du site Web au lieu d’une autorité de certification tierce
- Le navigateur ne reconnaît pas l’autorité de certification qui a émis le certificat
- Symantec a émis le certificat SSL (tous les certificats SSL émis par Symantec ne sont pas approuvés par les principaux navigateurs)
- Le certificat SSL peut avoir des fonctionnalités non prises en charge (comme l’utilisation du hachage SHA-1 au lieu de SHA-256)
- L’horloge de l’appareil client est inexacte, et par conséquent il n’est pas en mesure de vérifier si le certificat SSL a expiré ou non
Comment corriger ces erreurs de certificat SSL
Pour les utilisateurs
Actualiser la page: les connexions réseau impliquent de nombreuses communications aller-retour entre le client et le serveur qui passent généralement inaperçues par l’utilisateur. Un certain nombre de ces communications peuvent ne pas se dérouler correctement. pour cette raison, diverses erreurs peuvent être résolues en réessayant et en rechargeant la page.
Vider le cache du navigateur: un navigateur stocke certaines informations et le contenu des sites Web que les utilisateurs ont déjà visités dans un emplacement de stockage temporaire appelé « cache ». Effacer le cache du navigateur et essayer de charger à nouveau la page peut avoir un effet similaire à l’actualisation de la page: le site Web a une ardoise vierge du point de vue du navigateur, et le navigateur peut essayer de rétablir les connexions appropriées. Les utilisateurs peuvent également ouvrir la page en mode Incognito (Chrome), en mode privé (Firefox et Safari) ou en mode InPrivate (Edge); dans ces modes, le navigateur n’accède pas au cache.
Réinitialiser l’horloge: les utilisateurs peuvent également essayer de réinitialiser l’horloge de leur ordinateur, ce qui peut être inexact, ce qui fait que l’appareil rejette par erreur un certificat SSL expiré ou invalide.
Ajouter « www »: pour contourner les erreurs SAN, les utilisateurs peuvent essayer de retaper le nom de domaine afin qu’il inclue « www » (ou quel que soit le préfixe de domaine).
Utiliser un autre navigateur ou mettre à jour le navigateur: les anciennes versions des navigateurs peuvent ne pas prendre en charge les fonctionnalités nécessaires au cryptage TLS (telles que SNI). Assurez-vous d’utiliser les dernières versions des navigateurs.
Pour les propriétaires de sites Web
Obtenir un nouveau certificat SSL: si le certificat est expiré, obsolète ou auto-signé, un site Web devra en obtenir un nouveau auprès d’une autorité de certification. (Cloudflare propose des certificats SSL gratuits, ainsi que des certificats personnalisés pour les entreprises clients).
Assurez-vous que le SAN est rempli et que les sous-domaines sont inclus: Si le certificat SSL est par ailleurs valide, assurez-vous que tout l les variantes minimes du domaine sont répertoriées. En outre, les sous-domaines – blog.example.com en plus de www.example.com – doivent être répertoriés.
Si un site Web ne dispose pas de HTTPS, assurez-vous que tous les backlinks sont uniquement HTTP: Si un utilisateur par inadvertance essaie de charger une URL via HTTPS lorsque le site Web utilise uniquement HTTP, ils peuvent obtenir cette erreur, car le navigateur a tenté d’obtenir le certificat SSL du site Web alors qu’il n’y en a pas. En plus de corriger les backlinks, un site Web doit définir up redirige vers HTTP si quelqu’un essaie de le charger via HTTPS. De plus, il est fortement recommandé que ces sites Web obtiennent des certificats SSL.
Que signifie « Votre connexion à ce site n’est pas sécurisée »?
Dans Chrome, ce message apparaît lorsque vous cliquez sur « Non sécurisé » dans la barre du navigateur lorsque vous êtes sur un site HTTP. Cela signifie que le site Web n’a pas de certificat SSL et n’utilise pas SSL / TLS pour le chiffrement trafic vers et depuis le site. Les navigateurs ne bloquent généralement pas les sites Web qui n’ont pas le protocole HTTPS, mais les utilisateurs doivent éviter de saisir des données personnelles, comme l Identifiants de connexion, données de carte de crédit ou numéros d’identification émis par le gouvernement sur les sites Web non HTTPS.
Comment Cloudflare aide-t-il à prévenir ce type d’erreurs?
Cloudflare offre SSL / TLS gratuit cryptage pour tout site Web avec Universal SSL. Les sites Web avec le chiffrement Cloudflare TLS ne devraient pas rencontrer la plupart de ces erreurs, bien que des appareils clients mal configurés puissent toujours les faire apparaître de temps en temps. En savoir plus sur les certificats SSL gratuits de Cloudflare. Testez les erreurs SSL / TLS potentielles sur Cloudflare Centre de diagnostic.