Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Cette connexion n'est pas certifiée

Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
10.01.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

Si vous tentez de vous connecter à un site de manière sécurisée (protocole HTTPS) mais que celui-ci n'a pas de certificat de sécurité, ou que son certificat et périmé ou invalide, la connexion se fera selon le protocole normal (non sécurisé), un message vous avertira et vous pourrez abandonner ou poursuivre la visite du site sous le protocole normal HTTP (pas recommandé si vous allez transmettre, vers le serveur, ou de serveur vers vous, des données sensibles).

Message d'alerte "Cette connexion n'est pas certifiée"Message d'alerte "Cette connexion n'est pas certifiée"Message d'alerte "Cette connexion n'est pas certifiée"

La connexion à un site internet, sur le Web, se fait, essentiellement, avec l'un ou l'autre de ces deux protocoles de communication :
  • Protocole normal, appelé http
  • Protocole sécurisé appelé https (le " s " différencie ce protocole du protocole http en obligeant la sécurisation de la connexion).
Une connexion en mode sécurisé implique deux choses :
  • La communication entre votre ordinateur (vous, " le client "), et l'autre ordinateur, à l'autre bout, (appelé " le serveur "), se fait, de bout en bout, en chiffré (crypté). Cela consommant des ressources informatiques importantes côté serveur, et donc coûtant de l'argent, les connexions en https sont utilisées de manière parcimonieuse, uniquement lorsque cela est nécessaire. Certains sites, supportant les connexions en https, auront tendance à basculer la majorité de leurs trafics Internet en connexions http.

    Forcer une connexion en HTTPS

    Il est possible de forcer un site a établir une connexion en HTTPS au lieu de HTTP, si le site reconnait HTPS mais ne l'utilise que pour certaines de ses pages. Il suffit d'implanter HTTPS Everywhere dans votre navigateur.

    Il n'est pas possible de forcer un site ne reconnaissant pas du tout HTTPS à l'utiliser.

  • Celui qui est à l'autre bout, (l'organisme, la banque, le e-commerçant, le centre des impôts permettant la déclaration en ligne des revenus, etc. ...), doit s'authentifier en présentant un certificat d'authentification qui va être contrôlé par un organisme de certification (il en existe plusieurs) qui a déposé, dans votre ordinateur, la liste de tous les certificats qu'il a délivré et un mécanisme de vérification de l'autheticité du certificat présenté par le site sur lequel vous vous connectez.
Si vous tentez de vous connecter à un site de manière sécurisée (protocole httpS) mais que celui-ci n'a pas de certificat de sécurité, ou qu'il n'utilise pas du tout le protocole sécurisé httpS, la connexion se fera selon le protocole normal (non sécurisé) HTTP.

Une alerte préalable vous permet de poursuivre la connexion à ce site ou de l'abandonner. Exemple avec Firefox. (Pour les besoins de lisibilité de cette capture d'écran, les deux paragraphes, « Détails techniques » et « Je comprends les risques », fermés par défaut, sont déployés).

Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Firefox
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Firefox
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Internet Explorer
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Internet Explorer
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Opera
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Opera
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Safari
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Safari
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Google Chrome
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Google Chrome

Internet - Certificats et identificationInternet - Certificats et identificationInternet - Certificats et identification

Lorsque vous visitez un site web avec une adresse débutant par httpS, vos communications avec le site sont chiffrées de bout en bout afin de vous assurer une certaine confidentialité des données circulant sur le réseau. Toutefois, avant de débuter la communication chiffrée, le site web sur lequel est tentée la connexion doit prouver qu'il est bien qui il prétend être en présentant un « certificat », afin de s'identifier.

Le certificat est délivré par divers organismes appelés « Autorité de certification ». Il s'agit d'une procédure commerciale (payante), valable durant un temps limité et à renouveler régulièrement dans le temps ou dès qu'une modification est apportée à la connexion.

Les certificats aident le navigateur à déterminer si le site sur lequel est tentée une connexion est vraiment celui qu'il prétend être. Si un problème est rencontré avec le certificat (invalide, périmé...), une alerte s'affichera. Dans Firefox, la page d'avertissement affiche le message « Cette connexion n'est pas certifiée ».

Cette connexion n'est pas certifiée - Sortir d'iciCette connexion n'est pas certifiée - Sortir d'iciCette connexion n'est pas certifiée - Sortir d'ici

Si vous êtes certain que le site sur lequel vous tentez de vous connecter utilise, normalement, le protocole httpS ou doit l'utiliser car des données sensibles vont circuler (consultation de comptes bancaires, achat devant aboutir à la communication de données bancaires, etc. ...), le plus prudent est de quitter la tentative de connexion. Ne jamais se connecter à un site avec lequel des données sensibles sont échangées si la connexion n'est pas sécurisée.

Si c'est vous-même qui avez composé httpS au lieu d'http, dans l'adresse, pour voir si le site supporte ce protocole sécurisé, mais que cela n'est pas une nécessité (regarder les programmes télé n'est pas "critique"), vous pouvez passez outre et vous ne prenez aucun risque.

Ne risquez pas de communiquer via une connexion qui pourrait être piratée par des tiers malveillants, ou vers un site qui pourrait être une contrefaçon utilisée, par exemple, pour voler vos coordonnées bancaires (phishing).

Lorsque cela est possible, signalez immédiatement le problème au site en question, sans rien dévoiler de vous-même et de vos coordonnées, en utilisant une page de contact sur leur site.

Informations techniques - Quelle est la nature de l'erreur de certification ?Informations techniques - Quelle est la nature de l'erreur de certification ?Informations techniques - Quelle est la nature de l'erreur de certification ?

Mozilla.org fourni les explications suivantes :

Dans le message d'alerte, cliquez sur « Détails techniques » pour obtenir plus d'informations concernant l'invalidité des informations du site en question. D'autres erreurs courantes sont également décrites ci-dessous.

  • Le certificat ne sera pas valide jusqu'au « (date) »

    « (nom du site) » utilise un certificat de sécurité invalide.
    Le certificat n'est pas sûr car le certificat de l'autorité l'ayant délivré a expiré.
    Le certificat ne sera pas valide jusqu'au « (date) ». La date courante est « (date du jour) ».
    (Code d'erreur : sec_error_expired_issuer_certificate)

    Cette erreur est une anomalie et peut se produire si l'horloge de votre ordinateur est à une mauvaise date et indique une date dans le passé. Dans ce cas, la date donnée dans le message d'erreur indique que le certificat existe mais sera valide prochainement, à une date à venir. Pour corriger le problème, mettez l'horloge système à la date et l'heure du jour.

    Avec Windows : Double-cliquez sur l'icône de l'horloge, dans la zone de notification de la barre de tâches de Windows, zone appelée également Systray ou System Tray, tout en bas à droite de l'écran.
  • Le certificat a expiré le « (date) »

    « (nom du site) » utilise un certificat de sécurité invalide.
    Le certificat a expiré le (date). La date courante est « (date du jour) ».
    (Code d'erreur : sec_error_expired_certificate)

    Cette erreur se produit quand la certification d'identité d'un site web a expiré. Cette erreur peut également se produire si l'horloge de votre ordinateur est à une mauvaise date et indique une date dans le futur. Dans ce cas, la date donnée dans le message d'erreur indique que le certificat a existé dans le passé mais n'est plus valide depuis telle date dépassée. Pour corriger le problème, mettez l'horloge système à la date et l'heure du jour.
    Avec Windows : Double-cliquez sur l'icône de l'horloge, dans la zone de notification de la barre de tâches de Windows, zone appelée également Systray ou System Tray, tout en bas à droite de l'écran.

  • Le certificat n'est valide que pour (nom du site)

    (nom du site) utilise un certificat de sécurité invalide.
    Le certificat n'est valide que pour (nom du site).
    (Code d'erreur : ssl_error_bad_cert_domain)

    Cette erreur vous indique que le certificat qui vous a été envoyé par le site est en fait celui d'un autre. Tout ce que vous envoyez est protégé contre des tiers malveillants, par contre, le destinataire n'est probablement pas celui que vous pensez. Il peut s'agir d'une tentative d'usurpation.

    Il arrive souvent qu'un certificat soit en fait attaché à une partie différente de ce même site. Par exemple, vous avez visité le site https://exemple.com, mais le certificat appartient à https://www.exemple.com. Dans ce cas, si vous accédez à https://www.exemple.com directement, vous ne devriez pas recevoir le message d'alerte.

  • Le certificat n'est pas sûr car l'autorité délivrant le certificat est inconnue

    (site name) utilise un certificat de sécurité invalide.
    Le certificat n'est pas sûr car l'autorité délivrant le certificat est inconnue.
    (Code d'erreur : sec_error_unknown_issuer)

    Que faire avec le navigateur Firefox ? Le fichier cert8.db, dans votre dossier de profil dans Firefox, est la base de données de toutes les autorités de certification officielles et reconnues. Cette base de données est maintenue à jour automatiquement, en permanence. Voir, par exemple, la liste des Autorités de certification reconnues dans Microsoft Windows au 24 novembre 2009 (document pdf).

    Ne passez pas outre cette alerte et sortez. Eventuellement, on peut s'assurer que le fichier cert8.db n'est pas corrompu. Fermez Firefox et supprimez cette base de données - elle sera recréée automatiquement au prochain démarrage de Firefox et cette recréation corrigera alors une possible corruption du fichier.

    1. Localisez et ouvrez votre dossier de profil :

      1. Windows : Dans la barre de menu de Firefox, cliquez sur le menu . Selon votre paramétrage de l'apparence de Firefox (pas d'affichage de la barre de menu, par exemple), clicquez sur le bouton et survolez le menu Aide.
        Mac : Sur la barre de menus, cliquez sur le menu Aide
        Linux : En haut de la fenêtre de Firefox, cliquez sur le menu Aide, puis sélectionnez « Informations de dépannage ».

        Accéder aux informations de dépannage de Firefox
        Accéder aux informations de dépannage de Firefox

      2. L'onglet « Informations de dépannage » s'ouvre.

        Accéder aux informations de dépannage de Firefox
        Accéder aux informations de dépannage de Firefox

        Sous le titre de chapitre « Paramètres de base de l'application », faire :
        Sous Windows ou Linux : clic sur le bouton
        Mac : clic sur

        Une fenêtre de l'Explorateur de Windows ou Linux (ou du Finder Mac) s'ouvre dans le répertoire de votre profil Firefox :

        Accéder aux informations de dépannage de Firefox
        Accéder aux informations de dépannage de Firefox

        Note : Si vous n'êtes pas en mesure d'ouvrir ou d'utiliser Firefox, suivez les instructions dans Trouver votre répertoire de profil sans ouvrir Firefox.


    2. Fermez Firefox
      Windows : Clic sur la croix sur fond rouge, en haut à droite de la fenêtre, ou, dans la barre de menu de Firefox, cliquer sur Fichier puis Quitter. Selon votre paramétrage de l'apparence de Firefox (pas d'affichage de la barre de menu, par exemple), clicquez sur le bouton et puis sélectionnez Quitter;
      Mac : Dans la barre de menus, cliquez sur le menu Firefox, puis sélectionnez Quitter Firefox;
      Linux : En haut de la fenêtre de Firefox, cliquez sur le menu Fichier, puis sélectionnez Quitter.

    3. Dans l'explorateur de fichiers Windows ou Linux (ou le Finder Mac), sélectionnez le fichier nommé cert8.db (et lui seul).

    4. Détruisez le fichier sélectionné (cert8.db). Appuyez sur :
      Mac : Commande + Suppr
      Windows : Suppr.
      Linux : Suppr.

    5. Redémarrez Firefox.

      La base de données cert8.db sera recréé au redémarrage de Firefox. C'est tout à fait normal.

  • Le certificat n'est pas sûr car aucune chaîne d'émetteurs de confiance n'est fournie

    (site name) utilise un certificat de sécurité invalide.
    Le certificat n'est pas sûr car aucune chaîne d'émetteurs de confiance n'est fournie.
    (Code d'erreur : sec_error_unknown_issuer)

    Il est possible que vous ayez activé l'analyse SSL dans votre logiciel de sécurité (comme ESET ou BitDefender). Essayez de désactiver cette option.

  • Le certificat n'est pas de sûr car il est auto-signé.

    « (nom du site) » utilise un certificat de sécurité invalide.
    Le certificat n'est pas sûr car il est auto-signé.
    (Code d'erreur : sec_error_untrusted_issuer)

    Les certificats auto-signés protègent vos données contre des tiers malveillants, mais ne disent rien sur le destinataire en question. C'est courant sur des sites web Intranet qui ne sont pas accessibles au public, mais ne doit jamais se produire sur des sites Internet.

Contourner l'alerte "Cette connexion n'est pas certifiée"Contourner l'alerte "Cette connexion n'est pas certifiée"Contourner l'alerte "Cette connexion n'est pas certifiée"

Vous ne devriez jamais contourner une alerte "Cette connexion n'est pas certifiée", sauf à être confiant dans l'identité du site web et dans l'intégrité de votre connexion Internet.

Même si vous faites confiance au site, quelqu'un pourrait falsifier votre connexion. Les sites publics légitimes ne vous demanderont jamais d'ajouter des exceptions aux règles de connexion. Un certificat invalide peut être une indication que le site tente de vous escroquer ou de voler votre identité.
  1. Sur la page d'alerte, cliquez sur « Je comprends les risques ».
  2. Cliquez sur . La boîte de dialogue « Ajout d'une exception de sécurité » apparaît.
  3. Lisez bien le texte décrivant les problèmes avec ce site.
  4. Cliquez sur si vous voulez faire confiance au site.
    Le site est ajouté à une liste blanche, comme s'il disposait d'un certificat de sécurité permanent. Très dangereux.

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "