Erreurs SSL : Les sites HTTPs sécurisés ne fonctionnent plus

Tutoriels, Astuces pour Windows

Modérateur : Mods Windows

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86556
Inscription : 10 sept. 2005 13:57
Contact :

Erreurs SSL : Les sites HTTPs sécurisés ne fonctionnent plus

Message par Malekal_morte » 10 déc. 2014 15:04

Un tutoriel concernant les impossibilités de se connecter aux sites sécurisés (fameux cadenas jaunes) et divers causes et solutions apportées. Notez que les mises à jour Windows Update sont en HTTPs , dès lors si la connexion est impossible, les mises à jour ne fonctionneront pas.

Les problèmes les plus courants sont : Pour parfaire vos connaissances, lire le sujet : Les sites HTTPs et comprendre l'intérêt des sites HTTPs.


Problème au niveau Windows

Le PC n'est pas à l'heure

Un PC qui n'est pas à l'heure, pas à la bonne date peux empêcher l'affichage des sites sécurisés. Le navigateur vérifie la validité des certificats SSL, ces derniers ont des dates de validités. Si l'ordinateur n'est pas à l'heure, le navigateur n'est pas en mesure d'effectuer cette vérification et va refuser le certificat.

Vérifiez que le PC est bien à l'heure.

Sur Google Chrome, cela peut donner une erreur "Votre Connexion n'est pas privée", dans le cas d'un ordinateur pas à l'heure, ce message est accompagné de l'erreur : ERR_CERT_DATE_INVALID

Image

et sur Firefox l'erreur : sec_error_ocsp_invalid_signing_cert
Une erreur est survenue pendant une connexion à fr.yahoo.com. Certificat de signature OCSP invalide dans la réponse OCSP. (Code d'erreur : sec_error_ocsp_invalid_signing_cert)
Image

Windows XP et ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Exemple d'un sujet ERR_SSL_VERSION_OR_CIPHER_MISMATCH sur le forum CCM.

Le cas de l'erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH sur Windows XP

La raison est expliquée sur le site Chromium. Sur Internet Explorer et Google Chrome ça ne fonctionne pas car il utilise les certificats du système d'exploitation or Windows XP ne sait pas gérer les certificats ECDSA.

Exemple d'un site avec certificats ECDSA :
Image

Bilan du test sur un Windows XP : on constate que sur Google Chrome affiche l'erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH alors qu'avec Mozilla Firefox, qui utilise son propre système de certification, l'authentification ECDSA est gérée correctement.

Image


Firewall / Pare-feu

La connexion sur les sites traditionnels (HTTP) se font sur le port 80 du protocole TCP alors que pour les sites sécurisés (HTTPs), c'est le port 443. Un pare-feu (firewall) local sur l'ordinateur peut empêcher la connexion sur ce port et rendre l'affichage des sites sécurisés impossibles. Dans ces cas là, vous aurez directement un message "Impossible d'afficher la page" sans mention d'erreurs de SSL/Certificats.

Un test avec le Firewall / Pare-feu désactivé devrait faire l'affaire.


Service de chiffrement HS : SSL_PROTOCOLO_ERROR

Image

L'erreur SSL_PROTOCOLO_ERROR signifie qu'il y a un problème au niveau du protocole de chiffrement de Windows. Le service de chiffrement peut-être arrêté ou endommagé.

Si c'est le cas, appuyer sur la touche Windows + R de votre clavier
Saisir ensuite services.msc puis valider par OK.
Vérifier dans la liste si le service de chiffrement est démarré.
Le cas échéant, démarrer le en effectuant un clique-droit puis "Démarré".
Double-cliquezr sur le service et vérifier que le type de démarrage est positionné sur "Automatique".

Si vous obtenez un message d'erreur, tentez d'utiliser Complete Internet Repair

Si ça ne fonctionne toujours pas, faites un tour dans l'observateurs d'évènements, repérez les erreurs relatives à l'impossibilité de se connecter aux sites sécurités. Noter l'ID puis créer un sujet dans la partie Windows du forum en indiquant l'ID.


Problèmes locales à un navigateur

Si le problème ne se présente que sur un navigateur en particulier alors réinitialisez le :
* Ré-initialiser Firefox
* Ré-initialiser Google Chrome


Antivirus

Les antivirus peuvent scanner les connexions HTTPs, bien souvent ils agissent en tant que proxy en utilisant leurs propres certificats. Navigateur WEB → certificat antivirus / connexion antivirus → proxy antivirus → site sécurisé.
Il s'agit des mêmes procédés que dans les attaques Man In the Middle - vous pouvez lire notre dossier : les attaques Man In the Middle (MITM))

Avec Avast!, tous les sites HTTPS ont pour certificat Avast! - le navigateur voyant le certificat délivré par le proxy antivirus.

Exemple avec le site supprimer-virus.com

Image

Si le certificat de l'antivirus n'est pas bien installé cela va provoquer des erreurs SSL
Par exemple, Mozilla Firefox peut retourner l'erreur :
www.google.com utilise un certificat de sécurité invalide. Le certificat n'est pas sûr car l'autorité délivrant le certificat est inconnue. (Code d'erreur : sec_error_unknown_issuer)
Sur Internet Explorer, lorsque le certificat d'autorité Avast! est manquant du magasin de certificat de Windows, vous obtenez ceci :

Image

Avast!

Attention pour Avast! depuis la version 2015, Avast! est capable de vérifier le contenu des sites HTTPs contre les malwares. Il y a parfois des problèmes, exemple : Avast! provoque une erreur sec_error_reused_issuer_and_serial

Cela ne fonctionne plus car les certificats d'autorités Avast! ont été supprimés.

Deux options s'offrent à vous :
  • Tentez de réinstaller les certificats d'autorités comme expliqué ci-dessous.
  • Désactiver l'analyser HTTPs sur Avast! : à tenter si vous n'arrivez pas à remettre les certificats ou si ça ne fonctionne toujours pas
Pour remettre les certificats, si le problème de connexions HTTPs se présentent sur Internet Explorer et Firefox, faire ceci :
  • Téléchargez sur votre bureau https://www.malekal.com/download/avast_W ... ldRoot.crt
  • Sur le fichier avast_Web-MailShieldRoot.crt, faites un clic droit dessus puis "Installer le certificat"
    Image
  • Cliquez sur Parcourir et choisir : Autorités de certificats de racines de confiance
    Image
  • Acceptez en cliquant sur Oui
    Image
  • Retentez de surfer sur des sites sécurités

Si le problème ne se présente que sur Firefox
  • Téléchargez sur bureau : https://www.malekal.com/download/avast.p7b
  • Ouvrez les options de Firefox puis Avancés.
  • Cliquez sur Afficher les certificats
  • Cliquez sur le bouton Importer
    Image
  • Allez chercher le fichier avast.p7b et valider
  • Cochez toutes les options.
Désactiver l'analyse HTTPs sur Avast!
Vous pouvez désactiver l'analyse SSL depuis le menu "Paramètres" → "Protection Active" → "Personnaliser" sur "Paramètres de l'Agent WEB" puis décocher "Autoriser l'analyse SSL".

Image

Kaspersky

Cela peut par exemple arriver après une réinitialisation de Firefox avec Kaspersky.
Exemple: Connexion non certifiée

Il existe une FAQ qui explique comment réinstaller les certificats de Kaspersky


BitDefender

Il existe une FAQ pour BitDefender lorsque des certificats de sécurité ne peuvent pas être vérifiés & installés.

Au choix, vous pouvez :
* Ré-installer les certificats sur le navigateur qui pose problème

* Désactiver l'analyse HTTPs ( moins recommandé )
Pour résoudre ce problème, nous vous recommandons de désactiver momentanément la fonctionnalité « Analyse SSL » dans BitDefender en procédant comme suit :

- faire apparaitre l'interface principale de Bitdefender
- cliquer sur "Paramètre" dans la barre d’outils supérieure à droite
- dans l’aperçu des paramètres, sélectionnez "Vie Privée"
- dans l’onglet "Antiphishing", désactiver momentanément la fonctionnalité "Analyse SSL"

Fermer la fenêtre BitDefender et essayer de nouveau d'accéder à la page Web.
ESET Smart Security

La solution de sécurité ESET Smart Security peut venir interférer avec la gestion des certificats ou des fonctionnalités avancées de filtrage et d'analyse du protocole SSL. En cas d'erreur "connexion non sécurisée" avec ESET Smart Security, ré-initialisez les paramètres par défaut des certificats pour les communication SSL. Vous trouverez les manipulations à effectuer au chapitre 4, page 66 du guide utilisateur ( en français )


AVG : LinkScanner

AVG LinkScanner semble dans certains cas poser des problèmes avec les sites sécurisés, vous pouvez désactiver ce dernier pour tester : voir la FAQ d'AVG


Les cas de Malware

Ils peuvent provoquer une erreur Votre connexion n'est pas privée - NET::ERR_CERT_AUTHORITY_INVALID.


Adwares qui agissent en proxy

* Supprimer erreur SSL : sec_error_unknown_issuer
* ]Supprimer l’erreur SSL Error RX Malformed Alert


Détournements de serveurs DNS (DNS Hijacking)
Les serveurs DNS détournés sur le PC ou le routeur vont vous rediriger vers de faux sites ce qui va de temps en temps occasionner de possibles erreurs SSL. Si c'est le cas, Réinitialiser les serveurs de noms/DNS.

ISIS | Adware/Alnaddy est assez actif et occasionne des erreurs de SSL/Certificats.

Deux sujets avec des sites sécurisés ne fonctionnent plus :
* Erreur de connexion SSL sur Chrome
* Problèmes SSL suite à une infection de malware


Les certificats racines (roots) sont endommagés

Dans les informations sur le certificats lors de l'accès aux sites sécurisés, on a une erreur sur les certificats Roots:

Image

À ce moment là, un ou quelques sites peuvent ne pas fonctionner, exemple : Le certificat de sécurité du site n'est pas approuvé. Autre exemple, un problème d'accès au site linkedin "connexion non privée" avec l'EvenID 4110 dans l'observateur d'évènements :
Error: (04/28/2015 05:36:28 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4110) (User: )
Description: Impossible d'ajouter le certificat au magasin des autorités de certification racines tierces. Erreur : Accès refusé.
Là, tous les certificats racines semblent avoir été endommagés.
Cela se traduit par une erreur 800B0109 sur Windows Update.

Pour résoudre ce problème, télécharger & installer rootsupd.exe de Microsoft afin de restaurer l'ensemble des certificats roots/racines. Redémarrez ensuite l'ordinateur.


Un peu de lecture concernant les certificats racines endommagés : Et si ça ne fonctionne toujours pas, faites un tour dans l'observateurs d'évènements pour repérer les erreurs relatives à l'impossibilité de se connecter aux sites sécurités. Notez bien l'EventID en face de l'erreur puis créez votre sujet dans la section Windows du forum tout en fournissant l'EventID.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tutoriels Windows »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 0 invité