Les problèmes les plus courants sont :
- PC pas à l'heure
- Problème de paramétrages sur l'inspection des flux HTTPs
- Un virus/adware/malware
Problème au niveau Windows
Le PC n'est pas à l'heure
Un PC qui n'est pas à l'heure, pas à la bonne date peux empêcher l'affichage des sites sécurisés. Le navigateur vérifie la validité des certificats SSL, ces derniers ont des dates de validités. Si l'ordinateur n'est pas à l'heure, le navigateur n'est pas en mesure d'effectuer cette vérification et va refuser le certificat.
Vérifiez que le PC est bien à l'heure.
Sur Google Chrome, cela peut donner une erreur "Votre Connexion n'est pas privée", dans le cas d'un ordinateur pas à l'heure, ce message est accompagné de l'erreur : ERR_CERT_DATE_INVALID
et sur Firefox l'erreur : sec_error_ocsp_invalid_signing_cert
Une erreur est survenue pendant une connexion à fr.yahoo.com. Certificat de signature OCSP invalide dans la réponse OCSP. (Code d'erreur : sec_error_ocsp_invalid_signing_cert)
Windows XP et ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Exemple d'un sujet ERR_SSL_VERSION_OR_CIPHER_MISMATCH sur le forum CCM.
Le cas de l'erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH sur Windows XP
La raison est expliquée sur le site Chromium. Sur Internet Explorer et Google Chrome ça ne fonctionne pas car il utilise les certificats du système d'exploitation or Windows XP ne sait pas gérer les certificats ECDSA.
Exemple d'un site avec certificats ECDSA :
Bilan du test sur un Windows XP : on constate que sur Google Chrome affiche l'erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH alors qu'avec Mozilla Firefox, qui utilise son propre système de certification, l'authentification ECDSA est gérée correctement.
Firewall / Pare-feu
La connexion sur les sites traditionnels (HTTP) se font sur le port 80 du protocole TCP alors que pour les sites sécurisés (HTTPs), c'est le port 443. Un pare-feu (firewall) local sur l'ordinateur peut empêcher la connexion sur ce port et rendre l'affichage des sites sécurisés impossibles. Dans ces cas là, vous aurez directement un message "Impossible d'afficher la page" sans mention d'erreurs de SSL/Certificats.
Un test avec le Firewall / Pare-feu désactivé devrait faire l'affaire.
Service de chiffrement HS : SSL_PROTOCOLO_ERROR
L'erreur SSL_PROTOCOLO_ERROR signifie qu'il y a un problème au niveau du protocole de chiffrement de Windows. Le service de chiffrement peut-être arrêté ou endommagé.
Si c'est le cas, appuyer sur la touche Windows + R de votre clavier
Saisir ensuite services.msc puis valider par OK.
Vérifier dans la liste si le service de chiffrement est démarré.
Le cas échéant, démarrer le en effectuant un clique-droit puis "Démarré".
Double-cliquezr sur le service et vérifier que le type de démarrage est positionné sur "Automatique".
Si vous obtenez un message d'erreur, tentez d'utiliser Complete Internet Repair
Si ça ne fonctionne toujours pas, faites un tour dans l'observateurs d'évènements, repérez les erreurs relatives à l'impossibilité de se connecter aux sites sécurités. Noter l'ID puis créer un sujet dans la partie Windows du forum en indiquant l'ID.
Problèmes locales à un navigateur
Si le problème ne se présente que sur un navigateur en particulier alors réinitialisez le :
* Ré-initialiser Firefox
* Ré-initialiser Google Chrome
Antivirus
Les antivirus peuvent scanner les connexions HTTPs, bien souvent ils agissent en tant que proxy en utilisant leurs propres certificats. Navigateur WEB → certificat antivirus / connexion antivirus → proxy antivirus → site sécurisé.
Il s'agit des mêmes procédés que dans les attaques Man In the Middle - vous pouvez lire notre dossier : les attaques Man In the Middle (MITM))
Avec Avast!, tous les sites HTTPS ont pour certificat Avast! - le navigateur voyant le certificat délivré par le proxy antivirus.
Exemple avec le site supprimer-virus.com
Si le certificat de l'antivirus n'est pas bien installé cela va provoquer des erreurs SSL
Par exemple, Mozilla Firefox peut retourner l'erreur :
Sur Internet Explorer, lorsque le certificat d'autorité Avast! est manquant du magasin de certificat de Windows, vous obtenez ceci :www.google.com utilise un certificat de sécurité invalide. Le certificat n'est pas sûr car l'autorité délivrant le certificat est inconnue. (Code d’erreur : SEC_ERROR_UNKNOWN_ISSUER)
Avast!
Attention pour Avast! depuis la version 2015, Avast! est capable de vérifier le contenu des sites HTTPs contre les malwares. Il y a parfois des problèmes, exemple : Avast! provoque une erreur sec_error_reused_issuer_and_serial
Cela ne fonctionne plus car les certificats d'autorités Avast! ont été supprimés.
Deux options s'offrent à vous :
- Tentez de réinstaller les certificats d'autorités comme expliqué ci-dessous.
- Désactiver l'analyser HTTPs sur Avast! : à tenter si vous n'arrivez pas à remettre les certificats ou si ça ne fonctionne toujours pas
- Téléchargez sur votre bureau https://www.malekal.com/download/avast_ ... ldRoot.crt
- Sur le fichier avast_Web-MailShieldRoot.crt, faites un clic droit dessus puis "Installer le certificat"
- Cliquez sur Parcourir et choisir : Autorités de certificats de racines de confiance
- Acceptez en cliquant sur Oui
- Retentez de surfer sur des sites sécurités
Si le problème ne se présente que sur Firefox
- Téléchargez sur bureau : https://www.malekal.com/download/avast.p7b
- Ouvrez les options de Firefox puis Avancés.
- Cliquez sur Afficher les certificats
- Cliquez sur le bouton Importer
- Allez chercher le fichier avast.p7b et valider
- Cochez toutes les options.
Vous pouvez désactiver l'analyse SSL depuis le menu "Paramètres" → "Protection Active" → "Personnaliser" sur "Paramètres de l'Agent WEB" puis décocher "Autoriser l'analyse SSL".
Kaspersky
Cela peut par exemple arriver après une réinitialisation de Firefox avec Kaspersky.
Exemple: Connexion non certifiée
Il existe une FAQ qui explique comment réinstaller les certificats de Kaspersky
BitDefender
Il existe une FAQ pour BitDefender lorsque des certificats de sécurité ne peuvent pas être vérifiés & installés.
Au choix, vous pouvez :
* Ré-installer les certificats sur le navigateur qui pose problème
* Désactiver l'analyse HTTPs ( moins recommandé )
ESET Smart SecurityPour résoudre ce problème, nous vous recommandons de désactiver momentanément la fonctionnalité « Analyse SSL » dans BitDefender en procédant comme suit :
- faire apparaitre l'interface principale de Bitdefender
- cliquer sur "Paramètre" dans la barre d’outils supérieure à droite
- dans l’aperçu des paramètres, sélectionnez "Vie Privée"
- dans l’onglet "Antiphishing", désactiver momentanément la fonctionnalité "Analyse SSL"
Fermer la fenêtre BitDefender et essayer de nouveau d'accéder à la page Web.
La solution de sécurité ESET Smart Security peut venir interférer avec la gestion des certificats ou des fonctionnalités avancées de filtrage et d'analyse du protocole SSL. En cas d'erreur "connexion non sécurisée" avec ESET Smart Security, ré-initialisez les paramètres par défaut des certificats pour les communication SSL. Vous trouverez les manipulations à effectuer au chapitre 4, page 66 du guide utilisateur ( en français )
AVG : LinkScanner
AVG LinkScanner semble dans certains cas poser des problèmes avec les sites sécurisés, vous pouvez désactiver ce dernier pour tester : voir la FAQ d'AVG
Les cas de Malware
Ils peuvent provoquer une erreur Votre connexion n'est pas privée - NET::ERR_CERT_AUTHORITY_INVALID.
Adwares qui agissent en proxy
* Supprimer erreur SSL : sec_error_unknown_issuer
* ]Supprimer l’erreur SSL Error RX Malformed Alert
Détournements de serveurs DNS (DNS Hijacking)
Les serveurs DNS détournés sur le PC ou le routeur vont vous rediriger vers de faux sites ce qui va de temps en temps occasionner de possibles erreurs SSL. Si c'est le cas, Réinitialiser les serveurs de noms/DNS.
ISIS | Adware/Alnaddy est assez actif et occasionne des erreurs de SSL/Certificats.
Deux sujets avec des sites sécurisés ne fonctionnent plus :
* Erreur de connexion SSL sur Chrome
* Problèmes SSL suite à une infection de malware
Les certificats racines (roots) sont endommagés
Dans les informations sur le certificats lors de l'accès aux sites sécurisés, on a une erreur sur les certificats Roots:
À ce moment là, un ou quelques sites peuvent ne pas fonctionner, exemple : Le certificat de sécurité du site n'est pas approuvé. Autre exemple, un problème d'accès au site linkedin "connexion non privée" avec l'EvenID 4110 dans l'observateur d'évènements :
Là, tous les certificats racines semblent avoir été endommagés.Error: (04/28/2015 05:36:28 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 4110) (User: )
Description: Impossible d'ajouter le certificat au magasin des autorités de certification racines tierces. Erreur : Accès refusé.
Cela se traduit par une erreur 800B0109 sur Windows Update.
Pour résoudre ce problème, télécharger & installer rootsupd.exe de Microsoft afin de restaurer l'ensemble des certificats roots/racines. Redémarrez ensuite l'ordinateur.
Un peu de lecture concernant les certificats racines endommagés :
- La page Mozilla récapitule les erreurs les plus courantes
- Les erreurs de certificats SSL
- System Center Updates Publisher 2007 and WSUS Self-Signed Cert Option