Chaîne de Certificat Incomplète
Résoudre les erreurs de chaîne SSL/TLS.
Une chaîne de certificat incomplète signifie que votre serveur n'envoie pas tous les certificats intermédiaires. Certains navigateurs se débrouillent, d'autres affichent une erreur. Voici comment corriger.
Symptômes
- Erreur SSL sur certains navigateurs uniquement
- SSL Labs score F ou "Chain issues"
- Applications mobiles qui refusent la connexion
- curl qui échoue mais Chrome qui fonctionne
Causes Fréquentes
- Certificat intermédiaire manquant : Le serveur n'envoie pas la chaîne complète.
- Mauvais ordre : Les certificats sont dans le mauvais ordre dans le fichier.
- Bundle incorrect : Le bundle fourni par le CA n'est pas celui qu'il faut.
Étapes de Diagnostic
- Testez sur SSL Labs (ssllabs.com)
- Vérifiez avec openssl s_client -connect
- Identifiez les intermédiaires manquants
- Récupérez les certificats sur le site du CA
Automatiser avec MoniTao
MoniTao surveille votre chaîne SSL :
- Vérification automatique du certificat SSL
- Alertes si la chaîne est invalide
- Surveillance de l'expiration
Bonnes Pratiques
- Incluez toujours la chaîne complète
- Ordre : certificat serveur, intermédiaires, (pas root)
- Testez après chaque renouvellement
- Utilisez les bundles fournis par votre CA
Questions Fréquentes
Pourquoi ça marche sur Chrome et pas ailleurs ?
Chrome a un cache d'intermédiaires. D'autres clients sont plus stricts.
Dois-je inclure le certificat root ?
Non, le root doit déjà être dans le trust store du client.
Comment créer le bon fichier ?
Concaténez : cat cert.crt intermediate.crt > fullchain.crt
MoniTao détecte-t-il les chaînes incomplètes ?
MoniTao vérifie la validité SSL. Une chaîne incomplète peut déclencher une alerte.
Liens utiles
Prêt à dormir sur vos deux oreilles ?
Commencez gratuitement, sans carte bancaire.