Erreur SSL : Autorité de Certificat Invalide

Diagnostic et résolution de l'erreur NET::ERR_CERT_AUTHORITY_INVALID.

L'erreur NET::ERR_CERT_AUTHORITY_INVALID indique que le navigateur ne fait pas confiance à l'autorité qui a émis le certificat SSL. Chaque certificat SSL est signé par une Autorité de Certification (CA) qui garantit l'identité du propriétaire du domaine. Si cette CA n'est pas reconnue par le navigateur, l'ensemble de la chaîne de confiance est brisée.

Cette erreur est souvent plus complexe à résoudre que les autres erreurs SSL car elle implique la chaîne de certificats. Un certificat SSL valide ne suffit pas : il faut également que tous les certificats intermédiaires jusqu'à la racine soient correctement installés et reconnus par les navigateurs.

Dans ce guide, nous allons explorer les causes courantes de cette erreur et vous donner les outils pour la diagnostiquer et la résoudre. Que votre certificat soit auto-signé, que la chaîne soit incomplète, ou que la CA soit obsolète, vous trouverez la solution adaptée.

Manifestations de l'Erreur

Voici comment cette erreur apparaît selon les navigateurs :

  • Chrome : affiche NET::ERR_CERT_AUTHORITY_INVALID avec "Ce serveur n'a pas pu prouver qu'il est [domaine] ; son certificat de sécurité n'est pas approuvé".
  • Firefox : affiche SEC_ERROR_UNKNOWN_ISSUER indiquant que l'émetteur du certificat n'est pas reconnu.
  • Safari : affiche "Safari ne peut pas vérifier l'identité du site web" avec des détails sur le certificat non approuvé.
  • Appareils mobiles : les applications mobiles peuvent planter ou afficher des erreurs de connexion sécurisée sans détail technique.

Causes de l'Erreur d'Autorité

Plusieurs situations peuvent provoquer cette erreur :

  • Certificat auto-signé : le certificat a été généré localement sans être signé par une CA reconnue. Courant en développement mais inacceptable en production.
  • Chaîne de certificats incomplète : les certificats intermédiaires ne sont pas installés sur le serveur. Le navigateur ne peut pas remonter jusqu'à la CA racine.
  • CA non reconnue ou obsolète : l'autorité de certification n'est pas dans la liste de confiance du navigateur ou a été révoquée.
  • Interception par un proxy : un proxy d'entreprise ou un antivirus inspecte le trafic HTTPS et présente son propre certificat non reconnu.

Diagnostic de l'Erreur

Suivez ces étapes pour identifier la cause :

  1. Examinez le certificat : cliquez sur l'icône de certificat pour voir qui l'a émis. Un certificat auto-signé aura le même nom pour "Émis par" et "Émis à".
  2. Vérifiez la chaîne : utilisez SSL Labs pour analyser la chaîne complète. Il signalera si des certificats intermédiaires sont manquants.
  3. Testez hors réseau entreprise : si l'erreur n'apparaît que sur le réseau d'entreprise, un proxy SSL intercepte probablement le trafic.
  4. Vérifiez l'antivirus : certains antivirus (Avast, Kaspersky) inspectent le trafic HTTPS et peuvent causer cette erreur.

Vérification de la Chaîne de Certificats

Utilisez cette commande pour voir la chaîne complète :

#!/bin/bash
# Afficher la chaîne de certificats complète

DOMAIN="example.com"

echo "=== Chaîne de certificats pour $DOMAIN ==="

openssl s_client -connect $DOMAIN:443 -servername $DOMAIN -showcerts </dev/null 2>/dev/null | awk '
/-----BEGIN CERTIFICATE-----/,/-----END CERTIFICATE-----/ {
    if (/-----BEGIN/) { cert++ }
    print > "cert" cert ".pem"
}
END { print "Nombre de certificats dans la chaîne: " cert }'

# Afficher les informations de chaque certificat
for cert in cert*.pem; do
    echo ""
    echo "=== $cert ==="
    openssl x509 -in $cert -noout -subject -issuer
    rm $cert
done

Cette commande affiche tous les certificats de la chaîne avec leurs émetteurs. Une chaîne complète devrait avoir 2-3 certificats : le vôtre, l'intermédiaire, et optionnellement le root.

Bonnes Pratiques

Évitez cette erreur avec ces recommandations :

  • Installez la chaîne complète : lors de l'installation d'un certificat, incluez toujours les certificats intermédiaires fournis par votre CA.
  • Utilisez des CA reconnues : choisissez des autorités reconnues universellement comme Let's Encrypt, DigiCert, ou Sectigo.
  • Testez après installation : utilisez SSL Labs après chaque changement de certificat pour vérifier que la chaîne est complète.
  • Évitez les auto-signés : n'utilisez jamais de certificats auto-signés en production. Let's Encrypt est gratuit et automatisable.

Checklist Diagnostic Autorité

  • Type de certificat identifié (auto-signé ou CA)
  • Chaîne de certificats analysée avec SSL Labs
  • Test effectué hors réseau entreprise
  • Antivirus/proxy vérifié
  • Certificats intermédiaires installés
  • CA reconnue par les navigateurs modernes

Questions Fréquentes

Puis-je utiliser un certificat auto-signé en production ?

Non, les certificats auto-signés ne sont pas reconnus par les navigateurs et causeront des erreurs pour tous vos visiteurs. Utilisez Let's Encrypt qui est gratuit.

Comment obtenir les certificats intermédiaires ?

Votre autorité de certification les fournit lors de l'émission du certificat. Pour Let's Encrypt, Certbot les installe automatiquement.

L'erreur apparaît uniquement au bureau, est-ce le proxy ?

Très probablement. Les proxies d'entreprise inspectent souvent le trafic HTTPS en utilisant leur propre certificat. Contactez votre équipe IT.

Mon antivirus peut-il causer cette erreur ?

Oui, certains antivirus inspectent le trafic HTTPS. Désactivez temporairement l'inspection SSL dans les paramètres de votre antivirus pour tester.

Que faire si ma CA n'est plus reconnue ?

Remplacez votre certificat par un nouveau émis par une CA reconnue. Symantec par exemple n'est plus reconnu par Chrome.

Comment MoniTao peut-il aider ?

MoniTao vérifie non seulement la validité du certificat mais aussi la chaîne complète. Vous êtes alerté si un problème est détecté.

Établissez une Chaîne de Confiance Complète

L'erreur d'autorité de certificat invalide nécessite souvent de reconstruire correctement la chaîne de certificats. Assurez-vous d'utiliser une CA reconnue et d'installer tous les certificats intermédiaires.

MoniTao surveille la validité de votre certificat et de sa chaîne. Configurez un monitor pour être alerté immédiatement en cas de problème.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs