Il arrive parfois que certains sites Internet soient inaccessibles et qu’un message d’alerte apparaisse dans le navigateur prévenant que le site n’est pas sécurisé.
En réalité, ce message s’affiche quand le certificat du site n’est pas reconnu. Cela peut être car le certificat :
- N’existe pas
- Est auto-signé
- Est expiré
- Provient d’une autorité non reconnue
- Ne contient pas l’identité du site
Explications au cas par cas
Le site ne comporte pas de certificat
Aujourd’hui, les navigateurs considèrent que tous les sites doivent sécuriser leurs connexions, grâce à un certificat TLS. Il existe désormais plusieurs alternatives gratuites pour récupérer des certificats TLS valides, comme par exemple celle de Lets encrypt. Il est recommandé de ne jamais communiquer d’informations sur des sites non sécurisés car vos données peuvent facilement être récupérées.
Expiré ou révoqué
Un certificat étant une carte d’identité numérique, il possède une période de validité et peut être révoqué pour différentes raisons. Dans ce cas, les navigateurs bloquent l’accès au site pour protéger l’utilisateur. En effet, si le certificat est expiré ou révoqué, la sécurité du site n’est plus assurée. Il est possible toutefois de contourner l’alerte du navigateur, mais il est recommandé de ne jamais le faire.
Auto-signé
Seule les Autorités de Certification (AC) sont habilitées à fournir des certificats. Or, un certificat auto-signé est un certificat dont l’Autorité émettrice est lui-même. Ce genre de certificats existe, mais ceux-ci doivent être utilisés uniquement lors de tests techniques ou pour générer les certificats des Autorités. Un site web protégé par un certificat auto-signé est évidemment bloqué par le navigateur, car aucune Autorité de confiance ne l’a certifié et par conséquent, rien ne prouve que le site web est sûr.
Le certificat ne contient pas l’identité du site
L’identité d’un site est (en partie) son nom de domaine, également appelé FQDN (Fully Qualified Domain Name). Par exemple, pour accéder au site Internet de Digitalberry, il faut se rendre sur l’URL : https://www.digitalberry.fr/. Son FQDN est www.digitalberry.fr : il s’agit bien de la chaine entre // et le premier /. Les navigateurs sont conçus pour ne pas accepter une connexion à un site protégé par un certificat qui ne contient pas le FQDN utilisé dans la barre d’’adresse. Car, en d’autres termes, Bob se balade avec une carte d’identité dont le prénom est Alice. Pouvez-vous faire confiance à cette personne ?
L’Autorité n’est pas reconnue
Tous les navigateurs embarquent les certificats auto-signés des Autorités considérées de confiance, ce qui leur permet de valider ou non un certificat. Un site web protégé par un certificat approuvé par une Autorité non présente dans le navigateur ne sera évidemment pas accepté. Pour prendre un exemple concret, si un touriste issu de l’État d’Abkhazie arrive en France avec son passeport Abkhazien, la France ne reconnaissant pas cet État, il sera renvoyé chez lui. Il est possible toutefois d’ajouter des Autorités dans les navigateurs dans le cas où l’on dispose d’une Autorité de Certification interne à une organisation.
