Régler les codes d’erreur de sécurité sur les sites web sécurisés

Informations de la révision
  • Identifiant de la révision : 305274
  • Date de création :
  • Créateur : goofy_sumo
  • Commentaire : typofix
  • Vérifiée : Non
  • Prêt pour la localisation : Non
Source de la révision
Contenu de la révision

Firefox vérifie le certificat de sécurité d’un site web pour s’assurer que le site est légitime et que votre connexion est chiffrée. Au cas où le certificat ne peut pas être validé, Firefox interrompt la connexion et affiche une page d’erreur « Attention : risque probable de sécurité ».

Cet article explique la signification des codes d’erreur les plus courants – SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED et ERROR_SELF_SIGNED_CERT – et comment résoudre le problème. Consultez l’article Que signifie : « Votre connexion n'est pas sécurisée » ? pour d’autres codes d’erreur du type « Attention : risque probable de sécurité ».

Note : dans les versions de Firefox récentes, certaines erreurs relatives aux certificats ne peuvent plus être outrepassées pour des raisons de sécurité. Si le bouton Accepter le risque et poursuivre n’est pas visible, consultez la section When you can’t bypass the warning.

Comprendre le message d’erreur

  1. Sur la page d’avertissement, cliquez sur Avancé…
  2. Contrôlez le code d’erreur affiché.
  3. En cas d’apparition de :
    • SEC_ERROR_UNKNOWN_ISSUER ou MOZILLA_PKIX_ERROR_MITM_DETECTED : une autorité non fiable a émis le certificat.
    • ERROR_SELF_SIGNED_CERT : le site utilise un certificat auto-signé.

Fx128WarningSEC_ERROR_UNKNOWN_ISSUER

Si l’erreur se produit sur plusieurs sites sécurisés

Cela signifie que quelque chose sur votre appareil ou sur votre réseau intercepte les connexions sécurisées et remplace les certificats de site web. Les causes fréquentes sont :

  • Les antivirus scannent les connexions chiffrées ;
  • Les outils de surveillance des réseaux d’entreprise ;
  • Les logiciels malveillants (malwares).

Vérifier les paramètres de son logiciel antivirus

Avast/AVG

  1. Ouvrez le tableau de bord d’Avast ou d’AVG.
  2. Allez à Menu et cliquez sur Paramètres > Protection > Agents
  3. Sous Agent web, décochez la case près d’Autoriser l’analyse HTTPS
    Dans les versions plus anciennes du produit, vous trouverez l’option correspondante en allant à Menu > Paramètres > Composants puis en cliquant sur Personnaliser près d’Agent web
  4. Confirmez et redémarrez Firefox.
Consultez l’article Gestion de l’analyse HTTPS dans l’agent Web dans Avast Antivirus de l’assistance d’Avast pour des précisions. Pour plus d’informations à propos de cette fonctionnalité, reportez-vous à cette page du blog d’Avast en anglais.

Bitdefender

  1. Ouvrez le tableau de bord de Bitdefender.
  2. Rendez-vous dans ProtectionPrévention des menaces en ligneParamètres
  3. Désactivez le paramètre Analyse web chiffrée
    Dans les versions plus anciennes du produit, vous pouvez trouver l’option correspondante appelée Analyse SSL en allant à Modules > Protection Web
Dans la version gratuite de Bitdefender Antivirus, il n’est pas possible de contrôler ce paramètre. Vous pouvez essayer à la place de réparer ou supprimer le logiciel (article en anglais) quand vous rencontrez des problèmes d’accès à des sites sécurisés.

Bullguard

  1. Ouvrez le tableau de bord de Bullguard.
  2. Rendez-vous dans ParamètresAvancéAntivirus
  3. Dans la section Navigation sécurisée, décochez l’option Afficher les résultats sans risque pour les sites web qui affichent des messages d’erreur.

ESET

Suivez les instructions dans l’article d’assistance d’ESET pour désactiver et réactiver le filtrage du protocole TLS.

Kaspersky

  1. Ouvrez le panneau de contrôle de Kaspersky.
  2. Rendez-vous dans ParamètresAdditionnelRéseau
  3. Dans la rubrique Analyse des connexions chiffrées (HTTPS), cochez l’option Ne pas analyser les connexions chiffrées
  4. Redémarrez votre système.
Les personnes touchées utilisant Kaspersky devraient mettre à jour leurs produits de sécurité vers la plus récente version disponible, car Kaspersky 2019 et les versions ultérieures atténuent ce problème. La page de téléchargement des produits Kaspersky contient des liens « mise à jour » qui installent gratuitement les dernières versions pour les personnes détenant un abonnement en cours.

Les paramètres du Contrôle parental avec les comptes Windows

Dans les comptes Microsoft Windows protégés par les paramètres de Contrôle parental, les connexions sécurisées sur les sites web populaires comme Google, Facebook et YouTube peuvent être interceptées et leurs certificats remplacés par un certificat fourni par Microsoft pour filtrer et enregistrer l’historique des recherches.

Consultez cette page du support technique de Microsoft pour savoir comment désactiver ces fonctions parentales pour les comptes. Dans le cas où vous souhaitez installer manuellement les certificats manquants pour les comptes concernés, référez-vous à cet article du support Microsoft.

Contrôle/filtrage sur les réseaux d’entreprise

Certains produits de contrôle/filtrage du trafic utilisés dans les environnements d’entreprise peuvent intercepter les connexions sécurisées en remplaçant un certificat de site web par le leur, ce qui déclenche en même temps des erreurs sur les sites sécurisés HTTPS.

Si vous soupçonnez que ce pourrait être le cas, veuillez contacter votre direction informatique pour obtenir la configuration convenable de Firefox afin qu’il puisse fonctionner correctement dans ce type d’environnement. Le certificat nécessaire pourrait devoir être d’abord placé dans le magasin des certificats de confiance de Firefox. Les services informatiques trouveront les informations nécessaires pour réaliser cette opération dans l’article CA:AddRootToFirefox du wiki de Mozilla en anglais.

Logiciel malveillant

Certains types de logiciels malveillants qui interceptent le trafic web chiffré peuvent provoquer ce message d’erreur. Référez-vous à l’article Résoudre des problèmes de Firefox causés par des logiciels malveillants pour savoir comment résoudre les problèmes dus à des logiciels malveillants.

L’erreur apparaît sur un site particulier uniquement

Si vous rencontrez ce problème sur un site précis, ce type d’erreur indique en général que le serveur web n’est pas configuré correctement. Toutefois, si vous voyez cette erreur sur un site web important et légitime tel que Google ou Facebook, ou sur des sites où des transactions financières se déroulent, vous devriez poursuivre en suivant les étapes exposées ci-dessus.

Certificat émis par une autorité appartenant à Symantec

Après qu’ont été mises en lumière de nombreuses irrégularités avec des certificats émis par des autorités racines Symantec, des fournisseurs de navigateurs, parmi lesquels Mozilla, suppriment progressivement de leurs produits leur confiance en ces certificats. Pour davantage d’informations sur ce problème, consultez ce billet du blog de Mozilla en anglais.

MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED sera la principale erreur, mais, avec quelques serveurs, vous pouvez voir le code d’erreur SEC_ERROR_UNKNOWN_ISSUER à sa place. Si vous rencontrez un tel site web, vous devriez contacter ses propriétaires pour les informer du problème.

Chez Mozilla, nous encourageons fortement les exploitants des sites affectés à prendre immédiatement des mesures pour remplacer ces certificats. Pour recevoir de l’aide supplémentaire, référez-vous à cet article du blog de DigiCert et aux outils de DigiCert (pages en anglais).

Certificat intermédiaire manquant

Sur un site auquel il manque un certificat intermédiaire vous verrez la description d’erreur suivante après avoir cliqué sur le bouton Avancé… sur la page d’erreur :

Le certificat n’est pas sûr, car l’autorité délivrant le certificat est inconnue.
Le serveur n’envoie peut-être pas les certificats intermédiaires appropriés.
Il peut être nécessaire d’importer un certificat racine supplémentaire.

Le certificat du site web pourrait ne pas avoir été émis par une autorité de certification fiable et aucune chaîne de certificat vérifiée par une autorité fiable n’a été fournie (ce que l’on appelle un « certificat intermédiaire » est manquant).
Vous pouvez tester si un site est correctement configuré en saisissant une adresse web dans un service tiers comme la page de test du SSL Labs. Si le message qui est renvoyé est : « Problèmes de chaîne : Incomplète », cela signifie qu’une certification intermédiaire fait défaut. Vous devriez contacter les propriétaires du site web et les informer de ce problème.

Certificats auto-signés

Sur un site qui utilise un certificat auto-signé vous verrez apparaître le code d’erreur ERROR_SELF_SIGNED_CERT et la description d’erreur suivante après avoir cliqué sur le bouton Avancé… de la page d’erreur :

Le certificat n’est pas sûr, car il est auto-signé.

Un certificat auto-signé qui n’a pas été émis par une autorité de certification est considéré comme non fiable par défaut. Les certificats auto-signés peuvent sécuriser vos données par rapport aux oreilles indiscrètes, mais ne disent rien sur les destinataires des données que vous communiquez. C’est courant pour les sites web en intranet qui ne sont pas disponibles publiquement et vous pouvez ignorer l’avertissement pour de tels sites.

Ignorer l’avertissement

Attention ! Vous ne devriez jamais ajouter d’exception de certificat pour un site majeur légitime ou des sites qui proposent des transactions financières. Dans ce cas, un certificat invalide peut signaler que votre connexion est dangereusement compromise par un tiers.

Si le site web le permet, vous pouvez contourner l’avertissement pour visiter le site même si son certificat n’est pas reconnu par défaut :

  1. Sur la page d’avertissement, cliquez sur Avancé…
  2. Cliquez sur Accepter le risque et poursuivre