Compare Revisions

Ce à quoi correspondent les codes d’erreur SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED et ERROR_SELF_SIGNED_CERT sur les sites web sécurisés et comment régler le problème.

Pour [[How do I tell if my connection to a website is secure?|les sites web qui sont chiffrés de manière sécurisée]], Firefox doit vérifier la validité de leur certificat de sécurité. Si le certificat présenté ne peut pas être validé, Firefox suspend la connexion au site web et affiche à la place une page d’erreur « Attention : risque probable de sécurité ». Un appui sur le bouton {button Avancé…} permet de consulter l’erreur spécifique que Firefox a rencontrée. Cet article explique pourquoi les codes d’erreur SEC_ERROR_UNKNOWN_ISSUER, MOZILLA_PKIX_ERROR_MITM_DETECTED ou ERROR_SELF_SIGNED_CERT s’affichent sur la page d’erreur et comment résoudre le problème. {note}Pour d’autres codes d’erreur susceptibles d’apparaître sur la page d’erreur « Attention : risque probable de sécurité », consultez l’article [[What do the security warning codes mean?]] Pour les pages d’erreur « Échec de la connexion sécurisée » ou « Connexion bloquée : problème de sécurité potentiel », consultez l’article [[Secure connection failed and Firefox did not connect]].{/note} __TOC__ =Ce que signifie ce message d’erreur= Au cours d’une connexion sécurisée, un site web doit présenter un certificat fourni par une [https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_certification autorité de certification] authentifiée pour prouver que la connexion est bien établie avec la page cible désirée par l’utilisateur ou l’utilisatrice et qu’elle est chiffrée. Si vous cliquez sur le bouton {button Avancé…} de la page d’erreur « Attention : risque probable de sécurité » et que vous voyez le message SEC_ERROR_UNKNOWN_ISSUER ou MOZILLA_PKIX_ERROR_MITM_DETECTED, cela signifie que le certificat a été fourni par une autorité de certification inconnue de Firefox et, qu’il ne peut donc être considéré comme fiable par défaut. [[Image:Fx128WarningSEC_ERROR_UNKNOWN_ISSUER]] =La même erreur se produit sur plusieurs sites sécurisés= Si vous rencontrez ce problème sur plusieurs sites HTTPS sans lien entre eux, cela signifie que votre connexion est interceptée sur votre système ou votre réseau et reçoit des certificats refusés par Firefox. L’interception provient souvent de logiciels de sécurité qui analysent les connexions chiffrées ou de logiciels malveillants qui les écoutent et, pour cela, remplacent les certificats légitimes des sites web par les leurs. En particulier, l’erreur MOZILLA_PKIX_ERROR_MITM_DETECTED indique que Firefox a détecté une interception de connexion. ==Logiciels antivirus== Un logiciel antivirus tiers peut interférer avec les connexions sécurisées de Firefox.{for winxp,win7,mac,linux} Vous pouvez essayer de le réinstaller, ce qui est susceptible de déclencher à nouveau l’inscription de ses certificats dans le magasin de confiance de Firefox.{/for} {for win8, win10} Nous recommandons de désinstaller tout logiciel tiers et d’utiliser plutôt le logiciel de sécurité offert pour Windows par Microsoft : *Windows 8 et Windows 10 – Windows Defender ([https://www.microsoft.com/windows/comprehensive-security intégré]). Si vous ne souhaitez pas désinstaller votre logiciel tiers, vous pouvez tenter de le réinstaller, ce qui est susceptible de déclencher une nouvelle inscription de ses certificats dans le magasin de confiance de Firefox. {/for} Voici quelques autres démarches que vous pouvez essayer : ===Avast/AVG=== Dans les produits de sécurité d’Avast ou AVG, vous pouvez désactiver l’interception des connexions sécurisées : #Ouvrez le tableau de bord de l’application Avast ou AVG. #Allez à {menu Menu} et cliquez sur {menu Paramètres} > {menu Protection} > {menu Agents} #Descendez à la rubrique ''Configuration'' et cliquez sur {menu Agent web} #Décochez la case près d’{menu Autoriser l’analyse HTTPS} puis confirmez par un clic sur {button OK} #;{note}Dans les versions plus anciennes de ces produits, vous trouverez l’option correspondante en allant à {menu Menu} > {menu Paramètres} > {menu Composants} puis en cliquant sur {button Personnaliser} près d’{menu Agent web}{/note} Consultez l’article [https://support.avast.com/fr-fr/article/189/ Gestion de l’analyse HTTPS dans l’agent Web dans Avast Antivirus] de l’assistance d’Avast pour des précisions. Pour plus d’informations à propos de cette fonctionnalité, reportez-vous à cette [https://blog.avast.com/2015/05/25/explaining-avasts-https-scanning-feature/ page du blog d’Avast en anglais]. ===Bitdefender=== Vous pouvez désactiver l’interception des connexions sécurisées : #Ouvrez le tableau de bord de Bitdefender. #Allez à {menu Protection} et, dans la rubrique {menu Prévention des menaces en ligne}, cliquez sur {menu Paramètres} #Désactivez l’{pref Analyse web chiffrée} #;{note}Dans les versions plus anciennes du produit, vous pouvez trouver l’option correspondante appelée {pref Analyse SSL} en allant à {menu Modules} > {menu Protection Web}{/note} Dans la version gratuite de Bitdefender Antivirus, il n’est pas possible de contrôler ce paramètre. Vous pouvez essayer à la place de [https://www.bitdefender.com/support/repairing-or-removing-bitdefender-free-edition-1160.html réparer ou supprimer le logiciel (article en anglais)] quand vous rencontrez des problèmes d’accès à des sites sécurisés. Pour tous les produits Bitdefender pour entreprise, consultez [http://www.bitdefender.com/support/how-to-enable-ssl-https-scanning-in-cloud-security-for-endpoints-1117.html cette page en anglais du centre d’assistance de Bitdefender]. ===Bullguard=== Avec les logiciels de sécurité Bullguard, vous pouvez désactiver l’interception de connexions sécurisées sur certains sites particuliers (par exemple les sites web majeurs tels que Google, Yahoo et Facebook) : #Ouvrez le tableau de bord de votre application Bullguard. #Cliquez sur {menu Paramètres} et cliquez sur {pref Avancé} dans le coin supérieur droit du panneau. #Cliquez sur Antivirus (à droite) et choisissez {menu Navigation sécurisée} #Décochez l’option {menu Afficher les résultats sans risque} pour les sites web qui affichent ce message d’erreur. ===ESET=== Avec les produits de sécurité ESET, vous pouvez essayer de désactiver et réactiver le {pref filtrage du protocole ''SSL/TLS''} ou de désactiver l’interception des connexions sécurisées, comme il est décrit dans [http://support.eset.com/kb3126/?viewlocale=fr_FR l’article d’assistance d’ESET]. ===Kaspersky=== Les personnes touchées utilisant Kaspersky devraient mettre à jour leurs produits de sécurité vers la plus récente version disponible, car Kaspersky 2019 et les versions ultérieures atténuent ce problème. La [https://www.kaspersky.fr/downloads page de téléchargement des produits Kaspersky] contient des liens « mise à jour » qui installent gratuitement les dernières versions pour les utilisateurs et utilisatrices détenant un abonnement en cours. Autrement, vous pouvez désactiver l’interception des connexions sécurisées : #Ouvrez le panneau de contrôle de votre logiciel Kaspersky. #Cliquez sur {menu Paramètres} en bas à gauche. #Cliquez sur {menu Additionnel} puis sur {menu Réseau} #Dans la rubrique {menu Analyse des connexions chiffrées (HTTPS)}, cochez l’option {pref Ne pas analyser les connexions chiffrées} et confirmez. #Enfin, redémarrez votre système pour que les modifications prennent effet. {for win8} ==Les paramètres du Contrôle parental avec les comptes Windows== Dans les comptes Microsoft Windows protégés par les paramètres de Contrôle parental, les connexions sécurisées sur les sites web populaires comme Google, Facebook et YouTube peuvent être interceptées et leurs certificats remplacés par un certificat fourni par Microsoft pour filtrer et enregistrer l’historique des recherches. Consultez cette [https://support.microsoft.com/fr-fr/help/4027707/microsoft-account-remove-members-from-family page du support technique de Microsoft] pour savoir comment désactiver ces fonctions parentales pour les comptes. Dans le cas où vous souhaitez installer manuellement les certificats manquants pour les comptes concernés, référez-vous à cet [https://support.microsoft.com/fr-fr/kb/2965142#bookmark-2 article du support Microsoft]. {/for} ==Contrôle/filtrage sur les réseaux d’entreprise== Certains produits de contrôle/filtrage du trafic utilisés dans les environnements d’entreprise peuvent intercepter les connexions sécurisées en remplaçant un certificat de site web par le leur, ce qui déclenche en même temps des erreurs sur les sites sécurisés HTTPS. Si vous soupçonnez que ce pourrait être le cas, veuillez contacter votre direction informatique pour obtenir la configuration convenable de Firefox afin qu’il puisse fonctionner correctement dans ce type d’environnement. Le certificat nécessaire pourrait devoir être d’abord placé dans le magasin des certificats de confiance de Firefox. Les services informatiques trouveront les informations nécessaires pour réaliser cette opération dans l’article [https://wiki.mozilla.org/CA:AddRootToFirefox CA:AddRootToFirefox] du wiki de Mozilla en anglais. ==Logiciel malveillant== Certains types de logiciels malveillants qui interceptent le trafic web chiffré peuvent provoquer ce message d’erreur. Référez-vous à l’article [[Troubleshoot Firefox issues caused by malware]] pour savoir comment résoudre les problèmes dus à des logiciels malveillants. =L’erreur apparaît sur un site particulier uniquement= Si vous rencontrez ce problème sur un site précis, ce type d’erreur indique en général que le serveur web n’est pas configuré correctement. Toutefois, si vous voyez cette erreur sur un site web important et légitime tel que Google ou Facebook, ou sur des sites où des transactions financières se déroulent, vous devriez poursuivre en suivant [[#w_la-meme-erreur-se-produit-sur-plusieurs-sites-securises|les étapes exposées ci-dessus]]. ==Certificat émis par une autorité appartenant à Symantec== <!--Delayed? Discontinued? see discussion https://support.mozilla.org/en-US/kb/error-codes-secure-websites/discuss/7516 --> Après qu’ont été mises en lumière de nombreuses irrégularités avec des certificats émis par des autorités racines Symantec, des fournisseurs de navigateurs, parmi lesquels Mozilla, suppriment progressivement de leurs produits leur confiance en ces certificats. <!--Pour commencer, Firefox 60 ne se fiera plus aux certificats chaînés aux autorités racines Symantec (ce qui inclut toutes les marques de Symantec : GeoTrust, RapidSSL, Thawte et VeriSign) qui ont été émis avant le 01/06/2016. Dans Firefox 63, ce retrait de confiance sera élargi à tous les certificats émis par Symantec sans tenir compte de leur date d’émission.-->Pour davantage d’informations sur ce problème, consultez [https://blog.mozilla.org/security/2018/10/10/delaying-further-symantec-tls-certificate-distrust/ ce billet du blog de Mozilla en anglais]. MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED sera la principale erreur, mais, avec quelques serveurs, vous pouvez voir le code d’erreur SEC_ERROR_UNKNOWN_ISSUER à sa place.<!--https://bugzilla.mozilla.org/show_bug.cgi?id=1444427#c1 --> Si vous rencontrez un tel site web, vous devriez contacter ses propriétaires pour les informer du problème. Chez Mozilla, nous encourageons fortement les exploitants des sites affectés à prendre immédiatement des mesures pour remplacer ces certificats. Pour recevoir de l’aide supplémentaire, référez-vous à [https://www.digicert.com/blog/digicert-helping-customers-replace-symantec-certificates cet article du blog de DigiCert] et aux [https://www.digicert.com/tools outils de DigiCert] (pages en anglais). ==Certificat intermédiaire manquant== Sur un site auquel il manque un certificat intermédiaire vous verrez la description d’erreur suivante après avoir cliqué sur le bouton {button Avancé…} sur la page d’erreur : {note}Le certificat n’est pas sûr, car l’autorité délivrant le certificat est inconnue.<br>Le serveur n’envoie peut-être pas les certificats intermédiaires appropriés.<br>Il peut être nécessaire d’importer un certificat racine supplémentaire.{/note} Le certificat du site web pourrait ne pas avoir été émis par une autorité de certification fiable et aucune chaîne de certificat vérifiée par une autorité fiable n’a été fournie (ce que l’on appelle un « certificat intermédiaire » est manquant). <br>Vous pouvez tester si un site est correctement configuré en saisissant une adresse web dans un service tiers comme la [https://www.ssllabs.com/ssltest page de test du SSL Labs]. Si le message qui est renvoyé est : « Problèmes de chaîne : Incomplète », cela signifie qu’une certification intermédiaire fait défaut. Vous devriez contacter les propriétaires du site web et les informer de ce problème. ==Certificats auto-signés== Sur un site qui utilise un certificat auto-signé vous verrez apparaître le code d’erreur ERROR_SELF_SIGNED_CERT et la description d’erreur suivante après avoir cliqué sur le bouton {button Avancé…} de la page d’erreur : {note}Le certificat n’est pas sûr, car il est auto-signé.{/note} Un certificat auto-signé qui n’a pas été émis par une autorité de certification est considéré comme non fiable par défaut. Les certificats auto-signés peuvent sécuriser vos données par rapport aux oreilles indiscrètes, mais ne disent rien sur les destinataires des données que vous communiquez. C’est courant pour les sites web en intranet qui ne sont pas disponibles publiquement et vous pouvez ignorer l’avertissement pour de tels sites. ==Ignorer l’avertissement== {warning}'''Attention !''' Vous ne devriez jamais ajouter d’exception de certificat pour un site majeur légitime ou des sites qui proposent des transactions financières. Dans ce cas, un certificat invalide peut signaler que votre connexion est dangereusement compromise par un tiers.{/warning} Si le site web le permet, vous pouvez contourner l’avertissement pour visiter le site même si son certificat n’est pas reconnu par défaut : #Sur la page d’avertissement, cliquez sur {button Avancé…} #Cliquez sur {button Accepter le risque et poursuivre}