Rachel est une geek du marketing et passionnée par le référencement et tout ce qui allie la technologie à la vente.
Spécialiste du marketing
Aider! Mes clients pensent que mon site Web est malveillant
Un client vous envoie un message disant qu’il a reçu un message d’erreur proclamant « Les attaquants essaient de voler vos informations ». C’est quelque chose qu’aucun propriétaire de site Web ne veut entendre. Vous visitez le site Web et ne pouvez pas voir le message d’erreur, ou peut-être pouvez-vous le faire si vous utilisez un ordinateur plus ancien.
Il existe de nombreuses raisons pour lesquelles vos visiteurs Web peuvent recevoir ce message d’erreur, mais je vais me concentrer sur un problème très spécifique qui a été reconnu par Let’s Encrypt en septembre 2021 et qui coûte aux propriétaires de petites entreprises une fortune en ventes en ligne perdues. Le message d’erreur en question est ERR_CERT_DATE_INVALID ou ERR_CERT_AUTHORITY_INVALID, qui est illustré dans l’image ci-dessus. Si vous ne voyez pas le message d’erreur, demandez à votre client une capture d’écran si possible.
Une autre option consiste à consulter le certificat SSL associé à votre site Web. Suivez ces étapes pour le faire :
- Accédez à votre site Web dans Safari, Chrome ou Firefox et recherchez le cadenas juste à gauche de votre adresse Web.
- Cliquez sur le cadenas et un menu déroulant apparaîtra.
- Cliquez sur l’item avec un cadenas « Votre connexion est sécurisée » ou…
- Si le message indique « Le certificat n’est pas valide » et indique que le site n’est pas sécurisé en rouge, vous utilisez probablement un ordinateur plus ancien avec un système d’exploitation obsolète. Dans tous les cas, la prochaine étape est la même.
- Cliquez sur l’option Certificat pour « Afficher le certificat »
- Une fenêtre contextuelle apparaîtra montrant le certificat avec les couches d’authentification imbriquées. Très probablement, le certificat racine sera nommé : DST Root CA X3 et si vous ouvrez la section des détails en bas, votre certificat SSL aura été émis par Let’s Encrypt (voir capture d’écran).
Que ce passe t-il après?
Si votre certificat ne provient pas de Let’s Encrypt avec une structure d’imbrication similaire, vous avez d’autres problèmes et cet article n’est pas ce que vous recherchez. Peut-être avez-vous des liens de contenu mixte cachés dans votre site Web (c’est-à-dire des liens http vers la version non sécurisée de votre site Web). Si tel est le cas, consultez un professionnel du Web tel que moi pour trouver les fuites. Il se peut également que votre certificat SSL soit obsolète ou que l’horloge de l’ordinateur de votre client ne soit pas synchronisée. Cela peut se produire pour de nombreuses raisons, mais si votre certificat ressemble à celui ci-dessus, lisez la suite.
Les hébergeurs et les fournisseurs SSL n’avaient pas la réponse
J’ai rencontré ce problème pour la première fois en travaillant sur l’un des sites Web de mes clients, un cabinet médical privé près de Canterbury en Angleterre, au Royaume-Uni. Ils m’ont classé et ont dit que leur site Web avait été piraté et que je devais l’examiner immédiatement. Bien sûr, je n’ai rien trouvé.
Une enquête plus approfondie auprès du client qui a signalé le problème a révélé que le problème venait de son navigateur et que tous les visiteurs du site Web utilisant des systèmes d’exploitation plus anciens rencontraient le même message d’erreur.
Faites défiler pour continuer
Bien sûr, la grande majorité des clients de mon client étaient des particuliers plus âgés et fortunés, et par conséquent, ils étaient plus susceptibles d’utiliser des ordinateurs plus anciens avec des systèmes d’exploitation et des navigateurs obsolètes. De nouveaux clients potentiels essayaient de visiter leur site Web, mais on leur a dit de ne pas entrer et ils ont été détournés ailleurs. Ce fut un désastre marketing que je devais absolument résoudre pour lui.
J’ai longuement parlé à son fournisseur d’hébergement, JustHost, et la seule solution qu’ils fourniraient était de contourner l’ordinateur portable du client final, ce qui ne résoudrait pas le problème des clients potentiels qui étaient refoulés à la porte d’entrée virtuelle. Il y avait une autre alternative qu’ils ont suggérée, mais qui impliquait de payer par le nez pour un autre certificat SSL. Étant donné qu’ils payaient déjà le certificat SSL via leur plan d’hébergement, je ne pensais pas que c’était une bonne valeur pour mon client.
J’ai ensuite contacté divers fournisseurs SSL à la recherche d’une réponse. Leurs solutions étaient également insatisfaisantes. Corrigez le navigateur du client final ou obtenez un certificat SSL très coûteux.
Je commençais à arriver à la conclusion que les certificats SSL gratuits allaient devenir non rentables pour les propriétaires de petites entreprises en raison de la perte potentielle d’activité. Mais je n’ai pas abandonné !
La solution à ERR_CERT_DATE_INVALID
Savoir qu’un certificat payant résoudrait le problème m’a donné l’espoir de trouver un fournisseur gratuit avec un autre certificat racine compatible avec les anciens systèmes d’exploitation. J’ai donc commencé à vérifier tous les fournisseurs SSL et leur autorité racine et j’ai finalement découvert ZeroSSL, qui a reconnu le problème et fourni des certificats approuvés par les anciens navigateurs et systèmes d’exploitation. Ils sont associés à toutes les principales intégrations de clients ACME afin d’assurer le plus haut niveau de compatibilité possible. Vous pouvez créer gratuitement des certificats SSL de 90 jours et configurer des renouvellements automatisés de manière simple via leur site Web.
Après trois jours de dépannage, de recherche et de test, mon client était opérationnel avec le plus haut niveau de compatibilité. Il était tellement satisfait de mon service qu’il a déménagé chez moi et a ainsi réduit ses coûts.
ZeroSSL a également ajouté un script croisé qui réduisait encore les chances qu’il soit attaqué par des messages « Les attaquants essaient de voler vos informations ».
J’espère que vous avez trouvé cet article utile et si je peux vous aider, n’hésitez pas à me contacter !
Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.
© 2022 Rachel Roodhardt