Le cadenas affiché dans la barre d’adresse est devenu un standard sur le web. Son absence ou l’apparition d’un avertissement de sécurité peut faire fuir les visiteurs… et inquiéter les moteurs de recherche.
Lorsqu’une erreur HTTPS apparaît, le réflexe consiste souvent à régénérer le certificat SSL. Pourtant, dans de nombreux cas, le problème ne vient pas du certificat lui-même, mais d’une configuration incorrecte du site ou des redirections.
Dans cet article, nous allons voir comment fonctionnent les certificats SSL et surtout comment diagnostiquer les erreurs les plus courantes afin de les corriger rapidement.
Les certificats SSL en bref
Un certificat SSL sécurise la connexion entre le navigateur d’un visiteur et le serveur qui héberge un site web : il chiffre les échanges de données et confirme que le site correspond bien au nom de domaine affiché dans la barre d’adresse.
La grande majorité des sites utilisent aujourd’hui des certificats Let’s Encrypt, une autorité de certification gratuite qui émet des certificats de type DV (Domain Validation). La vérification se fait automatiquement, sans validation humaine, et confirme uniquement que vous contrôlez le domaine concerné. Elle ne vérifie pas l’identité de l’entreprise derrière le site, contrairement aux certificats OV ou EV.
Pour la quasi-totalité des usages (blogs, sites vitrines, e‑commerce), ce niveau est parfaitement suffisant : le chiffrement est identique, seule la vérification d’identité diffère.
Avant de corriger : identifier l’erreur
Avant de modifier la configuration d’un site ou de régénérer un certificat, la première étape consiste simplement à observer le message affiché par le navigateur. Les erreurs HTTPS sont généralement assez explicites et indiquent souvent la nature du problème.
Commencez par regarder la barre d’adresse : le cadenas peut être accompagné d’un avertissement ou d’un message indiquant que la connexion n’est pas entièrement sécurisée. Certains navigateurs affichent également une mention indiquant que la connexion a été surclassée automatiquement en HTTPS, ce n’est pas une erreur.
Si l’erreur n’est pas évidente, vous pouvez également ouvrir les outils de développement du navigateur (touche F12 dans la plupart des cas). L’onglet Console permet souvent de repérer rapidement un problème de ressource chargée en HTTP, typique des erreurs de mixed content.
Les erreurs SSL les plus courantes
Mixed content
Une erreur de mixed content apparaît lorsqu’une page est chargée en HTTPS, mais que certaines ressources qu’elle utilise (images, scripts, feuilles de style ou polices web…) sont référencées en HTTP.
Les navigateurs modernes ne laissent plus passer ces ressources silencieusement. Selon le type de ressource, elles sont soit surclassées automatiquement en HTTPS, soit bloquées : c’est notamment le cas des polices web référencées en HTTP. Dans les deux cas, le problème n’est plus forcément visible dans la barre d’adresse. C’est la console des outils de développement (touche F12) qui permet de détecter les ressources concernées.
Ce problème survient le plus souvent après une migration d’un site HTTP vers HTTPS. Certaines URLs restent enregistrées en HTTP dans la base de données du site, dans les contenus, les médias ou parfois dans les fichiers du thème ou d’une extension.
La correction consiste généralement à remplacer les anciennes URLs HTTP par leurs équivalents HTTPS. Sur un site WordPress, cela peut se faire avec un outil de recherche et remplacement dans la base de données, par exemple avec l’extension Better Search Replace.
Il est également utile de vérifier que les images, scripts et feuilles de style chargés par le thème ou certaines extensions utilisent bien des URLs en HTTPS.
ERR_CERT_COMMON_NAME_INVALID
L’erreur ERR_CERT_COMMON_NAME_INVALID apparaît lorsque le certificat SSL présenté par le serveur ne correspond pas au nom de domaine utilisé dans le navigateur.
Autrement dit, le navigateur reçoit un certificat valide… mais pour un autre domaine. Dans ce cas, il ne peut pas confirmer l’identité du site et affiche un avertissement de sécurité. Plusieurs situations peuvent provoquer cette erreur.
Différence entre www et non-www
C’est l’un des cas les plus fréquents. Un certificat peut être valide pour domaine.fr, mais pas pour www.domaine.fr, ou l’inverse.
Si le visiteur accède à une version du domaine qui n’est pas incluse dans le certificat, le navigateur considère que celui-ci ne correspond pas au site visité.
Sous-domaine non couvert par le certificat
Un certificat peut couvrir un domaine principal sans inclure tous ses sous-domaines.
Par exemple, un certificat valide pour domaine.fr ne couvre pas automatiquement blog.domaine.fr ou shop.domaine.fr. Si un visiteur accède à un sous-domaine non présent dans le certificat, l’erreur peut apparaître.
Migration de site ou propagation DNS
Lors d’un changement de serveur ou d’une migration de site, le domaine peut pointer vers deux serveurs différents pendant un certain temps.
Certains visiteurs arrivent alors sur l’ancien serveur, tandis que d’autres atteignent déjà le nouveau. Si ces deux serveurs présentent des certificats différents, le navigateur peut recevoir un certificat qui ne correspond pas au domaine attendu.
Ce type d’erreur disparaît généralement une fois la propagation DNS terminée.
Domaine pointant vers le mauvais serveur
Dans certains cas, la configuration DNS du domaine dirige les visiteurs vers un serveur qui héberge un autre site. Le serveur présente alors son propre certificat, qui ne correspond pas au domaine demandé, ce qui provoque l’erreur.
Dans tous ces cas, la correction passe par la même démarche : vérifier les domaines couverts par le certificat (visibles dans les informations du navigateur), puis s’assurer que le domaine ou sous-domaine concerné y figure bien. Si ce n’est pas le cas, il faudra générer un nouveau certificat en incluant les variantes manquantes. Si le certificat est correct mais que l’erreur persiste, le problème vient probablement de la configuration DNS : vérifiez que le domaine pointe bien vers le bon serveur.
Boucle de redirection HTTPS
Une boucle de redirection HTTPS se produit lorsque le navigateur est redirigé en permanence entre deux URLs sans jamais parvenir à charger la page. Le navigateur affiche alors un message indiquant que la page redirige trop de fois (ERR_TOO_MANY_REDIRECTS) ou que la connexion n’est pas établie correctement.
Ce type de problème apparaît généralement lorsqu’il existe plusieurs règles de redirection contradictoires dans la configuration du site ou du serveur. Plusieurs situations peuvent provoquer ce comportement.
Redirections HTTPS en double
Il arrive qu’une redirection vers HTTPS soit configurée à plusieurs endroits en même temps : dans le fichier .htaccess, dans une extension WordPress ou directement dans les réglages du serveur.
Ces règles peuvent entrer en conflit et provoquer une redirection en boucle entre HTTP et HTTPS.
Mauvaise configuration dans WordPress
WordPress possède deux réglages importants dans Réglages → Général :
- Adresse web de WordPress
- Adresse web du site
Si ces deux URLs ne sont pas configurées correctement (par exemple l’une en HTTP et l’autre en HTTPS), des redirections inattendues peuvent apparaître.
Configuration incorrecte avec un proxy ou un CDN
Lorsqu’un site passe par un CDN ou un proxy, la connexion HTTPS est souvent terminée au niveau du service intermédiaire avant d’être transmise au serveur. Si ce dernier ne détecte pas correctement que la connexion d’origine est déjà en HTTPS, il peut tenter de rediriger à nouveau, ce qui crée une boucle.
Avec Cloudflare, ce problème survient fréquemment lorsque le mode SSL est réglé sur Flexible : Cloudflare se connecte alors au serveur en HTTP, tandis que le serveur tente de rediriger vers HTTPS. Passer le mode SSL sur Full ou Full (strict) dans le tableau de bord Cloudflare suffit généralement à résoudre le problème.
Cache ou redirections persistantes
Certaines redirections peuvent rester mémorisées dans le cache du navigateur ou du serveur. Après une modification de configuration, le navigateur peut continuer à appliquer une ancienne redirection.
Dans ce cas, vider le cache du navigateur ou du site peut suffire à résoudre le problème.
La résolution consiste généralement à identifier où se trouvent les règles de redirection et à s’assurer qu’elles ne sont définies qu’à un seul endroit.
Ce qu’il ne faut pas faire
Lorsqu’une erreur SSL apparaît, la réaction la plus fréquente consiste à modifier plusieurs réglages en même temps dans l’espoir que le problème disparaisse. Cette approche complique souvent le diagnostic et peut même aggraver la situation.
Certaines erreurs reviennent particulièrement souvent.
Régénérer le certificat en boucle
Si une erreur HTTPS apparaît, cela ne signifie pas forcément que le certificat est défectueux. Dans la plupart des cas, le problème vient plutôt d’une configuration incorrecte du domaine, des redirections ou du DNS.
Régénérer le certificat plusieurs fois ne résoudra donc rien si la cause réelle du problème n’est pas identifiée.
Avec les certificats Let’s Encrypt, cette pratique peut même bloquer temporairement la création de nouveaux certificats. Le service applique en effet des limites de génération pour éviter les abus. Si plusieurs tentatives sont effectuées en peu de temps, l’émission de nouveaux certificats peut être refusée pendant un certain délai.
Dans ce cas, il faut généralement attendre plusieurs heures avant de pouvoir générer un nouveau certificat.
➔ La documentation officielle détaille ces limites : https://letsencrypt.org/fr/docs/rate-limits/
Désactiver HTTPS “temporairement”
Supprimer le certificat ou revenir à une version HTTP du site peut sembler être une solution rapide, mais cela peut provoquer d’autres problèmes : avertissements de sécurité dans les navigateurs, perte de confiance des visiteurs et impact négatif sur le référencement.
➔ Une fois HTTPS activé sur un site, il est préférable de corriger la configuration plutôt que de revenir en arrière.
Ignorer les avertissements de sécurité
Il arrive qu’un site continue de s’afficher malgré un cadenas barré ou un message indiquant que la connexion n’est pas entièrement sécurisée.
Même si la page semble fonctionner, ces avertissements indiquent généralement un problème réel, comme un mixed content ou un certificat mal configuré.
➔ Ces avertissements ont un impact réel sur la confiance des visiteurs et sur le référencement. Mieux vaut une heure de diagnostic qu’une erreur SSL laissée en place.
À retenir
- Les erreurs HTTPS ne viennent pas toujours du certificat SSL lui-même. Elles sont souvent liées à la configuration du site, aux redirections, au DNS ou à des ressources encore chargées en HTTP.
- Avant d’agir, la première étape consiste toujours à identifier précisément le message d’erreur affiché par le navigateur. Chaque erreur correspond généralement à une cause spécifique.
- Une fois HTTPS activé, corriger la configuration est toujours préférable à une désactivation, même temporaire.
