Comment vérifier votre installation SSL et corriger les erreurs courantes avec un vérificateur SSL

Vous avez installé le certificat, vu le cadenas dans le navigateur et pensé que tout était terminé. Pourtant, la configuration SSL est souvent plus délicate qu'il n'y paraît : une installation qui fonctionne dans un navigateur peut afficher l'avertissement "non sécurisé" sur un autre appareil ou dans une application mobile. C'est précisément là qu'un vérificateur SSL prend tout son sens. Dans ce guide, nous expliquons pas à pas comment vérifier votre installation et corriger les erreurs les plus fréquentes.

Pourquoi vérifier votre SSL est important

Les problèmes SSL/TLS ne sont pas toujours visibles. Votre navigateur de bureau a peut-être mis en cache un certificat intermédiaire, si bien que le site s'ouvre parfaitement chez vous mais échoue pour un nouveau visiteur. Un certificat sur le point d'expirer peut ne pas s'être renouvelé en silence. Un certificat qui ne couvre pas le sous-domaine www déclenche un avertissement dès qu'un utilisateur tape www dans la barre d'adresse. Ces problèmes affectent directement votre référencement, la confiance des utilisateurs et vos intégrations d'API. Un vérificateur indépendant vous montre ce que le serveur fournit réellement, sans être influencé par le cache de votre navigateur.

Ce qu'un vérificateur SSL signale

Lorsque vous saisissez votre domaine, l'outil ouvre une connexion TLS vers votre serveur et signale :

  • Validité et date d'expiration — si le certificat est actif et combien de jours il reste.
  • Émetteur (Issuer) — l'autorité de certification (CA) qui l'a signé, par exemple Let's Encrypt.
  • Domaines couverts (SAN) — tous les noms d'hôte pour lesquels le certificat est valide.
  • Correspondance du nom d'hôte — si le nom que vous avez saisi correspond aux noms du certificat.
  • Chaîne de certification — si la chaîne, y compris les intermédiaires et la racine, est complète et de confiance.
  • Informations de clé et de signature ainsi que le protocole TLS négocié.

Pour voir votre propre configuration, ouvrez notre outil de vérification SSL et saisissez votre domaine.

Comment lire le résultat

Ne vous arrêtez pas au verdict global vert/rouge ; lisez les détails. Parcourez-les dans l'ordre : l'émetteur est-il une CA connue et de confiance ? Reste-t-il plus de 30 jours ? La liste des SAN inclut-elle à la fois example.com et www.example.com ? La chaîne est-elle marquée comme "complète" ? Si l'outil détecte un problème dans l'un de ces champs, il affiche un avertissement clair. La vraie compétence consiste à interpréter cet avertissement correctement.

Les erreurs SSL les plus courantes et comment les corriger

1. Chaîne de certification incomplète

C'est l'erreur la plus courante et la plus déroutante : le site fonctionne dans certains navigateurs mais échoue sur mobile ou avec curl. La cause est que le serveur n'envoie pas ses certificats intermédiaires. La solution consiste à installer la chaîne complète (certificat du serveur + intermédiaires) sur le serveur. Il suffit généralement d'utiliser le fichier fullchain.pem. Sous Nginx, pointez la directive ssl_certificate vers le fichier fullchain plutôt que vers le certificat seul ; sous Apache, ajoutez le bundle de la CA avec SSLCertificateChainFile.

2. Non-correspondance du nom d'hôte

Si le certificat a été émis pour example.com mais qu'un visiteur arrive sur www.example.com, le navigateur avertit. La solution est de réémettre un certificat couvrant les deux noms (le domaine racine et www). Dans notre assistant de certificat gratuit, vous pouvez ajouter tous les domaines nécessaires au champ SAN avant l'émission.

3. Certificat expiré

Les certificats ont une durée de vie limitée et, une fois expirés, le navigateur bloque complètement l'accès. La solution est simple : renouveler le certificat. L'idéal est d'automatiser le renouvellement ; mais sans automatisation, exécutez le vérificateur régulièrement pour surveiller la date d'expiration et renouvelez lorsqu'il reste moins de 30 jours.

4. Racine non fiable ou certificat auto-signé

Les certificats auto-signés que vous générez pour les tests, ou les certificats d'une CA que les navigateurs ne reconnaissent pas, sont considérés comme non fiables. En production, la solution est d'utiliser un certificat d'une véritable autorité de certification. Une CA gratuite et largement reconnue comme Let's Encrypt élimine entièrement ce problème.

Revérifiez après chaque correction

Lancez toujours le vérificateur à nouveau après chaque modification. Assurez-vous d'avoir redémarré le serveur web, puis confirmez que la chaîne est désormais "complète", que la correspondance du nom d'hôte est "réussie" et que le nombre de jours restants est correct. Si vous exploitez plusieurs serveurs derrière un répartiteur de charge, vérifiez chacun individuellement ; très souvent, un seul nœud continue de servir l'ancien certificat.

Résumé

Un vérificateur SSL vous montre à quoi ressemble votre installation pour le reste du monde, indépendamment du cache de votre navigateur. Vérifiez l'émetteur, la date d'expiration, les domaines couverts et l'intégrité de la chaîne ; corrigez une chaîne incomplète avec le fichier fullchain, une non-correspondance de nom d'hôte en réémettant avec les bons SAN, une expiration en renouvelant et les certificats non fiables en passant à une véritable CA. Pour commencer, utilisez l'outil de vérification SSL et, si nécessaire, créez votre certificat gratuit de 90 jours en quelques minutes seulement.