Dépannage des erreurs SSL
Corrigez les erreurs SSL courantes observées lors de la navigation vers un domaine traité par proxy via Cloudflare.
Présentation
Jusqu’à ce que Cloudflare fournisse un certificat SSL pour votre domaine, les erreurs suivantes apparaissent dans différents navigateurs pour le trafic HTTPS :
Firefox
ssl_error_bad_cert_domain Cette connexion n’est pas fiable
Chrome :
Votre connexion n’est pas privée
Safari
Safari ne peut pas vérifier l’identité du site Web
Edge / Internet Explorer
Il y a un problème avec le certificat de sécurité de ce site Web
Même avec un certificat SSL Cloudflare configuré pour votre domaine, les anciens navigateurs affichent des erreurs concernant les certificats SSL non approuvés car ils ne prennent pas en charge le protocole SNI (Server Name Indication) utilisé par les certificats Universal SSL de Cloudflare.
Si des erreurs SSL se produisent lors de l’utilisation d’un navigateur plus récent, examinez les causes d’erreurs SSL courantes :
- Erreurs de boucle de redirection ou erreurs HTTP 525 ou 526
- Seuls certains de vos sous-domaines renvoient des erreurs SSL
- Votre certificat Universal SSL de Cloudflare n’est pas actif
- Erreur de réponse OCSP
- SSL expiré ou erreurs d’incompatibilité SSL
Erreurs de boucle de redirection ou erreurs HTTP 525 ou 526
Symptôme
Les visiteurs rencontrent les erreurs de boucle de redirection lors de la navigation sur votre domaine, ou observent les erreurs HTTP 525 ou 526. Ces erreurs se produisent lorsque l’option SSL actuelle dans l’application SSL/TLS de Cloudflare n’est pas compatible avec la configuration de votre serveur Web d’origine.
Résolution
Pour les boucles de redirection, reportez-vous à notre guide sur le dépannage des erreurs de boucle de redirection.
Pour résoudre les erreurs HTTP 525 ou 526, reportez-vous à nos configurations SSL recommandées ci-dessous. Par exemple, si votre serveur Web d’origine :
dispose d’un certificat valide émanant d’une autorité de certification ou un certificat Origin CA de Cloudflare, utilisez l’option SSL Full ou Full (strict) ;
dispose de certificats SSL auto-signés, utilisez l’option SSL Full ;
ne dispose d’aucun certificat SSL, utilisez l’option SSL Flexible.
Seuls certains de vos sous-domaines renvoient des erreurs SSL
SymptômeLes certificats Universal SSL et Dedicated SSL standard de Cloudflare ne couvrent que le domaine de niveau racine (exemple.com) et un niveau de sous-domaines (*.exemple.com). Si les visiteurs de votre domaine constatent des erreurs lors de l’accès à un deuxième niveau de sous-domaines dans leur navigateur (tel que dev.www.exemple.com) mais pas au premier niveau de sous-domaines (tel que www.exemple.com), corrigez le problème en appliquant l’une des méthodes ci-dessous.
Résolution
- Assurez-vous que le domaine figure au moins sur une offre Business Plan et chargez un certificat SSL personnalisé couvrant dev.www.exemple.com.
- Achetez un certificat Dedicated SSL avec des noms d’hôte personnalisés couvrant dev.www.exemple.com.
- Si vous disposez d’un certificat valide pour les sous-domaines de second niveau sur votre serveur Web d’origine, cliquez sur l’icône de nuage orange à côté du nom d’hôte dev.www dans l’application DNS de Cloudflare pour exemple.com.
Votre certificat Universal SSL de Cloudflare n’est pas actif
Symptôme
Un certificat Universal SSL est fourni pour chaque domaine Cloudflare actif. Si vous constatez des erreurs SSL et que vous n’avez pas de certificat de Type Universal dans la section Edge Certificates de l’application SSL/TLS de Cloudflare pour votre domaine, alors le certificat Universal SSL n’a pas encore été configuré.
Nos fournisseurs SSL vérifient chaque demande de certificat SSL avant que Cloudflare puisse émettre un certificat pour un nom de domaine. Ce processus peut durer de 15 minutes à 24 heures. Nos fournisseurs de certificats SSL signalent parfois un nom de domaine pour une révision supplémentaire.
Résolution
- activez Universal SSL dans l’application SSL/TLS de Cloudflare, ou
- achetez un certificat Dedicated SSL, ou
- chargez un certificat SSL personnalisé sur Cloudflare.
Si votre certificat SSL Cloudflare n’est pas délivré dans les 24 heures suivant l’activation du domaine Cloudflare :
- mettez provisoirement Cloudflare en pause si votre serveur Web d’origine dispose d’un certificat SSL valide, et
- ouvrez un ticket auprès du support pour fournir les informations suivantes :
- Le nom de domaine affecté.
- Une capture d’écran des erreurs que vous observez.
En suspendant provisoirement Cloudflare, le trafic HTTPS sera correctement servi à partir de votre serveur Web d’origine pendant que l’équipe du support étudie le problème.
Erreur de réponse OCSP
Symptôme Les visiteurs de votre site constatent une erreur de réponse OCSP.
**Résolution
**
Cette erreur est due à la version du navigateur ou à un problème nécessitant l’assistance de l’un des fournisseurs SSL de Cloudflare. Afin de diagnostiquer le problème correctement, ouvrez un ticket auprès du support avec les informations suivantes fournies par le visiteur qui rencontre l’erreur de navigateur :
- Le résultat de https://aboutmybrowser.com/
- Le résultat de la requête https://exemple.com/cdn-cgi/trace à partir du navigateur du visiteur. Remplacez exemple.com par le nom de domaine de votre site Web.
SSL expiré ou erreurs d’incompatibilité SSL
**Symptôme
**
Les visiteurs constatent des messages d’erreur dans leur navigateur concernant l’expiration ou l’incompatibilité SSL.
Résolution
- Le nom de domaine affecté.
- Une capture d’écran des erreurs que vous observez.