1 000 FAQ, 500 tutoriels et vidéos explicatives. Ici, il n'y a que des solutions !
RĂ©soudre les alertes des tests SSL Labs
Ce guide explique comment interpréter correctement les informations détaillées fournies par Qualys SSL Labs (https://www.ssllabs.com/ssltest/) qui peuvent parfois sembler techniques ou alarmantes sans contexte approprié.
Préambule
- Qualys SSL Labs est un outil d'analyse largement utilisé pour évaluer la configuration SSL/TLS des sites Web.
- Les avertissements dans leurs rapports ne sont souvent que des détails techniques sans impact sur la sécurité ou le SEO du site.
Certificats multiples dans les rapports SSL Labs
Lorsque SSL Labs analyse un site, il peut afficher plusieurs certificats numérotés (certificat #1, certificat #2, etc.). Cela se produit pour plusieurs raisons:
- Certificat principal (#1): Le certificat présenté lorsque le SNI (Server Name Indication) est utilisé.
- Le SNI est une extension TLS qui permet à un serveur d'héberger plusieurs certificats SSL pour différents domaines sur une même adresse IP. Quand un navigateur se connecte, il indique le nom de domaine qu'il souhaite joindre.
- Certificat secondaire (#2): Le certificat présenté lorsque le SNI n'est pas utilisé ou lors d'une connexion directe par IP.
Une indication "No SNI" dans le certificat #2 n'est pas une erreur. Elle signifie simplement que SSL Labs a testé ce qui se passe lorsqu'un client se connecte sans fournir d'information SNI. Dans ce cas:
- Le serveur sert un certificat de secours (souvent un certificat générique ou de prévisualisation).
- Cette situation concerne uniquement des clients très obsolètes qui ne supportent pas le SNI.
- Les navigateurs modernes utilisent tous le SNI et recevront donc le certificat #1.
Problèmes de chaîne de certificats
"Chain issues: Incorrect order, Extra certs, Contains anchor"
Ces avertissements ne signifient pas nécessairement que le certificat est défectueux:
Incorrect order: Les certificats intermédiaires ne sont pas présentés dans l'ordre optimal.Extra certs: Des certificats supplémentaires non nécessaires sont inclus.Contains anchor: Le certificat racine est inclus dans la chaîne.
Le protocole TLS permet d'omettre le certificat racine car il est normalement déjà présent dans les magasins de certificats des navigateurs. L'inclure n'est pas une erreur, mais une redondance.
“Alternative names mismatch”
Pour le certificat de secours (#2), l'avertissement "MISMATCH" est normal car:
- Ce certificat est conçu pour un autre domaine (
preview.infomaniak.website). - Il est présenté uniquement lorsque le SNI n'est pas utilisé.
- Le navigateur recevant ce certificat l'identifierait comme ne correspondant pas au domaine demandé, mais cela n'affecte pas les connexions normales avec SNI.
Concernant des inquiétudes SEO:
- Google et les autres moteurs de recherche utilisent des navigateurs modernes supportant le SNI.
- Ils reçoivent le certificat #1 qui est valide pour votre domaine.
- Les avertissements concernant le certificat #2 n'ont pas d'impact sur le référencement.
- Seuls des problèmes avec le certificat principal (#1) pourraient affecter le SEO.
Cette configuration est parfaitement adaptée pour un hébergement mutualisé où plusieurs sites partagent la même infrastructure, avec un certificat de prévisualisation servant de solution de repli.