J'ai utilisé un certificat d'AWS Certificate Manager (ACM) pour accéder à mon site Web via une connexion HTTPS. Cependant, j'ai reçu des messages d'erreur indiquant que la connexion n'était pas sécurisée, privée ou fiable.
Brève description
Si vous utilisez des connexions HTTPS pour votre site Web, un certificat SSL/TLS est requis. Lorsque votre navigateur accède au site Web, tous les champs de données du certificat de serveur doivent être valides. Votre navigateur identifie les champs de données qui ne sont pas valides en tant que connexion non sécurisée.
Un message d'erreur lié au certificat peut survenir dans les scénarios suivants :
- Le certificat n'est pas valide pour le nom du serveur.
- Le certificat a expiré.
- Le certificat SSL/TLS du site Web n'est pas fiable.
- Votre connexion n'est pas totalement sécurisée.
- Le certificat n'est pas associé à un service AWS pris en charge.
- Le trafic HTTP n'est pas redirigé vers HTTPS.
- Votre site Web ou votre application utilise un certificat épinglé.
- La journalisation de la transparence des certificats n'est pas activée.
Résolution
Le certificat n'est pas valide pour le nom du serveur
Vérifiez le domaine auquel vos clients ont accédé, puis vérifiez les noms de domaine inclus dans votre certificat de serveur. Utilisez votre navigateur pour consulter le nom de domaine et vérifier les détails du certificat. Le domaine indiqué dans l'URL doit correspondre à au moins l'un des noms de domaine inclus dans le certificat. Si vous utilisez un nom générique (*), celui-ci ne correspond qu’à un seul niveau de sous-domaine. Par exemple, *.example.com peut protéger login.example.com et test.example.com, mais le caractère générique ne peut pas protéger test.login.example.com ou example.com.
Si les clients peuvent utiliser example.com et www.example.com pour accéder à votre site Web, vous devez ajouter plusieurs noms de domaine à votre certificat. Les noms de domaine ajoutés couvrent d'autres noms de domaine et de sous-domaines possibles pour votre site Web. Pour en savoir plus, consultez la section ](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html)Caractéristiques d'un certificat ACM[.
Le certificat a expiré
Si vous utilisez un certificat émis par ACM, ACM tentera de le renouveler automatiquement. Si le certificat a expiré, vous devez émettre ou importer un nouveau certificat. Une fois le nouveau certificat émis, vérifiez que vos enregistrements DNS pointent bien vers la ressource AWS où le certificat ACM est utilisé. Pour en savoir plus, consultez la page Résolution des problèmes liés au renouvellement des certificats gérés.
Le certificat SSL/TLS du site Web n'est pas fiable
Les certificats publics émis par ACM sont approuvés par la plupart des navigateurs, systèmes d'exploitation et appareils mobiles modernes. Mettez à jour votre navigateur avec la dernière version ou essayez d'accéder au domaine à partir d'un autre ordinateur et d'un autre navigateur. Si vous avez utilisé ACM pour importer un certificat auto-signé ou émis publiquement, certains navigateurs ne feront pas confiance au certificat.
Pour résoudre ce problème, utilisez ACM pour demander un certificat public ou contactez votre autorité de certification (CA).
Votre connexion n'est pas totalement sécurisée
Si une demande initiale et certaines parties du site Web sont établies via HTTPS tandis que d'autres parties sont établies via HTTP, cela peut entraîner un contenu mixte. En cas de contenu mixte, les clients qui accèdent à votre site Web verront le message d'erreur « Your connection is not fully secured » apparaître. Cela est dû au fait que certains éléments du site Web de votre code source utilisent HTTP au lieu de HTTPS.
Pour résoudre ce problème, vous devez mettre à jour votre code source afin de charger toutes les ressources de votre site Web via HTTPS.
Le certificat n'est pas associé à un service AWS pris en charge
Vous ne pouvez pas installer de certificats ACM ou de certificats privés AWS Private CA directement sur votre site Web ou votre application AWS. Les certificats ACM doivent être configurés avec des services AWS pris en charge. Pour en savoir plus, consultez la page Services intégrés à ACM.
Le trafic HTTP n'est pas redirigé vers HTTPS
Les sites Web configurés avec des certificats ACM utilisent le trafic HTTP pour l'accès. Vous pouvez utiliser un Application Load Balancer pour rediriger les requêtes HTTP vers HTTPS. Vous pouvez également utiliser un Application Load Balancer pour rediriger un domaine vers un autre.
Si vous utilisez Amazon CloudFront, vous pouvez configurer votre distribution pour qu'elle exige un trafic HTTPS. Pour en savoir plus, consultez la page Comment configurer ma distribution CloudFront afin d’utiliser un certificat SSL/TLS ?
Votre site Web ou votre application utilise un certificat épinglé
Il n’est pas recommandé d’épingler votre site Web ou votre application à un certificat SSL/TLS émis par ACM. Épinglez plutôt votre site Web ou votre application à toutes les autorités de certification du tableau Amazon Trust Services.
Pour en savoir plus, consultez la page Puis-je épingler une application exécutée sur AWS à un certificat émis par ACM ?
La journalisation de la transparence des certificats n'est pas activée
La journalisation de la transparence des certificats est activée par défaut pour les certificats émis par ACM. Si vous avez désactivé la journalisation de la transparence et que vous souhaitez la réactiver, vous devez activer la journalisation de la transparence au moment du renouvellement ou de l’émission du certificat.
Informations connexes
Comment associer un certificat SSL/TLS ACM à un Classic Load Balancer, un Application Load Balancer ou un Network Load Balancer ?
Comment charger des certificats SSL pour mon Classic Load Balancer afin d'éviter que les clients reçoivent des erreurs de type « untrusted certificate » ?
Importation de certificats dans ACM