Lorsque votre navigateur affiche Le certificat du serveur a été révoqué ERR_CERT_REVOKED, l’accès sécurisé au site est bloqué et la navigation devient risquée pour les données personnelles. Ce signal indique que l’émetteur du certificat a retiré sa confiance au certificat du site, ce qui impose une intervention côté serveur ou une vérification locale complète.
Ce texte propose un guide pratique pour identifier l’origine du blocage et appliquer des solutions adaptées selon votre rôle, visiteur ou administrateur. Les points essentiels sont présentés ci‑dessous pour aller droit au but.
A retenir :
- Certificat SSL révoqué par l’autorité de certification
- Vérification OCSP ou CRL indisponible côté client
- Actions propriétaires : remplacer le certificat immédiatement
- Contournements temporaires dangereux pour les données
Analyser l’erreur NET::ERR_CERT_REVOKED sur un site
Après les points clés, il est utile d’identifier si l’origine du problème est côté serveur ou côté client, afin d’agir précisément. La lecture des en-têtes TLS et la consultation des routes OCSP ou CRL donnent souvent la réponse la plus rapide.
Selon DigiCert, la révocation peut provenir d’une compromise de clé ou d’une émission erronée, et ces scénarios nécessitent un remplacement immédiat du certificat. La compréhension technique préparera le passage vers les solutions pratiques.
Étapes de diagnostic :
- Vérifier la date et l’heure du système
- Tester l’accès OCSP et CRL depuis le serveur
- Examiner la chaîne de certificats complète
- Contrôler les logs TLS côté serveur
Cause possible
Symptôme observé
Action recommandée
Révocation par l’autorité
Erreur ERR_CERT_REVOKED dans le navigateur
Contacter l’AC puis remplacer le certificat
Clé privée compromise
Alertes internes et accès non autorisé
Révoquer et générer une nouvelle paire de clés
OCSP/CRL inaccessible
Consultation OCSP échouée depuis le client
Vérifier connectivité réseau et DNS
Émission incorrecte
Certificat délivré pour un autre domaine
Demander réémission correcte auprès de l’AC
Symptômes observables et premiers tests
Ce point détaille les signes qui confirment une révocation plutôt qu’un simple certificat expiré, et il oriente les premiers tests à réaliser. Un navigateur moderne affichera un code d’erreur explicite, tandis que des outils en ligne montrent le statut OCSP.
Selon Kinsta, l’examen des entêtes TLS et la vérification via openssl s_client aident à isoler le problème rapidement. Effectuer ces tests avant toute manipulation évite des actions inutiles.
« J’ai découvert la révocation après un audit de sécurité, et le remplacement du certificat a rétabli l’accès en quelques heures. »
Alice N.
Vérification des certificats et CRL/OCSP
Cette sous-partie explique comment valider la chaîne de confiance et tester les points de révocation OCSP et CRL depuis le serveur. L’outil openssl permet d’extraire la liste de certificats et d’interroger les URI OCSP indiquées.
Selon Let’s Encrypt, la vérification OCSP est essentielle pour confirmer le statut en temps réel et pour éviter des faux positifs côté client. Une bonne documentation de l’AC précise les procédures à suivre.
Solutions pour les propriétaires de sites affectés
En comprenant l’origine, le propriétaire doit agir vite pour restaurer la confiance, soit en remplaçant le certificat, soit en corrigeant la configuration OCSP. Ces actions limitent l’impact sur les utilisateurs et les moteurs de recherche.
Contacter l’émetteur et planifier une nouvelle émission évitera les interruptions prolongées et préparera la mise en production d’un certificat valide. La suite décrit les étapes opérationnelles.
Actions immédiates :
- Contacter l’autorité de certification concernée
- Révoquer et réémettre un certificat propre
- Vérifier et restaurer les points OCSP/CRL
- Renouveler les clés privées si compromise
Contacter l’autorité de certification et remplacer le certificat
Ce H3 décrit le processus de communication avec l’AC et les documents ou preuves à fournir pour accélérer l’examen. Chaque AC possède des procédures propres, et l’envoi d’un journal d’erreurs facilite le diagnostic.
Le tableau ci-dessous récapitule les autorités courantes et des remarques pratiques sur leur support et type de certificats. Selon DigiCert, la plupart des AC disposent d’un support dédié aux incidents de révocation.
Autorité
Type courant
Remarque
Symantec
Certificats d’entreprise
Support historique pour grands comptes
DigiCert
EV et OV
Support incident réactif
GlobalSign
SSL/TLS et IoT
Bonnes options OCSP
Let’s Encrypt
Certificats automatiques gratuits
Documentation publique sur révoquation
« Le support de l’AC m’a demandé les journaux et a confirmé une émission erronée avant de réémettre. »
Marc N.
Mesures serveur et protection des clés privées
La sécurité des clés privées doit être vérifiée, car une compromission force la révocation immédiate et la rotation complète des clés. La clef doit être générée dans un module sécurisé et protégée par accès restreint.
Selon Sectigo et Comodo, la pratique recommandée inclut la génération de clés hors ligne pour les certificats sensibles et la mise en place d’une rotation régulière. Une politique de gestion des secrets réduit la surface d’attaque.
Dépannage côté client et contournements temporaires
Pour les visiteurs, la plupart des actions doivent viser à signaler le problème au propriétaire et à vérifier l’environnement local, afin d’éviter des contournements dangereux. Des réglages ponctuels peuvent être utiles pour tester l’accès, mais ils affaiblissent la sécurité.
Avant toute modification, identifiez si un antivirus, un proxy ou un VPN intercepte la connexion et provoque une fausse alerte. L’explication suivante aide à décider quand agir et quand patienter.
Règles de sécurité temporaires :
- Vérifier la date et l’heure du système
- Désactiver temporairement VPN ou proxy pour tester
- Ne jamais désactiver la vérification OCSP en production
- Contacter le propriétaire avant tout partage de données sensibles
Réglages locaux sûrs et temporaires
Ce paragraphe présente des manipulations sûres que l’utilisateur peut réaliser sans compromettre les comptes ou les paiements en ligne. Un redémarrage du navigateur ou la purge du cache SSL permet parfois de lever un faux positif local.
Si un antivirus inspecte le trafic chiffré, il peut provoquer l’erreur ; tester la désactivation temporaire aide à diagnostiquer la source. N’effectuez jamais de remplissage de formulaires sensibles lors du test.
« J’ai désactivé mon VPN et l’accès s’est rétabli, mais j’ai contacté le site pour confirmer la sécurité avant de me reconnecter. »
Sophie N.
Quand ne pas contourner l’erreur et bonnes pratiques
Ce point insiste sur les situations où le contournement est strictement déconseillé, comme lors de transactions ou d’authentifications sensibles. L’erreur peut signaler un risque réel et permanent si le certificat a été compromis.
Selon GeoTrust et RapidSSL, il est préférable d’attendre la résolution côté serveur plutôt que de forcer une connexion risquée. Préserver la confidentialité des identifiants reste la priorité absolue.
« À mon avis, il ne faut jamais ignorer un avertissement de certificat, surtout pour des services bancaires ou administratifs. »
Paul N.
Source : Kinsta, « How to fix NET::ERR_CERT_REVOKED », Kinsta, 2023 ; DigiCert, « Certificate revocation explained », DigiCert, 2022 ; Let’s Encrypt, « Revocation and OCSP », Let’s Encrypt, 2021.