+212662161818 Du Lundi au Samedi / 8h à  21h

Pourquoi est-ce que j'obtiens une erreur de "désaccord de nom commun" dans mon navigateur?

Retour

Pourquoi est-ce que j'obtiens une erreur de "désaccord de nom commun" dans mon navigateur?

Le message d'erreur diffère selon les navigateurs. Les plus populaires sont listés ci-dessous: Firefox:

Cert_mismatch_1.jpg

Google Chrome:

Cert_mismatch_2.jpg

Opera:

Cert_mismatch_3.jpg

Internet Explorer:

Cert_mismatch_4.jpg

Safari:

Cert_mismatch_5.jpg

Netscape Navigator:

Cert_mismatch_6.jpg

En fait, la non-concordance de nom commun n'est pas une erreur, mais un avertissement qui se produit lorsqu'un nom d'hôte auquel vous essayez d'accéder dans le navigateur ne correspond pas au nom commun d'un certificat prélevé sur le serveur lors de l'établissement d'un https. session. Cet avertissement peut apparaître pour plusieurs raisons; nous avons décrit le plus répandu d'entre eux ci-dessous:

  1. Le certificat est installé, mais le domaine pointe vers une adresse IP partagée.

    Habituellement, une adresse IP dédiée est nécessaire pour installer le certificat SSL. Si un certificat est déjà installé dans la même adresse IP, le navigateur établit une connexion avec le certificat d'origine installé dans l'adresse IP.

    Lors de l'établissement d'une session SSL / TLS, le navigateur du client compare le nom commun pour lequel le certificat principal est émis, avec le nom de domaine que le navigateur tente de résoudre. Si le nom commun diffère du nom de domaine auquel la demande a été envoyée, l'avertissement de non-concordance de nom commun se produit.

    Cert_mismatch_7.jpg

    L'avertissement prétend que le certificat qui a été récupéré sur demande est émis pour domaintest.com. Cela est dû au fait que le nom de domaine dans la requête ne correspond pas au nom de domaine pour lequel le certificat a été émis. Si votre hébergeur, comme nous le faisons, fournit une indication SNI (nom du serveur) qui permet d'héberger plusieurs certificats sur la même adresse IP, vous n'aurez pas besoin d'une adresse IP supplémentaire. Le même avertissement peut apparaître si le certificat du nom d'hôte que vous essayez d'atteindre (dans notre cas ssl-certificate-host.com) n'est pas installé sur le serveur même si SNI est activé.

    Le code d'erreur n'est pas toujours le même; il peut aussi s'agir de sec_error_untrusted_issuer dans FireFox, comme sur la capture d'écran ci-dessous:

    Cert_mismatch_8.jpg

    Le code d'erreur sec_error_untrusted_issuer au lieu de ssl_error_bad_cert_domain dans ce cas signifie que le certificat principal pour cette adresse IP (cert for testdomain.com) n'est pas émis par une autorité de certification de confiance (c'est-à-dire qu'il est auto-signé).

    Solution:

    Si vous rencontrez une telle erreur, veuillez contacter votre fournisseur d'hébergement afin d'obtenir une adresse IP dédiée pour votre site Web. Une fois que vous obtenez une adresse IP dédiée, vous pouvez installer le certificat dans cette adresse IP. Avant de demander une adresse IP dédiée, vous pouvez vérifier auprès de votre hébergeur s'ils prennent en charge la technologie SNI.

  2. Le certificat n'est pas installé

    Assurez-vous que votre certificat est correctement installé sur votre serveur. Vous devez noter que la plupart des vérificateurs d'installation ne peuvent pas afficher correctement un certificat installé, sauf si une technologie IP ou SNI dédiée est correctement définie.

  3. Un certificat Wildcard est installé via cPanel ou WHM
    L'avertissement de non-concordance de nom commun peut se produire si un certificat générique est installé via *** cPanel ou WHM *** uniquement pour le domaine nu, tandis que vous essayez d'établir une connexion https avec un sous-domaine du domaine pour lequel le certificat générique est émis. Les certificats génériques sont censés couvrir le nom de domaine nu et les sous-domaines du même niveau. Toutefois, si un certificat générique est installé pour un domaine nu via *** cPanel ou WHM ***, les sous-domaines ne seront pas sécurisés automatiquement. Si une adresse IP partagée a été utilisée (même avec la technologie SNI), la demande ne peut pas trouver le certificat avec un nom commun correspondant. La requête récupère un certificat primaire qui se résout sous l'adresse IP à laquelle le nom de domaine résout.

    Dans le cas d'une adresse IP dédiée, les détails d'un avertissement de discordance peuvent être un peu confus, mais le processus est le même - la requête trouvera votre certificat générique comme un certificat principal et le considérera comme non correspondant, comme nom de sous-domaine n'est pas codé dans le corps du certificat.

    Cert_mismatch_10.jpg

    Solution: Ce problème se produit en raison de retraits techniques de cPanel et WHM, il existe plusieurs façons de le résoudre:

    a) installer le certificat pour chaque sous-domaine via WHM / cPanel

    b) si vous avez un accès root au serveur, veuillez l'installer directement sur le serveur en éditant un fichier VirtualHost.
  4. Vous essayez d'accéder à une adresse IP:

    L'erreur se produit si l'on essaie d'établir une connexion https pour une adresse IP. Les certificats SSL standard peuvent être émis uniquement pour un nom de domaine complet (FQDN). Même si vous avez une adresse IP dédiée, la non-concordance des noms communs s'affichera car la requête https via une adresse IP ne contient pas le nom du serveur (nom de domaine / sous-domaine), il n'y a donc aucun moyen d'éviter l'accès au site via une adresse IP, car un certificat régulier est émis pour un nom de domaine / sous-domaine.

    Cert_mismatch_11.jpg

    Solution: Veuillez accéder à votre page Web en utilisant le nom d'hôte, pas une adresse IP.

  5. Différents niveaux de sous-domaines pour les certificats WildcardL'erreur peut également apparaître avec un certificat générique, si vous essayez d'accéder à un sous-domaine du quatrième ou d'un niveau supérieur, alors qu'un certificat générique est valide pour le domaine principal et les sous-domaines du troisième niveau.

    Si un certificat générique a été émis pour
    *.ssl-certificate-host.com, it is valid for ssl-certificate-host.comet tous les sous-domaines du troisième niveau, comme sub1.ssl-certificate-host.com, sub2.ssl-certificate-host.com, sub3.ssl-certificate-host.com etc., mais ne couvre pas les sous-domaines du quatrième niveau ou des niveaux supérieurs (comme sub2.sub1.ssl-certificate-host.com or sub3.sub2.sub1.example.com)

    Cert_mismatch_12.jpg

    Solution: Pour couvrir plusieurs niveaux de sous-domaines, vous pouvez émettre plusieurs certificats Wildcard différents ou un certificat UCC.

  6. Les enregistrements DNS pour le domaine ont été récemment modifiés

    La non-concordance de nom commun peut se produire si l'adresse IP de votre nom de domaine a été récemment modifiée. Si vous avez commandé une adresse IP dédiée et que le certificat a été installé peu de temps après, il est très probable qu'il existe une propagation DNS et que le domaine résout toujours l'adresse IP précédente, alors que le certificat est sous le nouveau. Il peut y avoir un certificat pour un autre domaine installé sur l'adresse IP précédente, ce qui explique pourquoi l'erreur se produit.

    Solution: Aucune action n'est requise Veuillez accorder du temps pour la mise à jour des enregistrements DNS.

commander