ERR_CERT_COMMON_NAME_INVALID sur Google Chrome

Lorsque vous souhaitez vous connecter à des sites sécurisés (HTTPs) sur Google Chrome, que votre connexion n’est pas privée et vous obtenez l’erreur : NET::ERR_CERT_COMMON_NAME_INVALID
Google Chrome vous indique alors que des pirates peuvent tenter de dérober des informations.

Malheureusement, cela est relativement difficile de couvrir tous les cas.
De plus, cela demande quelques connaissances techniques pour bien comprendre car il faut connaître les mécanismes des sites sécurisés.

Voici tout de même quelques explications autour de cette erreur Google Chrome.

ERR_CERT_COMMON_NAME_INVALID sur Google Chrome
ERR_CERT_COMMON_NAME_INVALID sur Google Chrome

Introduction

Cette erreur de connexion SSL et sur les sites sécurisés (HTTPs) provient en général d’un certificat d’autorité manquant sur votre ordinateur ou d’un site internet mal configuré.
Afin de mieux comprendre cet article, il faut connaître les bases du fonctionnement des sites HTTPs.
Vous trouverez pour cela des explications sur notre article :  les sites sécurisés (HTTPs)

Cet certificat d’autorité a été installé pour permettre l’analyse des sites HTTPs par un programme tournant sur l’ordinateur, il peut s’agit :

  • d’un antivirus qui souhaite analyser le trafic HTTPs, en plaçant son certificat, l’antivirus peut intercepter les connexions HTTPs et les analyser
  • un programme malveillant qui, comme l’antivirus, peut manipuler les pages HTTPs pour intercepter les données qui y transitent ou injecter des publicités (adwares)
  • Le certificat du site utilisé n’est pas bon et ne correspond pas au domaine du site visité. Dans ce cas là, le problème se pose sur un site en particulier.

Dans les deux cas, il s’agit de technique d’attaque Man in The Middle.
Google Chrome détecte cette configuration anormale et bloque l’accès aux pages internet.

Vérifier dans les outils de développement

Le plus simple pour savoir ce qui se passe est d’utiliser les outils de développement de Chrome, accessible depuis le menu Paramétrage > Plus d’outils > Outils de développement
Ou encore par les combinaisons de touches : CTRL+MAJ+I

Récupérer le certificat du site visité
Récupérer le certificat du site visité

Cliquez ensuite sur le menu Security et le bouton « view certificate » pour visualiser le certificat du site.
Il faut alors « Le délivré par » et le comparer à un ordinateur sain.
Si les certificats délivrés de tous les sites sont du même émetteur, il y a des chances que ce ne soit pas la vraie autorité, mais un certificat d’autorité présent sur votre ordinateur pause problème.
Si c’est l’antivirus, vous devriez voir le nom de l’éditeur de l’antivirus de manière systématique.

Pour le site malekal.com, le certificat est délivré par l’autorité de certification intermédiaire GANDI :

Récupérer le certificat du site visité
Récupérer le certificat du site visité

Les sources de l’erreur NET::ERR_CERT_COMMON_NAME_INVALID

Sur un site en particulier

Lorsqu’un administrateur configure mal le certificat SSL de son site internet, cela peut générer des erreurs à la consultation.

Par exemple, ci-dessous un site en mtxserv.com mais le certificat SSL utilisé est pour des sites en *.mtxserv.fr.
Le TLD (.com et .fr) sont différents et donc le certificat utilisé ne correspond à l’adresse utilisé.

Cela génère une erreur NET::ERR_CERT_COMMON_NAME_INVALID lors de la consultation du site internet.
Dans ce cas précis, cela ne vient pas de votre ordinateur mais du site et l’administrateur doit corriger.

NET::ERR_CERT_COMMON_NAME_INVALID à cause d'une mauvaise configuration du site
NET::ERR_CERT_COMMON_NAME_INVALID à cause d’une mauvaise configuration du site

Antivirus

Ci-dessous, une capture d’écran, où on voit BitDefender qui délivre les certificats.
Comme évoqué dans l’introduction, il s’agit de pouvoir analyser le trafic HTTPs.
Si le certificat d’autorité BitDefender est supprimé, cela va causer des erreurs de consultation des sites sécurisés (HTTPs).

Il faut alors réinstaller le certificat d’autorité racine ou désactiver l’analyse HTTPs sur l’antivirus.

Logiciels malveillants

Les logiciels malveillants font de même afin de manipuler les sites HTTPs, de plus en plus nombreux.
Ainsi par le passé, l’adware de la famille Shopperz utilisait ces méthodes, voir la page : Pilotes « bsdriver.sys » & « cherimoya.sys » : abengine

Plus récemment, Y2GO fait de même, on voit ci-dessous qu’il délivre les certificats et provoquent erreurs votre connexion n’est pas privée NET::ERR_CERT_COMMON_NAME_INVALID sur Google Chrome.

Erreur de certificat liée à un malware
Erreur de certificat liée à un malware

On retrouve le programme Y2GO qui se dissimule, dans un sous-dossiers Microsoft.

Erreur de certificat liée à un malware
Erreur de certificat liée à un malware

A noter que Mozilla Firefox indique que tout va bien :

Connexion sécurisée sur Mozilla Firefox
Connexion sécurisée sur Mozilla Firefox

Il convient de désactiver l’ordinateur et s’assurer que le certificat d’autorité racine n’est plus présent dans le magasin Windows ou Firefox.
Je rappelle que l’accès à ce magasin, se fait à partir de l’utilitaire certmgr.msc

Lister les certificats racines d'autorités de Windows
Lister les certificats racines d’autorités de Windows

En vidéo

La vidéo suivante montre quelques erreurs « Votre connexion n’est pas privée » et NET::ERR_CERT_COMMON_NAME_INVALID avec un logiciel malveillant et à cause des antivirus :

Conclusion

Cette erreur NET::ERR_CERT_COMMON_NAME_INVALID sur Chrome arrive donc la plupart du temps quand un certificat d’autorité racine a été installé par un logiciel tiers.
Dans le cas d’un logiciel malveillant, Google détecte ce certificat non valide.
Dans le cas d’un antivirus, le programme antivirus est toujours en cours de fonctionnement mais le certificat d’autorité a été supprimé, ce qui brise la chaîne de certification.

Cela permet à ces programmes d’analyser le contenu des pages HTTPs et manipuler celles-ci.

Liens autour des erreurs HTTPs

D’autres erreurs SSL sont répertoriées sur la page :

(Visité 16 462 fois, 2 visites ce jour)