Defaults.Exposed

Defaults.Exposed › Rapports

Expirés, auto-signés, invalides : le rapport sur les erreurs de certificats (2026)

Publié 2026-06-29

Chiffres au 2026-06-29 · méthodologie v7. Données agrégées du recensement sur les 197 millions de domaines présentant un certificat TLS. « Invalide » = le certificat échoue à la validation (expiré, auto-signé, mauvais nom d’hôte ou chaîne non fiable). Voir comment nous évaluons.

Avoir un certificat n’est pas la même chose qu’en avoir un valide : 8,57% des certificats du web échouent à la validation. Parmi les 197 millions de domaines présentant un certificat TLS, 16 920 535 en ont un auquel les navigateurs ne font pas confiance — et chacun d’eux affiche aux visiteurs un avertissement de sécurité pleine page au lieu du site. À l’ère des certificats gratuits qui se renouvellent automatiquement, un certificat défectueux est presque toujours une erreur réparable, pas un problème de coût.

Ce qui ne va vraiment pas avec ces certificats

Un certificat échoue à la validation pour une poignée de raisons — expiré, auto-signé, émis pour un autre nom d’hôte, ou issu d’une chaîne non fiable. La catégorie de loin la plus identifiable du recensement est auto-signé :

ProblèmeDomaines
Certificat présent mais invalide (toute raison)16 920 535 (8,57%)
— dont auto-signés3 378 080 (20,0% des invalides)

Un certificat auto-signé est un certificat que le domaine s’est délivré à lui-même — il chiffre le trafic mais ne prouve rien, c’est pourquoi les navigateurs le rejettent. Il est courant sur les appareils, les outils internes et les environnements de préproduction accidentellement exposés à l’internet public. Les autres certificats invalides sont pour la plupart expirés ou présentent un nom d’hôte non concordant.

Pourquoi un certificat défectueux est pire que pas de HTTPS

Un site sans HTTPS reçoit une discrète étiquette « Non sécurisé ». Un site avec un certificat défectueux reçoit un interstitiel rouge pleine page — « Votre connexion n’est pas privée » — que la plupart des visiteurs ne franchiront pas d’un clic. C’est le signal de confiance le plus sévère qu’affiche un navigateur, et il se déclenche avant le chargement de votre contenu. Pour une entreprise, c’est une porte close au moment du premier contact.

C’est aussi évitable : puisque les AC gratuites et le renouvellement automatisé émettent désormais la grande majorité des certificats, un certificat valide ne coûte rien et se renouvelle tout seul. Les 8,57% aux certificats défectueux sont presque tous des lacunes de configuration, pas de budget.

Comment corriger une erreur de certificat

  1. Expiré ? Automatisez le renouvellement (ACME / Let’s Encrypt) pour qu’il n’expire plus jamais. Corriger les erreurs de certificat.
  2. Auto-signé ? Remplacez-le par un certificat gratuit émis par une AC — les certificats auto-signés déclencheront toujours un avertissement dans les navigateurs.
  3. Mauvais nom d’hôte ? Réémettez-le en couvrant exactement les noms que vous servez (y compris www).
  4. Vérifiez que la chaîne est complète et fiable, puis confirmez par un nouveau contrôle.

Foire aux questions

Pourquoi un certificat devient-il invalide ? Le plus souvent il a expiré, est auto-signé, a été émis pour un autre nom d’hôte, ou provient d’une chaîne non fiable. Au 2026-06-29, 8,57% des certificats échouent à la validation pour l’une de ces raisons.

Qu’est-ce qu’un certificat auto-signé ? Un certificat que le serveur s’est délivré à lui-même au lieu de l’obtenir auprès d’une AC de confiance. Il chiffre mais ne prouve aucune identité, c’est pourquoi les navigateurs le rejettent. 3 378 080 domaines en présentent un.

Un certificat défectueux est-il pire que pas de HTTPS ? Oui — un certificat défectueux déclenche un avertissement de navigateur pleine page qui bloque le site, alors que le HTTP simple reçoit une étiquette en ligne plus douce « Non sécurisé ».

Combien coûte la correction ? Rien. Les certificats valides sont gratuits (Let’s Encrypt et d’autres) et se renouvellent automatiquement. C’est une correction de configuration.

Vérifiez que votre certificat est valide

Un certificat que les navigateurs rejettent vous coûte des visiteurs en ce moment même. Vérifiez le vôtre gratuitement et en toute confidentialité.

Vérifiez votre domaine → · Corriger les erreurs de certificat → · Qui émet les certificats du web ? → · Pourquoi mon site indique-t-il « Non sécurisé » ? → · Données agrégées uniquement. Données stockées et traitées dans l’UE.