Lorsque vous visitez un site web fonctionnant en HTTPS, une série d’étapes sont effectuées entre le navigateur et le serveur web pour s’assurer que le certificat et la connexion SSL/TLS sont valides.

Il s’agit notamment du TLS handshake, de la vérification du certificat par rapport à l’autorité de certification et du décryptage du certificat. Si, pour une raison quelconque, le navigateur n’aime pas ce qu’il voit, comme une mauvaise configuration ou une version non prise en charge, votre navigateur peut afficher l’erreur suivante : « ERR_SSL_VERSION_OR_CIPHER_MISMATCH » qui vous empêche d’accéder au site.

Voici quelques recommandations sur la manière de corriger cette erreur.

Raisons de l’affichage de l’erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH

L’erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH se produit généralement sur les anciens systèmes d’exploitation ou navigateurs.

Mais ce n’est pas toujours le cas. En fait, nous avons récemment rencontré un utilisateur ayant ce problème sur son site WordPress qui migrait vers Kinsta depuis un autre hébergeur. Nous utilisions bien sûr la dernière version de Chrome, et le problème concernait donc leur certificat SSL. Chrome vous protège en ne vous laissant pas le charger.

ERR_SSL_VERSION_OR_CIPHER_MISMATCH
ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Vous pouvez également voir une variation de l’erreur, par exemple :

  • Erreur 113 (net::err_ssl_version_or_cipher_mismatch) : erreur inconnue
  • Le client et le serveur ne prennent pas en charge une version commune du protocole SSL ou une suite de chiffres

Vous trouverez ci-dessous les raisons de cette situation et ce que vous pouvez faire pour y remédier.

Vérifiez votre certificat SSL

Si vous constatez cette erreur, le premier et le plus simple des points de départ est d’effectuer une vérification SSL sur le certificat installé sur le site. Nous vous recommandons d’utiliser l’outil de vérification SSL gratuit  de Qualys SSL Labs. Il est très fiable et nous l’utilisons pour tous les clients de Kinsta lors de la vérification des certificats. Il suffit de saisir votre domaine dans le champ « Hostname » et de cliquer sur « Submit ».

Vous pouvez également sélectionner l’option permettant de masquer les résultats publics si vous le souhaitez. L’analyse de la configuration SSL/TLS de votre site sur votre serveur web peut prendre une minute ou deux.

Vérifier le certificat SSL
Vérifier le certificat SSL

Vérifiez si le nom du certificat ne correspond pas

Dans ce cas particulier, le client qui migrait vers Kinsta avait un nom de certificat qui ne correspondait pas, ce qui provoquait l’erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH. Comme vous pouvez le voir dans le test SSL Labs ci-dessous, c’est assez rapide et facile à diagnostiquer. Comme l’indique SSL Labs, une non-concordance peut être due à plusieurs facteurs, tels que:

  • Le site n’utilise pas le protocole SSL, mais partage une adresse IP avec un autre site qui l’utilise.
  • Le site n’existe plus, mais le domaine pointe toujours vers l’ancienne adresse IP, où un autre site est maintenant hébergé.
  • Le site utilise un réseau de diffusion de contenu (CDN) qui ne prend pas en charge le protocole SSL.
  • L’alias du nom de domaine est destiné à un site web dont le nom est différent, mais l’alias n’était pas inclus dans le certificat.
Nom de certificat ne correspondant pas
Nom de certificat ne correspondant pas

Un autre moyen facile de vérifier le problème du nom de domaine actuel sur le certificat est d’ouvrir Chrome DevTools sur le site. Faites un clic droit n’importe où sur le site et cliquez sur « Inspecter ». Cliquez ensuite sur l’onglet « Sécurité » et cliquez sur « Voir le certificat ». Le domaine émis apparaîtra dans les informations du certificat. Si cela ne correspond pas au site sur lequel vous vous trouvez, il y a un problème.

Vérifier le domaine émis sur le certificat SSL
Vérifier le domaine émis sur le certificat SSL

N’oubliez pas cependant qu’il existe des certificats de remplacement et d’autres variantes, mais pour un site type, il faut qu’ils correspondent exactement. Cependant, dans notre cas, l’erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH nous a en fait empêchés de pouvoir la vérifier dans Chrome DevTools. C’est là qu’un outil comme SSL Labs peut s’avérer utile.

Vérifiez l’ancienne version de TLS

Une autre raison possible est que la version TLS qui tourne sur le serveur web est ancienne. Idéalement, elle devrait fonctionner au moins avec TLS 1.2 (mieux encore, TLS 1.3). Si vous êtes un client de Kinsta, vous n’avez jamais à vous en préoccuper car nous mettons toujours à jour nos serveurs avec les versions les plus récentes et les mieux supportées. Kinsta prend en charge TLS 1.3 sur tous nos serveurs et notre CDN Kinsta. Cloudflare active également TLS 1.3 par défaut.

(Lecture suggérée : si vous utilisez les anciennes versions de TLS, vous pourriez vouloir corriger les notifications ERR_SSL_OBSOLETE_VERSION  dans Chrome).

L’outil SSL Labs peut également vous aider dans ce domaine. Sous configuration, il vous affichera la version actuelle de TLS fonctionnant sur le serveur avec ce certificat. Si elle est ancienne, contactez votre hébergeur et demandez-lui de mettre à jour sa version de TLS.

Support du serveur pour TLS 1.3
Support du serveur pour TLS 1.3

Vérifiez la suite de chiffrement RC4

Une autre raison selon la documentation de Google pour ERR_SSL_VERSION_OR_CIPHER_MISMATCH est que la suite de chiffrement RC4 a été supprimée dans la version 48 de Chrome. Ce n’est pas très courant, mais cela pourrait se produire dans les déploiements d’entreprises plus importantes qui nécessitent le RC4. Pourquoi ? Parce que tout prend généralement plus de temps à mettre à niveau et à actualiser dans des configurations plus grandes et plus complexes.

Les chercheurs en sécurité, Google et Microsoft recommandent de désactiver le RC4. Vous devez donc vous assurer que la configuration du serveur est activée avec une autre suite de chiffrement. Vous pouvez consulter la suite de chiffrement actuelle dans l’outil SSL Labs (voir ci-dessous).

Suite de chiffrement
Suite de chiffrement

Essayez de nettoyer l’état SSL de votre ordinateur

Une autre chose à essayer est de nettoyer l’état SSL dans Chrome. Tout comme le fait de vider le cache de votre navigateur, cela peut parfois aider si les choses ne sont pas synchronisées. Pour nettoyer l’état SSL dans Chrome sur Windows, suivez les étapes suivantes:

  • Cliquez sur l’icône Google Chrome – Paramètres
  • Cliquez sur les paramètres avancés.
  • Sous Réseau, cliquez sur Modifier les paramètres du proxy. La boîte de dialogue Propriétés Internet apparaît.
  • Cliquez sur l’onglet Contenu.
  • Cliquez sur « Clear SSL state », puis sur OK.
  • Redémarrez Chrome.
Nettoyer l'état SSL dans Chrome sur Windows
Nettoyer l’état SSL dans Chrome sur Windows

Si vous êtes sur un Mac, consultez ces instructions sur la manière de supprimer un certificat SSL.

Nous avons transformé nos connaissances en matière de gestion de sites web, en un cours en ebook et en vidéos. Cliquez ici pour télécharger le Guide 2020 pour la gestion de plus de 40 sites WordPress!

Utilisez un nouveau système d’exploitation

Les anciens systèmes d’exploitation sont dépassés par les nouvelles technologies telles que TLS 1.3 et les dernières suites de chiffrement, car les navigateurs ne les prennent plus en charge. Des composants spécifiques des derniers certificats SSL cesseront tout simplement de fonctionner. Google Chrome, en fait, a mis fin à Windows XP en 2015. Nous recommandons toujours de passer si possible à des systèmes d’exploitation plus récents, comme Windows 10 ou la dernière version de Mac OS X.

Désactivez temporairement l’antivirus

La dernière chose que nous vous recommandons d’essayer si vous voyez toujours l’erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH est de vous assurer qu’aucun programme antivirus n’est en cours d’exécution. Ou d’essayer de le désactiver temporairement. Certains programmes antivirus créent une couche entre votre navigateur et le web avec leurs propres certificats. Cela peut parfois causer des problèmes.