Alerté ce matin par un client de Bikeo sur un soucis de certificat numérique sur le site (merci à lui), je me suis penché sur la question un peu plus en avant. J’avais déjà remarqué le phénomène mais pas vraiment investigué, pensant que c’était la version du navigateur que j’utilisais qui était en cause. En deux mots : Firefox ne semble pas charger le certificat correctement lors de toutes ses visites sur un site en https.

Le symptôme est assez simple : en parcourant un site dans sa version sécurisé (préfixé par https donc), le certificat est annoncé non valide, alors que quelques pages auparavant tout allait bien ou lors d’une précédente visite le problème n’était pas remonté.

Le fait est qu’en relançant le Firefox (ici utilisé en version 5) et en visitant de nouveau le site, pas de soucis, en tout cas, pas systématiquement.

En investigant le soucis, car il est reproductible, on peut constater que lorsque cela se produit, la chaîne des certificats intermédiaires apparait cassée (plusieurs parents sont imbriqués les uns dans les autres). En utilisant Chrome sur le même site le certificat apparaît barré, c’est une piste pour l’analyse et elle s’avère bonne : la page comporte des éléments non sécurisés. En effet, on peut tout à fait mélanger sur la même page des éléments en provenance du site sécurisé (en https donc) et d’autre pas (en http), pas de soucis sur le plan fonctionnel, mais les navigateurs modernes n’aiment pas trop ce genre de pratique et souvent le font remarquer.

Il semble donc que Firefox visitant un site proposant des contenus sécurisés et d’autres pas ne gère pas (toujours) bien le chargement des certificats intermédiaires. D’ailleurs le nom du site n’apparait pas de la même façon lorsque le chargement est correct et lorsqu’il ne l’est pas (zone en vert avec le nom de domaine si ok).

Moralité : on ne mélange pas les contenus non sécurisés sur une page sécurisée, attention donc au contenus mis en cache, aux inclusions de scripts externes et aux images. De cette façon il semble que FF4 et FF5 ne se plaignent plus et en passant Chrome ne barre plus le cadenas de sécurité, ce qui est plus rassurant pour les visiteurs.