NET::ERR_CERT_AUTHORITY_INVALID : Comment Corriger cette Erreur (Chrome, Edge, Firefox)
Qu'est-ce que NET::ERR_CERT_AUTHORITY_INVALID ?
NET::ERR_CERT_AUTHORITY_INVALID est une erreur de sécurité du navigateur qui apparaît lorsque Chrome, Edge ou un autre navigateur basé sur Chromium ne fait pas confiance à l'autorité de certification (CA) qui a signé le certificat SSL du site web. Le navigateur bloque la connexion et affiche le message « Votre connexion n'est pas privée » pour vous protéger contre un site potentiellement frauduleux.
Contrairement à l'erreur ERR_SSL_PROTOCOL_ERROR, qui signifie que la poignée de main TLS elle-même a échoué, ERR_CERT_AUTHORITY_INVALID indique que la poignée de main s'est terminée correctement mais que l'étape de validation du certificat a échoué. Le navigateur a reçu le certificat, l'a examiné et a conclu qu'il n'était pas digne de confiance.
Le code d'erreur interne de Chromium est net::ERR_CERT_AUTHORITY_INVALID (code d'erreur -202). Il appartient à la famille des erreurs de certificat, qui comprend également ERR_CERT_DATE_INVALID et ERR_SSL_VERSION_OR_CIPHER_MISMATCH.
À quoi ressemble ERR_CERT_AUTHORITY_INVALID dans chaque navigateur
Les différents navigateurs affichent des messages d'erreur différents pour le même problème sous-jacent. Savoir reconnaître ces messages vous aide à déterminer si vous êtes face à un problème d'autorité de certification ou à une autre erreur SSL.
| Navigateur | Titre de la page d'erreur | Code d'erreur |
|---|---|---|
| Chrome | Votre connexion n'est pas privée | NET::ERR_CERT_AUTHORITY_INVALID |
| Edge | Votre connexion n'est pas privée | NET::ERR_CERT_AUTHORITY_INVALID |
| Firefox | Attention : risque probable de sécurité | SEC_ERROR_UNKNOWN_ISSUER ou MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT |
| Safari | Cette connexion n'est pas privée | Aucun code d'erreur spécifique affiché |
| Opera | Votre connexion n'est pas privée | NET::ERR_CERT_AUTHORITY_INVALID |
| Brave | Votre connexion n'est pas privée | NET::ERR_CERT_AUTHORITY_INVALID |
Comment fonctionne la chaîne de confiance SSL
Pour comprendre pourquoi cette erreur se produit, il faut savoir comment les navigateurs vérifient les certificats SSL. Chaque certificat fait partie d'une chaîne de confiance qui remonte jusqu'à une autorité de certification racine (Root CA).
Lorsque votre navigateur se connecte à un site web en HTTPS, le serveur envoie son certificat SSL accompagné des certificats intermédiaires. Le navigateur remonte alors la chaîne : il vérifie que le certificat feuille (celui du site) a été signé par une autorité intermédiaire, et que cette autorité intermédiaire a elle-même été signée par une autorité racine déjà présente dans le magasin de confiance du navigateur. Les navigateurs et systèmes d'exploitation modernes sont livrés avec environ 150 certificats racine préinstallés provenant d'organisations comme DigiCert, Let's Encrypt (ISRG Root), Sectigo et GlobalSign.
Si un maillon de cette chaîne est rompu — l'autorité racine est absente, un certificat intermédiaire n'est pas inclus, ou l'autorité signataire n'est pas reconnue — le navigateur déclenche ERR_CERT_AUTHORITY_INVALID. Pour une explication plus détaillée, consultez notre guide sur la chaîne de certificats SSL.
Autorité racine (Root CA) — certificat auto-signé, préinstallé dans le magasin de confiance de votre OS/navigateur (~150 racines de confiance)
Autorité intermédiaire — signée par l'autorité racine, doit être envoyée par le serveur lors de la poignée de main TLS
Certificat feuille — le certificat de votre site web, signé par l'autorité intermédiaire
Validation — le navigateur remonte la chaîne du certificat feuille jusqu'à la racine ; chaque signature doit être vérifiée
Quelles sont les causes de NET::ERR_CERT_AUTHORITY_INVALID ?
Cette erreur a des causes côté serveur (problème du site web) et côté client (problème de votre appareil). Si l'erreur n'apparaît que sur un seul site, le problème est presque certainement côté serveur. Si elle apparaît sur plusieurs ou tous les sites HTTPS, le problème vient de votre côté.
| Cause | Côté | Fréquence | Vérification rapide |
|---|---|---|---|
| Certificat auto-signé | Serveur | Très fréquent | Vérifier l'émetteur du certificat via le cadenas du navigateur |
| Certificat intermédiaire manquant | Serveur | Fréquent | Utiliser le SSL Checker de DNS Robot pour vérifier la chaîne |
| Certificat SSL expiré | Serveur | Fréquent | Vérifier les dates du certificat dans le navigateur ou le SSL Checker |
| Certificat émis pour un autre domaine | Serveur | Occasionnel | Comparer le CN/SAN du certificat avec le domaine de l'URL |
| Horloge système incorrecte | Client | Fréquent | Vérifier l'heure de votre appareil |
| OS ou navigateur obsolète | Client | Fréquent | Absence de nouvelles autorités racine comme ISRG Root X1 |
| Interception SSL par l'antivirus | Client | Modéré | L'antivirus remplace le certificat par le sien |
| Proxy ou pare-feu d'entreprise | Client | Modéré | Le proxy MITM injecte un certificat non fiable |
| Certificat obsolète en cache | Client | Occasionnel | Ancien certificat dans le cache SSL du navigateur |
| Extension de navigateur interférente | Client | Rare | Les extensions VPN ou de sécurité modifient le trafic |
Solutions pour les visiteurs (côté client)
Si vous rencontrez NET::ERR_CERT_AUTHORITY_INVALID en visitant un site que vous ne gérez pas, essayez ces solutions dans l'ordre. Commencez par les vérifications les plus rapides — le problème est souvent plus simple qu'on ne le pense.
Solution 1 : Vérifier la date et l'heure du système
Une horloge système incorrecte est l'une des causes les plus sous-estimées des erreurs de certificat. Les certificats SSL ont une période de validité (dates « Pas avant » et « Pas après »). Si votre appareil pense être en 2020 alors qu'on est en 2026, un certificat émis en 2025 apparaît comme « pas encore valide » et le navigateur le rejette.
Cette vérification prend 10 secondes et résout le problème plus souvent qu'on ne le croit — notamment après une panne de la pile BIOS, la restauration d'un instantané de machine virtuelle ou une dérive d'horloge en dual-boot.
# Windows — vérifier et synchroniser l'heure système
w32tm /query /status
w32tm /resync
# macOS — activer la synchronisation automatique
sudo sntp -sS time.apple.com
# Linux — synchroniser avec NTP
sudo timedatectl set-ntp true
timedatectl statusSolution 2 : Essayer la navigation privée
Ouvrir le site dans une fenêtre de navigation privée permet d'éliminer d'un coup le cache du navigateur, les cookies et l'interférence des extensions. Si le site fonctionne correctement en navigation privée, le problème vient d'un état de certificat en cache ou d'une extension défaillante — pas du site lui-même.
Pour ouvrir une fenêtre de navigation privée : appuyez sur Ctrl+Maj+N dans Chrome ou Edge, ou Ctrl+Maj+P dans Firefox.
Solution 3 : Vider le cache et les cookies du navigateur
Les navigateurs mettent en cache les informations des certificats SSL pour accélérer les connexions ultérieures. Si un site a récemment renouvelé ou remplacé son certificat, votre navigateur peut encore conserver l'ancien certificat (invalide) dans son cache, ce qui provoque l'erreur ERR_CERT_AUTHORITY_INVALID alors que le serveur dispose désormais d'un certificat valide.
# Chrome : Vider le cache via raccourci clavier
# Windows/Linux : Ctrl+Maj+Suppr
# macOS : Cmd+Maj+Suppr
# Sélectionner « Images et fichiers en cache » et « Cookies » → Effacer les données
# Firefox : Vider le cache
# Ctrl+Maj+Suppr → sélectionner « Cache » et « Cookies » → Effacer maintenantSolution 4 : Vider l'état SSL (Windows)
Windows maintient un cache de certificats SSL au niveau du système d'exploitation, indépendant du cache du navigateur. Vider ce cache force Windows à récupérer et revalider les certificats depuis zéro.
# Méthode 1 : Via les Options Internet
# Ouvrir Options Internet (inetcpl.cpl) → onglet Contenu → bouton « Effacer l'état SSL »
# Méthode 2 : Via la ligne de commande
# Ouvrir l'Invite de commandes en tant qu'administrateur :
certutil -URLcache * deleteSolution 5 : Désactiver les extensions du navigateur
Les extensions de sécurité, les extensions VPN, les bloqueurs de publicités et les outils de protection de la vie privée peuvent interférer avec les connexions SSL. Certaines extensions agissent comme un proxy local, interceptant le trafic HTTPS et remplaçant les certificats — ce qui déclenche ERR_CERT_AUTHORITY_INVALID.
Désactivez temporairement toutes les extensions pour tester : rendez-vous sur chrome://extensions/ et désactivez-les une par une, puis rechargez le site. Si l'erreur disparaît, réactivez les extensions une à une pour identifier celle qui pose problème.
Solution 6 : Mettre à jour le système d'exploitation et le navigateur
Les certificats des autorités racine sont distribués via les mises à jour du système d'exploitation et du navigateur. Si votre OS est obsolète, votre magasin de confiance peut ne pas inclure les nouvelles autorités racine. Par exemple, le certificat ISRG Root X1 (utilisé par Let's Encrypt) n'a été ajouté aux anciennes versions d'Android et de Windows qu'à travers des mises à jour. Les appareils sous Android 7.0 ou antérieur peuvent ne pas disposer de cette racine.
Chrome et Edge utilisent le magasin de confiance du système d'exploitation sous Windows et macOS, tandis que Firefox embarque le sien. Garder votre OS et votre navigateur à jour garantit que vous disposez des derniers certificats racine de confiance.
Solution 7 : Désactiver l'analyse SSL/HTTPS de l'antivirus
Les logiciels antivirus comme Kaspersky, Avast, ESET et Bitdefender incluent souvent une fonctionnalité d'« analyse HTTPS » ou d'« interception SSL ». Cette fonctionnalité agit comme un intermédiaire (man-in-the-middle) : elle déchiffre votre trafic HTTPS avec son propre certificat, l'analyse, puis le rechiffre. Si le certificat de l'autorité de certification de l'antivirus n'est pas installé dans le magasin de confiance de votre navigateur, tous les sites HTTPS affichent ERR_CERT_AUTHORITY_INVALID.
Pour tester : désactivez temporairement la fonctionnalité d'analyse HTTPS dans les paramètres de votre antivirus (pas l'antivirus entier — uniquement le composant d'analyse SSL/web). Si l'erreur disparaît, vous pouvez soit laisser l'analyse désactivée, soit réinstaller le certificat racine de l'antivirus dans votre navigateur.
Solution 8 : Vider le cache DNS
Dans de rares cas, un cache DNS obsolète peut diriger votre navigateur vers la mauvaise adresse IP — une adresse qui présente un certificat SSL différent (et invalide). Vider le cache DNS permet à votre appareil de résoudre à nouveau le domaine vers le bon serveur. Pour un guide complet, consultez notre article sur comment vider le cache DNS.
# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache && sudo killall -HUP mDNSResponder
# Linux
sudo systemd-resolve --flush-caches
# Cache DNS interne de Chrome
# Naviguer vers : chrome://net-internals/#dns → « Clear host cache »Solution 9 : Essayer un autre réseau
Les réseaux d'entreprise, les Wi-Fi d'établissements scolaires et certains points d'accès publics utilisent des proxys transparents qui interceptent les connexions HTTPS. Ces proxys remplacent le certificat SSL du site par le leur, ce qui provoque ERR_CERT_AUTHORITY_INVALID. Basculer sur les données mobiles ou un autre réseau Wi-Fi permet de confirmer si le réseau est en cause.
Si l'erreur n'apparaît que sur votre réseau professionnel ou scolaire, contactez l'administrateur réseau — il peut être nécessaire d'installer le certificat racine du proxy sur votre appareil, ou d'ajouter le domaine à la liste blanche de l'inspection SSL.
Solutions pour les propriétaires de sites (côté serveur)
Si vos visiteurs signalent ERR_CERT_AUTHORITY_INVALID sur votre site, le problème vient de la configuration de votre certificat SSL. Voici les solutions côté serveur, classées de la plus fréquente à la moins courante.
Solution 1 : Installer un certificat d'une autorité de certification reconnue
Les certificats auto-signés sont la cause n°1 de ERR_CERT_AUTHORITY_INVALID pour les propriétaires de sites. Si vous avez généré votre propre certificat avec OpenSSL ou un outil similaire, les navigateurs ne lui feront jamais confiance — l'autorité signataire (vous-même) ne figure dans le magasin de confiance d'aucun navigateur.
La solution consiste à installer un certificat émis par une autorité de certification publiquement reconnue. Let's Encrypt fournit des certificats gratuits et automatisés, reconnus par tous les navigateurs majeurs. Pour les sites commerciaux, les certificats payants de DigiCert, Sectigo ou GlobalSign offrent une validation étendue (EV) et des périodes de validité plus longues.
# Installer un certificat Let's Encrypt avec Certbot (Nginx)
sudo certbot --nginx -d example.com -d www.example.com
# Installer un certificat Let's Encrypt avec Certbot (Apache)
sudo certbot --apache -d example.com -d www.example.com
# Vérifier le certificat installé
sudo certbot certificatesSolution 2 : Installer la chaîne de certificats complète
Un certificat intermédiaire manquant est la deuxième cause côté serveur la plus fréquente. Votre certificat SSL peut être parfaitement valide, mais si le serveur n'envoie pas le certificat de l'autorité intermédiaire avec celui-ci, le navigateur ne peut pas vérifier la chaîne de confiance et déclenche ERR_CERT_AUTHORITY_INVALID.
Utilisez le SSL Checker de DNS Robot pour vérifier votre chaîne de certificats. Une chaîne valide affiche trois certificats : Autorité racine > Autorité intermédiaire > Votre certificat. Si l'intermédiaire est manquant, vous devez configurer votre serveur pour envoyer la chaîne complète.
# Vérifier la chaîne de certificats avec OpenSSL
openssl s_client -connect example.com:443 -showcerts 2>/dev/null | grep -E 's:|i:'
# Résultat attendu (3 certificats dans la chaîne) :
# s:CN = example.com (votre certificat)
# i:CN = R11 (intermédiaire - Let's Encrypt)
# s:CN = R11
# i:CN = ISRG Root X1 (autorité racine)
# Nginx — configurer la chaîne complète
# ssl_certificate doit pointer vers le fichier fullchain, pas seulement le cert :
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# Apache — configurer la chaîne complète
SSLCertificateFile /etc/letsencrypt/live/example.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/example.com/privkey.pemSolution 3 : Renouveler un certificat expiré
Les certificats expirés sont immédiatement rejetés par tous les navigateurs. Chrome affiche spécifiquement ERR_CERT_AUTHORITY_INVALID (et non ERR_CERT_DATE_INVALID) dans certains cas où le certificat intermédiaire de l'autorité du certificat expiré a également été renouvelé. Vérifiez la date d'expiration de votre certificat avec le SSL Checker ou en ligne de commande.
# Vérifier la date d'expiration du certificat
openssl s_client -connect example.com:443 2>/dev/null | openssl x509 -noout -dates
# Résultat :
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Apr 1 00:00:00 2026 GMT
# Forcer le renouvellement avec Certbot
sudo certbot renew --force-renewal
# Redémarrer le serveur web après le renouvellement
sudo systemctl reload nginx # Nginx
sudo systemctl reload apache2 # ApacheSolution 4 : Vérifier que le certificat correspond à votre domaine
Un certificat SSL est émis pour des noms de domaine spécifiques, inscrits dans les champs Common Name (CN) et Subject Alternative Name (SAN). Si votre site est accessible via www.example.com mais que le certificat ne couvre que example.com, ou si vous accédez à un sous-domaine non inclus dans le SAN, Chrome peut afficher ERR_CERT_AUTHORITY_INVALID.
Les certificats wildcard (*.example.com) couvrent tous les sous-domaines mais pas le domaine racine sauf s'il est explicitement listé comme SAN. Incluez toujours example.com et *.example.com lors de la génération d'un certificat wildcard.
Solution 5 : Vérifier la configuration TLS du serveur
Une mauvaise configuration TLS peut provoquer des problèmes de confiance de certificat même avec un certificat valide. Assurez-vous que votre serveur prend en charge TLS 1.2 et TLS 1.3 — les anciens protocoles comme TLS 1.0 et 1.1 ont été abandonnés par tous les navigateurs majeurs depuis 2020. Vérifiez également que votre serveur envoie les certificats dans le bon ordre (feuille en premier, puis les intermédiaires).
# Configuration TLS recommandée pour Nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
# Tester la configuration TLS
openssl s_client -connect example.com:443 -tls1_2
openssl s_client -connect example.com:443 -tls1_3ERR_CERT_AUTHORITY_INVALID sur localhost (développeurs)
Les développeurs rencontrent fréquemment cette erreur lorsqu'ils utilisent des serveurs HTTPS locaux pour le développement. Comme les certificats localhost sont toujours auto-signés, Chrome les bloque par défaut. Voici plusieurs façons de gérer ce cas.
mkcert — la solution la plus simple. Installez
mkcert, exécutezmkcert -installpour ajouter une autorité de certification locale à votre magasin de confiance, puis générez les certificats :mkcert localhost 127.0.0.1 ::1. Automatiquement reconnu dans Chrome, Firefox et EdgeContournement Chrome — tapez
thisisunsafesur la page d'erreur (il n'y a pas de champ de saisie — tapez directement au clavier). Cela contourne l'avertissement pour la session en cours uniquementFlag Chrome — accédez à
chrome://flags/#allow-insecure-localhostet activez l'option. Cela désactive les erreurs de certificat pourlocalhostuniquementVite/Next.js/Webpack — la plupart des serveurs de développement supportent les options
--httpsqui génèrent des certificats auto-signés. Combinez avec mkcert pour un environnement local de confiance
# Installer mkcert (macOS)
brew install mkcert
mkcert -install
# Générer un certificat localhost
mkcert localhost 127.0.0.1 ::1
# Crée : localhost+2.pem et localhost+2-key.pem
# Utiliser avec Node.js
const https = require('https');
const fs = require('fs');
https.createServer({
cert: fs.readFileSync('localhost+2.pem'),
key: fs.readFileSync('localhost+2-key.pem')
}, app).listen(3000);Erreurs SSL connexes
NET::ERR_CERT_AUTHORITY_INVALID n'est qu'une parmi plusieurs erreurs de certificat SSL que vous pouvez rencontrer. Chaque erreur pointe vers un problème différent dans le processus de validation du certificat.
| Code d'erreur | Signification | Guide DNS Robot |
|---|---|---|
| ERR_CERT_AUTHORITY_INVALID | Certificat non signé par une autorité de confiance | Cet article |
| ERR_SSL_PROTOCOL_ERROR | La poignée de main TLS a échoué avant la vérification du certificat | [Guide de correction](/blog/err-ssl-protocol-error-fix) |
| ERR_SSL_VERSION_OR_CIPHER_MISMATCH | Aucune version TLS ou suite de chiffrement en commun | [Guide de correction](/blog/err-ssl-version-or-cipher-mismatch) |
| ERR_CERT_DATE_INVALID | Certificat expiré ou pas encore valide | Vérifier les dates du certificat |
| ERR_CERT_COMMON_NAME_INVALID | Le domaine du certificat ne correspond pas à l'URL | Vérifier les champs SAN/CN |
| NET::ERR_CERT_REVOKED | Le certificat a été révoqué par l'autorité émettrice | Réémettre le certificat |
Vérifiez votre chaîne de certificats SSL maintenant
Utilisez le SSL Checker gratuit de DNS Robot pour vérifier votre chaîne de certificats, les dates d'expiration et la configuration TLS. Détectez instantanément les certificats intermédiaires manquants, les certificats expirés et les incohérences de domaine.
Try SSL CheckerFrequently Asked Questions
Cela signifie que votre navigateur ne fait pas confiance à l'autorité de certification qui a signé le certificat SSL du site web. Le certificat peut être auto-signé, émis par une autorité inconnue, ou il peut manquer la chaîne de certificats intermédiaires.