Qu'est-ce qu'un certificat SSL ?

Un certificat SSL (ou TLS, son successeur technique) est un fichier numérique qui authentifie l'identité de votre site web et chiffre les données échangées entre le navigateur du visiteur et votre serveur. C'est ce qui permet l'affichage du cadenas dans la barre d'adresse et l'utilisation du protocole https://.

Un certificat a une durée de validité limitée — généralement 90 jours pour Let's Encrypt et jusqu'à 1 an pour les certificats commerciaux. Passé cette date, il expire et les navigateurs le rejettent immédiatement.

WARN
Durée maximale depuis 2020
Apple, Google et Mozilla ont imposé une limite de 398 jours pour tous les certificats SSL publics. Depuis 2023, la tendance est à des certificats de 90 jours renouvelés automatiquement.

Conséquences d'un certificat SSL expiré

1. Vos visiteurs voient une page d'erreur bloquante

Chrome affiche "Votre connexion n'est pas privée" avec un avertissement rouge (NET::ERR_CERT_DATE_INVALID). Firefox affiche "Attention : risque probable de sécurité". La majorité des visiteurs ne contournent pas ces avertissements — ils ferment l'onglet.

2. Impact direct sur votre chiffre d'affaires

Les études montrent qu'un avertissement SSL fait fuir 85 % des visiteurs. Pour un site e-commerce ou SaaS, chaque heure d'expiration non détectée représente des ventes perdues. Les formulaires de contact ne fonctionnent plus, les paiements échouent, les inscriptions s'arrêtent.

3. Pénalité SEO

Google utilise HTTPS comme signal de classement depuis 2014. Un site en HTTP (ou avec SSL invalide) est pénalisé dans les résultats de recherche. De plus, Google Search Console remonte des erreurs de crawl sur les pages inaccessibles, ce qui dégrade l'indexation globale du site.

4. Rupture des intégrations techniques

Les API, webhooks, et outils tiers (CRM, analytics, paiement) refusent de communiquer avec un endpoint dont le certificat est invalide. Stripe, Brevo, HubSpot — tous vérifient la validité SSL avant chaque appel.

5. Atteinte à la réputation

Un SSL expiré signale un manque de sérieux dans la gestion technique. Pour une agence web ou une société qui gère des données clients, c'est particulièrement dommageable. Vos clients remarquent — et en parlent.

Votre SSL est-il encore valide ? Vérifiez en 60 secondes :

→ Scanner mon domaine gratuitement

Comment détecter l'expiration d'un certificat SSL

Via le navigateur

Sur Chrome, cliquez sur le cadenas (ou l'icône d'avertissement) dans la barre d'adresse → La connexion est sécuriséeLe certificat est valide. Vous verrez la date d'expiration exacte.

Via la ligne de commande

openssl s_client -connect votre-domaine.com:443 -servername votre-domaine.com </dev/null 2>/dev/null \
  | openssl x509 -noout -dates

La sortie affiche notBefore (date d'émission) et notAfter (date d'expiration).

Via un outil automatisé

Les outils de monitoring comme Wezea vérifient automatiquement la validité SSL de vos domaines et vous alertent avant l'expiration. Fini les découvertes catastrophiques un lundi matin.

Comment renouveler son certificat SSL

Let's Encrypt (gratuit, le plus courant)

Let's Encrypt émet des certificats gratuits valables 90 jours. La commande de renouvellement dépend de votre configuration : 

# Avec Certbot (le client Let's Encrypt officiel)
sudo certbot renew

# Forcer le renouvellement même si le certificat est encore valide
sudo certbot renew --force-renewal

Après renouvellement, rechargez nginx ou Apache pour qu'il prenne en compte le nouveau certificat : 

sudo systemctl reload nginx
# ou
sudo systemctl reload apache2

Certificat commercial (payant)

Pour les certificats issus d'une autorité commerciale (DigiCert, Sectigo, GlobalSign), le processus passe par votre hébergeur ou revendeur. Vous recevez généralement un email de rappel 30 jours avant l'expiration — si vous avez configuré les alertes.

Hébergement managé (OVH, Cloudflare, etc.)

La plupart des hébergeurs gèrent le renouvellement automatiquement si vous utilisez leur service SSL intégré. Vérifiez dans votre panneau de contrôle que l'option "renouvellement automatique" est bien activée.

Automatiser le renouvellement : les bonnes pratiques

Configurer un cron job Certbot

Certbot installe généralement un timer systemd ou une entrée cron qui tente le renouvellement deux fois par jour. Vérifiez qu'il est actif : 

# Vérifier le timer systemd
systemctl status certbot.timer

# Ou vérifier le cron
crontab -l | grep certbot

Mettre en place des alertes préventives

Ne comptez pas uniquement sur le renouvellement automatique. Configurez des alertes email 30 et 7 jours avant l'expiration. Un outil de monitoring de domaine peut faire ça pour vous automatiquement.

INFO
Règle des 3 semaines
Renouvelez toujours votre certificat au moins 21 jours avant son expiration. Cela laisse du temps pour diagnostiquer un problème si le renouvellement automatique échoue silencieusement.

Tester régulièrement

Un renouvellement automatique peut échouer sans que personne ne s'en rende compte : problème de DNS, changement de configuration serveur, quota Let's Encrypt atteint. Incluez une vérification SSL dans votre routine de monitoring.

Vérifier l'état SSL de votre domaine en 60 secondes

Wezea analyse votre certificat SSL en profondeur : date d'expiration, chaîne de certification, algorithme de chiffrement, support TLS 1.2/1.3, HSTS. Vous obtenez un score de sécurité et des recommandations concrètes.

Diagnostic SSL complet de votre domaine, gratuit :

→ Analyser mon certificat SSL

Lire aussi

Audit de sécurité de domaine : ce que ça vérifie vraiment Comment interpréter un score de sécurité de domaine Sécuriser WordPress : checklist complète 2026