Après avoir installé un certificat SSL, vous devez vérifier qu’il fonctionne correctement — bon certificat, chaîne complète, TLS moderne, aucune erreur. Voici les meilleurs outils pour chaque vérification.
Outils en ligne
SSL Labs Server Test (le plus complet)
URL : ssllabs.com/ssltest
La référence du secteur pour les tests SSL. Entrez votre domaine et obtenez un rapport détaillé noté de A+ à F.
Ce qui est vérifié :
- Validité du certificat et complétude de la chaîne
- Prise en charge des protocoles (TLS 1.0/1.1/1.2/1.3)
- Force et ordre des suites de chiffrement
- Vulnérabilités connues (POODLE, Heartbleed, DROWN, ROBOT)
- Configuration HSTS
- OCSP Stapling
- Enregistrements DNS CAA
- Certificate Transparency
Objectif : Note A+ (nécessite TLS 1.2+, chiffrements AEAD, HSTS avec un long max-age)
Quand l’utiliser : Après la configuration initiale, après des modifications de configuration, et périodiquement (mensuellement).
SSL Shopper SSL Checker
URL : sslshopper.com/ssl-checker
Vérification rapide axée sur la validité du certificat et la chaîne.
Ce qui est vérifié :
- Certificat correctement installé
- Chaîne complète (intermédiaire présent)
- Le certificat correspond au domaine
- Date d’expiration
Quand l’utiliser : Vérification rapide “est-ce que ça marche ?” — plus rapide que SSL Labs.
crt.sh (recherche Certificate Transparency)
URL : crt.sh
Recherche dans les logs Certificate Transparency tous les certificats jamais émis pour un domaine.
Quand l’utiliser : Surveiller les certificats non autorisés, vérifier que votre certificat a été enregistré, consulter l’historique d’émission.
Why No Padlock
URL : whynopadlock.com
Analyse une page spécifique pour détecter le contenu mixte — des ressources HTTP sur une page HTTPS.
Quand l’utiliser : Lorsque le cadenas affiche un avertissement ou est absent malgré un certificat valide.
Outils en ligne de commande
Vérifications rapides avec OpenSSL
# Vérifier si HTTPS fonctionne
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Verify return code"
# 0 (ok) = bon
# Afficher la date d'expiration du certificat
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
# Afficher les détails complets du certificat
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -text
# Vérifier la version TLS négociée
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | grep "Protocol"
# Tester une version TLS spécifique
echo | openssl s_client -connect yourdomain.com:443 -tls1_3 2>/dev/null | grep "Protocol"
Aide-mémoire OpenSSL complet →
curl pour un test HTTPS rapide
# Vérification HTTPS basique
curl -I https://yourdomain.com
# Afficher les informations du certificat
curl -vI https://yourdomain.com 2>&1 | grep -E 'subject:|issuer:|expire'
# Vérifier la redirection depuis HTTP
curl -ILs http://yourdomain.com | grep -E '^HTTP|^Location'
nmap pour l’énumération des chiffrements
nmap --script ssl-enum-ciphers -p 443 yourdomain.com
Affiche toutes les suites de chiffrement prises en charge par le serveur, groupées par version TLS.
Quoi vérifier et quand
| Quand | Quoi vérifier | Outil |
|---|---|---|
| Après l’installation d’un certificat | Chaîne complète, domaine correspondant | SSL Shopper (rapide) |
| Après des modifications de configuration | Audit complet (note, chiffrements, vulnérabilités) | SSL Labs (approfondi) |
| Mensuellement | Expiration approchante | Script de monitoring |
| Après une migration | Contenu mixte | Why No Padlock |
| En continu | Certificats non autorisés | crt.sh / Monitoring CT |
| Débogage d’erreurs | Détails de connexion | OpenSSL s_client |
Interpréter les notes SSL Labs
| Note | Signification | Problèmes courants |
|---|---|---|
| A+ | Excellent | A HSTS avec un long max-age |
| A | Bon | HSTS manquant ou max-age court |
| B | OK mais améliorations nécessaires | Anciennes suites de chiffrement, TLS 1.0/1.1 activé |
| C | Configuration faible | Chiffrements vulnérables, pas de Forward Secrecy |
| F | Problèmes graves | Vulnérabilité connue, certificat expiré |
| T | Certificat non fiable | Auto-signé, mauvais domaine, chaîne incomplète |
Bonnes pratiques SSL pour atteindre A+ →
Questions fréquemment posées
À quelle fréquence dois-je tester ?
Après tout changement lié au SSL, et au moins mensuellement dans le cadre du monitoring. Les résultats SSL Labs sont mis en cache pendant quelques heures — ajoutez &clearCache=on pour forcer une nouvelle analyse.
SSL Labs est-il sûr à utiliser ? Est-ce que cela expose mon site ?
Oui, c’est sûr. SSL Labs se connecte à votre serveur de la même manière que n’importe quel navigateur. Il ne modifie rien et n’expose pas de vulnérabilités. Les résultats sont publics par défaut — cochez “Do not show the results on the boards” si vous préférez la confidentialité.
Mon site obtient A sur SSL Labs mais affiche toujours “Non sécurisé”
La note SSL Labs concerne la configuration TLS du serveur. “Non sécurisé” dans le navigateur peut aussi provenir de : contenu mixte (vérifiez avec Why No Padlock), redirection HTTP manquante, ou accès direct via HTTP. Ce sont des problèmes au niveau de la page, pas du serveur.
Puis-je automatiser les tests SSL ?
SSL Labs dispose d’une API gratuite : api.ssllabs.com/api/v3/analyze?host=yourdomain.com. Vous pouvez l’intégrer dans vos pipelines CI/CD ou de monitoring. Pour des vérifications plus simples, utilisez les commandes OpenSSL dans un script cron.