SSL/domaine sur le point d'expirer : comment gérer P1 en 2 heures et SOP pour éviter la récidive

1) Identification rapide : quelle erreur rencontrez-vous ?

Manifestation du navigateur

• « Non sécurisé » (HTTP ou SSL expiré).

• « NET::ERR_CERT_DATE_INVALID » (SSL expiré/incorrect) horloge).

• « NET::ERR_CERT_COMMON_NAME_INVALID » (le nom d'hôte ne correspond pas).

• « Erreur HSTS » (HSTS est activé, le navigateur interdit l'accès en cas d'échec de SSL).

S'affiche au niveau de la couche DNS/domaine

• L'accès fonctionne parfois, passe en mode « parking » page.

• E-mail en fonction des rebonds de domaine (MX/DNS expiré).

• WHOIS signale le domaine Expiré/En attente.

Priorité

• P1 : Magasin/commande/connexion non accessible, certificat/HSTS/erreur de domaine s'est produit.

• P2 : contenu d'erreur mixte de la ressource secondaire (image/CDN secondaire).

1 — Vérifier l'état réel (10')

• Ouvrir https:// et http:// sur un autre 4G/FAI, masquer le cache (Ctrl/Cmd + Shift + R).

• Vérifier SSL via un outil comme SSL Labs/Pourquoi pas de cadenas (pour voir la chaîne de certificat, la date d'expiration, intermédiaire).

• Vérifiez le domaine WHOIS (date d'expiration), DNS (NS/A/CAA), CDN/WAF (Cloudflare/…).

Étape 2 – Décider du chemin de récupération (15')

• SSL géré par l'hôte (cPanel/Plesk/hébergement géré)
  → Connectez-vous au panneau, réémettez/AutoSSL/Let's Encrypt.

(Cloudflare)
→ Activez « Complet (strict) », créez un Certificat d'origine et installez-le sur le serveur, ou réémettez-le Let's Encrypt à l'origine.

Étape 3 — Renouveler/Réémettre le certificat (20-30')

• Let's Encrypt (HTTP-01)

  • Ouvrir le port 80/443, désactiver le blocage des robots si WAF/captcha est activé. présent.

  • certbot renouveler --force-renewal ou certbot certonly --nginx/--webroot.

• Let's Encrypt (DNS-01) (si le port 80/443 ou un caractère générique est bloqué)

  • Créer Enregistrement TXT conformément aux instructions du client ACME → émettre le caractère générique de certificat *.domain.com.

• AC commerciale

  • Créer un nouveau CSR (2048/3072 bits), vérifier (DNS/Email/HTTP), charger le cert + intermédiaire chain.

  • Mettre à jour les points vHost/Nginx/Apache pour corriger fullchain.pem + privkey.pem.

Remarque HSTS : si HSTS est activé, le navigateur n'autorise pas HTTP accès lors de pannes SSL. Alors ne désactivez pas HSTS, renouvelez SSL dans la bonne chaîne le plus rapidement possible.

Étape 4 — Test et rechargement du service (10')

• Rechargement Nginx/Apache : nginx -t && systemctl reload nginx ou apachectl configtest && systemctl reload httpd.

• Vérifiez le cadenas/point A chez SSL Labs.

• Modifiez le contenu mixte (l'URL image/js/css est toujours http://) :

  • Définissez 301 HTTP→HTTPS (à l'échelle du site).

  • Recherchez et remplacez dans le code/DB (WordPress : utilisez wp search-replace).

  • Utilisez protocole-relatif ou https:// absolu.

Étape 5 — Le domaine est sur le point de/expire (10–20')

• Si le domaine est sur le point jusqu'à/expire : connectez-vous au registraire → renouvelez 1 à 3 ans.

• Renouvelez confidentialité/hébergement DNS en cas de séparation des fournisseurs.

• Vérifiez que le serveur de noms et A/AAAA ne sont pas modifiés ; propagation ~ quelques minutes → 24 h.

Étape 6 — Test de fumée et journal (10')

• Test : page d'accueil, panier/paiement, connexion, webhook de paiement, e-mail transactionnel.

• Enregistrer l'heure de correction, la cause première → mettre à jour la SOP.

3) SOP préventive (pour éviter récurrence)

3.1 Cycle et automatisation chimique

• Domaine à renouvellement automatique : activer le renouvellement automatique + 2 méthodes de paiement de secours ; invite T-30/T-7/T-1.

• Renouvellement automatique du SSL :

  • Chiffrons 60 à 90 jours ; cron : date de renouvellement du certbot à 2 heures du matin ; envoyer une alerte quand

    jours.

  • CA commerciale : rappel de planification T-30 + propriétaires/facturation.

• Enregistrement CAA : spécifiez une autorité de certification valide (par exemple 0 problème "letsencrypt.org"), évitez les autorisations non autorisées émission.

3.2 Infrastructure « ininterrompue » brisée »

• Redirection 301 requise : HTTP→HTTPS, non-www↔www unifié.

• Chaîne propre : installez toujours l'intermédiaire à partir de CA ; Vérifiez après chaque renouvellement.

• HSTS :

  • Activer une fois que le site est 100 % stable SSL (plus de contenu mixte).

  • l'âge maximum est initialement faible (1 à 7 jours), puis augmente progressivement jusqu'à 6 à 12 mois ; prêt.

• Horloge : synchronisez NTP pour le serveur (une horloge incorrecte entraîne également l'expiration du SSL).

• Surveillance :

  • Uptime + expiration SSL (PagerDuty/UptimeRobot) : avertissement <14 jour.

  • Ping pour vérifier les transactions (paiement/connexion) toutes les 5 à 10 minutes.

3.3 Opérations et responsabilités

• Livre d'actifs : domaine, DNS, CDN, hébergement, SSL, date d'expiration, contacter l'assistance.

• Décentralisation : séparation Propriétaire/Facturation/Technique ; 2FA est obligatoire pour les administrateurs.

• P1 Playbook : version abrégée de la partie 2 pour que le personnel de P1 night/WE puisse le faire immédiatement.

4) Questions rapides (FAQ)

L'expiration du SSL provoque-t-elle des problèmes de référencement ?
Peut-être que le robot peut toujours explorer, mais Les utilisateurs quittent, ce qui entraîne une diminution du CTR, du temps d'attente et des conversions. Impact à long terme sur la qualité du signal.

J'utilise Cloudflare, dois-je installer SSL sur l'origine ?
Dois utiliser Complet (strict) : activez SSL sur Cloudflare et installez le certificat Origin/Let's Encrypt sur l'origine. Évitez "Flexible", car il peut facilement créer du contenu/une redirection mixte. boucles.

HSTS doit-il être désactivé en cas de problèmes ?
Non. Si le navigateur a mémorisé HSTS, le désactiver ne fonctionnera pas immédiatement. La bonne méthode consiste à renouveler/réappliquer le certificat.

Caractère générique ou non ?
S'il y a plusieurs sous-domaines, choisissez caractère générique. (DNS-01). Si seulement www + root, un seul certificat suffit.

5) Liste de contrôle « fond d'écran » pour l'équipe des opérations

P1 – Restaurer immédiatement

1. Véritable vérification : HTTPS, chaîne, erreur de navigateur, WHOIS.

2. Réémettre/renouveller SSL (Let's Encrypt/CA/Cloudflare Origine).

SSL + avertissement d'expiration.
7) Ajouter/ajuster CAA ; Confirmer l'horloge/NTP.
8) Activer le HSTS sécurisé (petit âge maximum), augmenter progressivement une fois stable.

P3 – Pendant la semaine
9) Ajouter la surveillance des transactions et le ping.
10) Mettre à jour le livre d'actifs + calendrier de rappel trimestriel.

6) Suggestions de déploiement rapide ; (WordPress/Cloud)

WordPress + Nginx

# Vérifier l'expiration du certificat
certificats sudo certbot

# Prolongation urgente
sudo certbot renouveler --force-renewal

# Ou nouvelle version selon blocage du serveur
sudo certbot --nginx -d domaine.com -d www.domain.com

# Vérifier et recharger
sudo nginx -t && sudo systemctl recharger nginx

Cloudflare (Origin TLS)

1. SSL/TLS → Complet (strict)

2. Certificats d'origine → Créer → installer le certificat + clé sur le serveur Web

3. Règles de page/Règles de redirection : HTTP→HTTPS (301)

7) Lorsqu'il faut des « pompiers »

Si le site est la source de vie (commandes/réservations), chaque heure de « Non sécurisé » = perte de revenus + perte de confiance. Vous pouvez :

• Démarrez le package de maintenance et de réponse du site Web pour avoir P1 disponible 24h/24 et 7j/7, un SLA clair, une surveillance automatique de l'expiration/de la disponibilité : Services de maintenance Web – Tan Phat Digital.

• Référez-vous au processus de maintenance mensuel (vérification SSL/domaine, sauvegarde, CWV, sécurité) pour éviter que cela ne se reproduise problèmes.