NET::ERR_CERT_DATE_INVALID : réparer un certificat SSL expiré

La page rouge qui fait fuir tes visiteurs

Ton client ouvre ton site et tombe sur un écran rouge : « Votre connexion n’est pas privée », code NET::ERR_CERT_DATE_INVALID. Dans la barre d’adresse, le cadenas a disparu, remplacé par « Non sécurisé ». Pour franchir l’écran, il faut cliquer sur « Paramètres avancés » puis « Continuer (dangereux) ».

Personne ne fait ça. 99 % des visiteurs ferment l’onglet. Tu viens de perdre la confiance — et le client.

Le message est explicite : DATE_INVALID signifie que ton certificat SSL a expiré. Un certificat a une durée de vie limitée (90 jours pour Let’s Encrypt, 1 an pour les certificats payants). Quand personne ne le renouvelle, le navigateur refuse la connexion.

Bonne nouvelle : c’est réparable, souvent en quelques minutes. Voici la méthode.

L’impact réel : confiance ET référencement

Un certificat expiré, ce n’est pas un détail cosmétique. Deux dégâts simultanés :

• Perte de confiance immédiate. L’écran rouge plein cadre est un signal d’alarme universellement compris comme « ce site est dangereux ». Ton taux de rebond explose.
• Pénalité SEO. Google indexe le HTTPS et déclasse les sites inaccessibles. Si Googlebot tombe sur un certificat invalide pendant plusieurs jours, ton positionnement chute. HTTPS est un facteur de classement officiel depuis des années.

Bref : chaque heure d’écran rouge te coûte des visiteurs et du référencement. C’est une urgence.

Étape 1 — Vérifier la date d’expiration

Avant de renouveler, confirme le diagnostic.

Dans le navigateur : clique sur le cadenas (ou l’avertissement) > « La connexion est sécurisée » > « Le certificat est valide ». Tu vois les dates « Émis le » et « Expire le ». Si la date d’expiration est passée, c’est confirmé.

En ligne de commande, plus précis, depuis macOS ou Linux :

echo | openssl s_client -servername tondomaine.fr -connect tondomaine.fr:443 2>/dev/null | openssl x509 -noout -dates

Tu obtiens :

notBefore=Mar 15 00:00:00 2026 GMT
notAfter=Jun 13 23:59:59 2026 GMT

La ligne notAfter est la date d’expiration. Si elle est dépassée, le certificat est mort.

En ligne : ssllabs.com/ssltest te donne un audit complet (date, chaîne de certification, configuration) et une note de A à F.

Étape 2 — Renouveler selon ton hébergement

La marche à suivre dépend entièrement d’où ton site est hébergé.

Let’s Encrypt (VPS, serveur dédié)

Let’s Encrypt délivre des certificats gratuits valables 90 jours, censés se renouveler automatiquement via certbot. S’il a expiré, c’est que le renouvellement automatique est cassé. Force-le et vérifie le cron :

# Forcer le renouvellement
sudo certbot renew --force-renewal

# Vérifier que le timer automatique tourne
systemctl list-timers | grep certbot

# Tester sans rien casser (dry-run)
sudo certbot renew --dry-run

Si le dry-run échoue, lis le message : c’est presque toujours un problème de validation (port 80 bloqué ou DNS mal pointé — voir Étape 3).

Plesk

Panneau Plesk > ton domaine > « SSL/TLS Certificates » > extension Let’s Encrypt > « Renew ». Vérifie que l’option « Keep secured with Let’s Encrypt » est cochée pour le renouvellement automatique. Si l’extension n’est pas installée, ajoute-la depuis le catalogue Plesk. Le détail de la connexion au serveur est dans notre guide se connecter en SSH à Plesk.

cPanel (AutoSSL)

cPanel gère le SSL via AutoSSL, qui renouvelle tout seul. Va dans « SSL/TLS Status », sélectionne le domaine, clique « Run AutoSSL ». Si AutoSSL refuse, c’est un échec de validation de domaine (DNS ou redirection).

Vercel / Netlify

Sur ces plateformes, le SSL est automatique et gratuit — tu n’as rien à renouveler à la main. Si le certificat est invalide, le problème est presque toujours en amont : le domaine personnalisé n’est pas correctement validé. La plateforme ne peut émettre de certificat que si elle « voit » ton domaine pointer vers elle. Vérifie ta configuration dans notre guide dédié au domaine personnalisé et SSL sur Vercel/Netlify. Si le déploiement lui-même coince, vois problème de déploiement Vercel ou Netlify.

Certificat payant acheté manuellement

Si tu as acheté un certificat (DigiCert, Sectigo…), il n’y a aucun renouvellement automatique. Tu dois racheter le certificat, générer une nouvelle CSR, valider le domaine, puis réinstaller le certificat chez ton hébergeur. C’est le mode le plus fragile : il faut surveiller la date manuellement. Beaucoup migrent vers Let’s Encrypt pour cette raison.

Étape 3 — Pourquoi un certificat « ne renouvelle pas »

Quand le renouvellement automatique échoue, c’est presque toujours l’une de ces causes :

• DNS ou domaine mal pointé. Pour émettre un certificat, l’autorité doit vérifier que tu contrôles le domaine. Si ton enregistrement A pointe vers la mauvaise IP, la validation échoue. C’est de loin la cause n°1 — diagnostique avec notre guide DNS qui ne propage pas.
• Enregistrement CAA bloquant. Un enregistrement DNS de type CAA peut interdire l’émission par certaines autorités. Si tu as un CAA qui ne liste pas Let’s Encrypt (letsencrypt.org), aucun certificat ne s’émettra. Vérifie : dig tondomaine.fr CAA.
• Port 80 bloqué. La validation HTTP de Let’s Encrypt passe par le port 80. Si un pare-feu le bloque, ou si tu rediriges tout le port 80 vers 443 trop agressivement, la validation échoue. Laisse le port 80 ouvert pour le challenge.
• Sous-domaine oublié. Le certificat couvre tondomaine.fr mais pas www.tondomaine.fr (ou l’inverse). Le visiteur arrive sur la variante non couverte et voit l’erreur. Émets un certificat qui couvre les deux.

Étape 4 — Vider le cache et vérifier

Une fois renouvelé, le navigateur peut encore servir l’ancien certificat depuis son cache. Force le rafraîchissement :

# macOS : vider le cache DNS (utile si tu as aussi touché au DNS)
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder

Puis ouvre ton site en navigation privée (cache vierge), et revérifie avec la commande openssl de l’Étape 1 que la nouvelle date notAfter est bien dans le futur. Relance un test ssllabs.com pour confirmer que la chaîne complète est valide.

Pièges courants

• Renouveler le certificat sans corriger le DNS. Si le renouvellement échoue à cause d’un domaine mal pointé, tu peux relancer certbot cent fois, ça ne marchera pas. Corrige d’abord le DNS, ensuite renouvelle.
• Oublier la variante www. Un certificat qui ne couvre que tondomaine.fr laisse www.tondomaine.fr en erreur, et inversement. Couvre toujours les deux.
• Croire que c’est réparé sans vider le cache. Tu renouvelles, tu rafraîchis, tu vois encore l’écran rouge, tu paniques. C’est le cache navigateur. Teste en navigation privée avant de conclure.
• Désactiver le renouvellement automatique par mégarde. Sur Plesk ou cPanel, une case décochée stoppe le renouvellement. Tu ne le découvres que 90 jours plus tard, en pleine panne. Vérifie que l’auto-renouvellement est actif après chaque intervention.
• Un CAA hérité d’une ancienne config. Un vieil enregistrement CAA, posé il y a des années pour une autre autorité, bloque silencieusement Let’s Encrypt. Personne ne pense à le vérifier. Fais un dig CAA au moindre doute.

Un SSL qui expire en silence, c’est le signe qu’il manque une surveillance — et souvent que personne ne détient les bons accès à l’hébergement. Tu veux un regard concret sur ton site ? Demande un audit gratuit.