Deux clients indépendants ont signalé des échecs SSL affectant les utilisateurs Android, malgré leurs certificats étant valides et correctement installés. Les navigateurs de bureau ne montraient aucune erreur, tandis que des appareils mobiles spécifiques rejetaient les connexions comme non fiables.
Résumé de l’étude de cas
- Problème : Les nouvelles chaînes CA n’étaient pas approuvées par les anciens appareils Android.
- Impact : Les utilisateurs mobiles ont vu des erreurs SSL malgré des certificats valides.
- Cause racine : Les magasins de confiance Android accusent un retard par rapport aux migrations de chaînes CA.
- Résolution : Réémettre en utilisant des chaînes héritées ou à signature croisée, ou migrer vers une CA avec une meilleure compatibilité mobile.
- Insight clé : La confiance SSL dépend des plateformes clientes, pas seulement de la validité du certificat.
Un certificat SSL peut être techniquement valide mais échouer quand même en production. La validité du certificat confirme seulement qu’il a été émis et est cryptographiquement valable. Elle ne garantit pas une confiance universelle sur tous les appareils.
C’est exactement ce qui se passe lors des migrations de chaînes CA. Les autorités de certification font tourner les racines et les intermédiaires pour des raisons de sécurité, de conformité et de durabilité à long terme.
Mais les plateformes clientes, en particulier les systèmes d’exploitation mobiles, mettent à jour leurs magasins de confiance beaucoup plus lentement et de manière incohérente. Le résultat est une fracture entre l’infrastructure de certificats moderne et la confiance des appareils hérités.
Dans cette étude de cas, nous examinons deux incidents réels où les changements de chaînes CA ont causé l’échec de certificats SSL valides sur des appareils Android. Nous montrons comment ces échecs ont fait surface en production, pourquoi les diagnostics standards n’ont pas immédiatement révélé la cause, et comment différents chemins de résolution ont restauré la compatibilité mobile dans chaque cas.
Xamisoft : Quand une mise à niveau serveur a cassé la confiance Android
Xamisoft développe des applications d’apprentissage de langues utilisées sur des plateformes de bureau et mobiles. Leur infrastructure fonctionnait sans problèmes SSL sur Windows Server 2019. Les navigateurs de bureau et les appareils Android fonctionnaient normalement, et le déploiement de certificat suivait une configuration IIS standard. Le problème n’est apparu qu’après une mise à niveau de routine.
Le problème
Ils ont migré leur environnement de Windows Server 2019 vers Windows Server 2025 et ont réinstallé le certificat SSL en utilisant la même méthode qui avait fonctionné avant. Du point de vue du serveur, tout était correct.
Le certificat était installé, les certificats racine et intermédiaire étaient présents, et les navigateurs de bureau ne montraient aucun avertissement. Rien ne suggérait une configuration SSL cassée. Puis les utilisateurs Android ont commencé à signaler des échecs. Sur les anciennes versions d’Android, en particulier Android 6, le site affichait l’erreur : « Ce certificat ne provient pas d’une autorité de confiance. »

Dans certains cas, des erreurs similaires sont apparues même sur des versions Android plus récentes. Cela a rendu la situation plus difficile à interpréter. À première vue, cela semblait être un serveur mal configuré ou un fichier de certificat manquant.
Du point de vue du client, la situation n’avait aucun sens :
- Le même certificat n’avait aucun problème sur Windows Server 2019.
- Il échouait maintenant sur Windows Server 2025.
- Les navigateurs de bureau fonctionnaient toujours.
- Seuls les utilisateurs mobiles étaient bloqués.
Analyse de la cause racine
C’était le scénario classique « tout est valide, pourtant les utilisateurs sont bloqués ». À ce moment-là, deux dimensions techniques ont commencé à faire surface.
1. La chaîne CA elle-même
Sur Windows Server 2019, le certificat avait été émis sous l’ancienne hiérarchie CA Sectigo RSA Domain Validation Secure Server. Cette chaîne est largement approuvée, y compris par les anciennes versions.
Sur Windows Server 2025, le même certificat était maintenant chaîné vers : Sectigo Public Server Authentication CA DV R36.
Cela faisait partie de la nouvelle hiérarchie de confiance de Sectigo. Elle était valide et approuvée par les systèmes modernes, mais certains magasins de confiance Android ne l’incluaient pas encore. Pour ces appareils, la chaîne de certificats n’avait simplement pas d’ancre de confiance.
2. Livraison de la chaîne de certificats
Windows Server 2019 remplit les certificats intermédiaires manquants en utilisant le magasin système. IIS pouvait récupérer les intermédiaires en arrière-plan et présenter une chaîne complète aux clients, même si l’administrateur n’avait pas explicitement installé chaque composant. Windows Server 2025 a changé ce comportement. Il exigeait que la chaîne complète soit explicitement configurée. Si un certificat intermédiaire manquait ou était mal ordonné, certains clients échouaient dans la validation même si les navigateurs pouvaient récupérer la chaîne via la récupération AIA (Authority Information Access).
Cela signifiait que Xamisoft avait affaire à deux problèmes qui se chevauchaient :
- Certains appareils Android ne faisaient pas confiance à la nouvelle hiérarchie Sectigo.
- Certains clients ne recevaient pas la chaîne complète correctement du serveur.
L’un ou l’autre problème seul peut casser SSL. Ensemble, ils obscurcissent la vraie cause.
Cela expliquait pourquoi :
- Les navigateurs de bureau fonctionnaient encore.
- Les outils de test SSL montraient principalement des résultats verts.
- Les appareils Android échouaient de manière imprévisible, selon la version et la build du fournisseur.
Notre diagnostic
D’abord, nous avons clarifié que les appareils Android n’utilisent jamais le magasin de confiance du serveur. Installer des certificats racine sur Windows ne fait rien pour Android. La décision de confiance est prise entièrement sur l’appareil.
Deuxièmement, nous avons expliqué que Windows Server 2025 exigeait une complétude explicite de la chaîne. Le serveur devait présenter :
- Le certificat serveur
- Les certificats intermédiaires corrects
- Dans le bon ordre
S’appuyer sur la récupération implicite n’était plus viable.
La résolution
Au lieu d’essayer de forcer IIS à gérer cela de manière fiable, Xamisoft a implémenté une solution structurelle. Ils ont placé Nginx devant IIS comme proxy et ont configuré Nginx pour servir la chaîne de certificats complète explicitement.
Cela a accompli deux choses :
- La chaîne complète était livrée de manière cohérente à chaque client.
- Les appareils Android qui faisaient encore confiance aux anciennes parties de la hiérarchie pouvaient valider correctement.
Après le changement, les erreurs SSL ont disparu et les appareils Android 6 pouvaient accéder au site à nouveau. Aucun changement au certificat lui-même n’était nécessaire.
Ce cas a mis en évidence que les échecs SSL ne sont souvent pas causés par une seule erreur, mais émergent des interactions entre l’évolution des chaînes CA, les magasins de confiance des plateformes, le comportement des logiciels serveur, et les mécaniques de livraison de certificats. La solution de Xamisoft a réparé le chemin de livraison entre l’infrastructure CA moderne et la confiance client héritée.
Coppernic : Android 6 a échoué après une réémission de certificat
Coppernic est une entreprise technologique française qui conçoit et développe des solutions matérielles et logicielles mobiles professionnelles pour l’identification, le contrôle d’accès et les systèmes de collecte de données.
Le problème
Le problème est apparu lors d’un remplacement de certificat de routine uniquement sur les appareils Android hérités. Coppernic était en train de passer d’un certificat SSL existant à un nouveau certificat commandé.
L’installation elle-même s’est déroulée comme prévu. Les navigateurs de bureau ont accepté le certificat sans avertissements. Aucune mauvaise configuration côté serveur n’était visible. Pourtant, les terminaux Android 6.0.1 ne pouvaient plus établir une connexion de confiance.
Le certificat était valide, correctement installé, et émis par une autorité de certification légitime, pourtant ces appareils l’ont rejeté. Le certificat précédent avait fonctionné. Rien d’autre dans l’infrastructure n’avait changé.
Analyse de la cause racine
La seule différence était la chaîne. Le nouveau certificat était émis sous la hiérarchie mise à jour de Sectigo, utilisant l’intermédiaire R46. Cette chaîne fait partie du processus de migration racine de Sectigo. Elle est conforme et approuvée par les plateformes modernes, mais de nombreux anciens magasins de confiance Android ne contiennent pas les ancres nécessaires pour la valider.
Coppernic a identifié la situation précisément :
« Il semble que le nouveau certificat CA (R46) ne soit pas intégré.«
Ils ont tenté de restaurer la compatibilité en ajoutant le certificat USERTrust, mais cela n’a pas aidé. Les appareils Android ont toujours rejeté la chaîne. Le problème n’était pas des fichiers manquants sur le serveur, mais l’absence d’un chemin de confiance compatible sur les appareils eux-mêmes.
À ce moment-là, la question a évolué de l’installation vers la compatibilité.

Notre diagnostic
Notre équipe de support a confirmé que le comportement correspondait à la migration de chaîne CA de Sectigo. À partir de mi-2025, les nouveaux certificats étaient émis sous des hiérarchies mises à jour par défaut, y compris la chaîne R46. Bien que valide et approuvée par les plateformes modernes, ce chemin de confiance n’était pas présent dans de nombreux anciens magasins de confiance Android.
Nous avons également clarifié qu’ajouter des certificats comme USERTrust n’affecterait pas les appareils Android. Android valide la confiance exclusivement contre son magasin interne. Si l’appareil ne reconnaît pas le chemin d’émission, aucun changement côté serveur ne peut annuler l’échec.
La résolution
La solution pratique était de réémettre le certificat en utilisant une CA à signature croisée.
Après que Coppernic ait contacté Sectigo, le certificat a été réémis sous une chaîne à signature croisée qui préservait un chemin vers une racine plus ancienne, encore approuvée. Aucun changement d’infrastructure n’était nécessaire. Seul le chemin de confiance a été ajusté.
Une fois le certificat réémis déployé :
- Les appareils Android 6.0.1 se connectaient normalement.
- Les plateformes de bureau continuaient à faire confiance au certificat.
- L’incompatibilité a disparu immédiatement.
Ce cas est important car il isole le problème à une seule variable. Il n’y avait pas de migration serveur ou d’incohérence de livraison de chaîne. Les deux certificats étaient valides, mais seul l’un était utilisable en production.
L’expérience de Coppernic montre à quelle vitesse la compatibilité peut s’effondrer lorsqu’une autorité de certification fait avancer son émission par défaut. Un chemin de confiance plus récent n’est pas automatiquement plus large. Dans des environnements qui dépendent encore de flottes Android héritées, il peut être plus étroit et plus fragile.
Comment les appareils décident de faire confiance à un certificat
Quand un appareil vérifie un certificat SSL, il construit un chemin de confiance du certificat du site à travers un ou plusieurs intermédiaires vers un certificat racine déjà présent dans son magasin de confiance. Si l’appareil ne peut pas compléter ce chemin en utilisant des certificats auxquels il fait confiance, la connexion échoue, même si le certificat lui-même est valide.

Android est fragmenté par conception. Les fabricants livrent différentes versions, les calendriers de mise à jour varient, et de nombreux appareils cessent de recevoir des mises à jour système bien avant d’être remplacés. Un téléphone peut rester actif pendant des années après sa dernière mise à jour de sécurité ou de magasin de confiance. Du point de vue d’un certificat, cet appareil devient une capsule temporelle.
Les magasins de confiance vivent à l’intérieur du système d’exploitation. Si l’OS n’est pas mis à jour, le magasin de confiance ne l’est pas non plus. Cela signifie qu’un appareil peut continuer à s’appuyer sur des racines de certificats et des chemins de confiance qui étaient actuels il y a des années, mais ne s’alignent plus sur la façon dont les autorités de certification modernes émettent les chaînes.
Pourquoi ces problèmes sont difficiles à diagnostiquer
Les diagnostics SSL standards confirment que le certificat est valide, la chaîne est complète, et le serveur la sert correctement. Ce qu’ils ne valident pas, c’est si chaque appareil client dans l’écosystème peut faire confiance à cette chaîne.
Dans nos cas, toutes les vérifications conventionnelles ont réussi. Les outils de test SSL ont retourné des résultats verts, la configuration serveur était correcte, et les navigateurs de bureau fonctionnaient sans erreurs. Du point de vue de l’infrastructure, rien n’était cassé.
L’échec s’est produit en dehors de la portée des diagnostics traditionnels. Seules des classes d’appareils spécifiques (anciennes versions Android avec des magasins de confiance obsolètes) étaient affectées. Parce que la plupart des flux de validation n’incluent pas de tests de compatibilité de confiance au niveau des appareils, le problème est resté invisible jusqu’à ce que de vrais utilisateurs le rencontrent. Cela crée un angle mort de diagnostic : un certificat peut être valide, correctement installé, et entièrement conforme, tout en jetant encore des erreurs pour des utilisateurs sans méfiance.
Comment nous avons diagnostiqué le problème
Nous avons identifié le problème grâce à la reconnaissance de motifs.
Quand un certificat valide fonctionne sur les plateformes de bureau mais échoue sur des environnements mobiles spécifiques, cela pointe loin de la configuration serveur et vers la compatibilité des magasins de confiance. Ce n’est pas évident sauf si vous avez une exposition préalable aux migrations CA et au comportement de confiance au niveau des plateformes.
L’apparition d’échecs spécifiques à Android aux côtés d’une chaîne CA nouvellement introduite a immédiatement réduit la portée d’investigation. Le problème n’était plus « pourquoi SSL est cassé, » mais « quels magasins de confiance n’acceptent plus ce chemin de confiance. »
Cela nécessite de séparer deux concepts qui sont souvent mélangés :
- validité du certificat (correction cryptographique)
- confiance de l’appareil (acceptation de la plateforme)
Reconnaître cette différence nous a permis de diagnostiquer le problème rapidement et précisément.
Les chemins de résolution que nous avons offerts
Une fois que nous avons confirmé le problème de compatibilité de confiance, le corriger est devenu une question de stratégie plutôt que de réparation. Chaque option représentait un équilibre différent entre la stabilité à court terme et l’alignement à long terme avec l’écosystème de confiance.
- Réémettre en utilisant la chaîne héritée : Cela a immédiatement restauré la compatibilité avec les anciens appareils Android. C’était le moyen le plus rapide de supprimer les erreurs côté utilisateur et de stabiliser le trafic de production.
- Accepter la compatibilité partielle : Certains environnements choisissent de prioriser les plateformes modernes et d’accepter que les anciens appareils rencontrent des erreurs SSL. Cela simplifie l’infrastructure, mais limite la portée de l’audience.
- Passer à une autorité de certification différente : Migrer vers une autre CA peut fournir une compatibilité mobile à plus long terme et réduire la dépendance aux chaînes de confiance transitionnelles.
Planifier une migration par phases : Même lors de l’utilisation temporaire d’une chaîne héritée, une planification à long terme est nécessaire. Le modèle de confiance sous-jacent continuera d’évoluer, et les administrateurs de sites web doivent aborder la compatibilité de manière structurelle.
Pourquoi réémettre le cert n’est pas une solution permanente
Réémettre avec une chaîne héritée ou à signature croisée reporte le problème de compatibilité ; cela ne le supprime pas. Ces chaînes existent pour faire le pont entre les transitions, pas pour remplacer les chemins de confiance modernes.
Alors que les autorités de certification continuent de moderniser leurs hiérarchies, les anciens intermédiaires et chemins de compatibilité seront retirés. Quand cela arrivera, les mêmes motifs d’échec reviendront si les systèmes restent dépendants d’eux.
Réémettre est donc un stabilisateur, pas une solution. Cela donne du temps. La stabilité à long terme nécessite un alignement avec la façon dont les écosystèmes de confiance évoluent, pas une résistance à eux.
C’est la leçon structurelle derrière les deux études de cas.
Réflexions finales : Pourquoi les certificats « valides » échouent encore en 2026
Ce cas montre comment SSL/TLS fonctionne en pratique en 2026. Les autorités de certification vont vite. Elles font tourner les chaînes, modernisent les chemins de confiance, et répondent aux nouvelles exigences de sécurité. Les appareils ne le font pas. Sur les smartphones, de nombreux utilisateurs restent ancrés à des modèles de confiance qui sont des années derrière l’infrastructure CA actuelle.
À cause de cela, « valide » ne signifie plus automatiquement « utilisable ».
Les organisations ne devraient pas traiter SSL comme une configuration unique. Il doit être géré comme une couche de compatibilité entre :
- Les autorités de certification
- Les systèmes d’exploitation
- Les cycles de vie des appareils
- Les environnements utilisateurs
Cela signifie :
- Savoir quels appareils vos utilisateurs utilisent réellement, pas seulement les navigateurs dans lesquels vous testez.
- Tester les certificats contre de vraies plateformes mobiles, y compris les anciennes versions Android.
- Suivre les annonces CA et les migrations de chaînes comme des risques opérationnels, pas comme du bruit de fond.
- Éviter la dépendance à un seul chemin de confiance ou à une seule CA chaque fois que possible.
La flexibilité devient une propriété de sécurité. Et c’est là que le support devient une couche de stabilité, pas seulement une fonction de service d’assistance.
Chez SSL Dragon, notre équipe de support traduit les changements d’écosystème en décisions actionnables :
- reconnaître les problèmes de compatibilité de confiance
- séparer le comportement des plateformes des erreurs serveur
- choisir les stratégies d’atténuation
- protéger l’accès des utilisateurs mobiles
Nous faisons le pont entre les standards et la réalité de production. Si vous voyez des problèmes SSL inattendus sur mobile ou voulez vérifier comment votre certificat se comporte en live, lancez votre domaine dans notre SSL Checker pour voir exactement ce que voient les appareils de vos utilisateurs.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

