Un guide complet, étape par étape, à destination des visiteurs et des administrateurs de sites web pour diagnostiquer et résoudre définitivement cette erreur de sécurité du navigateur.
🌐 Chrome · Firefox · Edge · Safari🔒 SSL / TLS⚡ Mis à jour 2025👤 Utilisateurs & Admins
Section 01
Qu'est-ce que l'Erreur ERR_SSL_VERSION_OR_CIPHER_MISMATCH ?
🔒
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Votre connexion n'est pas privée. Des pirates informatiques pourraient tenter de dérober vos informations sur exemple.fr. NET::ERR_SSL_VERSION_OR_CIPHER_MISMATCH
ERR_SSL_VERSION_OR_CIPHER_MISMATCH est une erreur de sécurité du navigateur qui apparaît lorsque votre navigateur et le serveur web ne parviennent pas à s'entendre sur une version commune du protocole SSL/TLS ou sur un algorithme de chiffrement (suite de chiffrement) pour établir une connexion sécurisée.
Lorsque vous accédez à un site HTTPS, votre navigateur et le serveur effectuent un « handshake » — une courte négociation visant à déterminer les protocoles de sécurité pris en charge par les deux parties. Si aucun terrain commun n'existe — par exemple, le serveur ne prend en charge que TLS 1.0 obsolète alors que votre navigateur moderne exige au minimum TLS 1.2 — le handshake échoue et cette erreur s'affiche.
ℹ️
Bon à savoir
Cette erreur est la plus fréquente sous Google Chrome, mais elle apparaît dans tous les navigateurs majeurs sous des appellations différentes : SSL_ERROR_NO_CYPHER_OVERLAP dans Firefox, ERR_SSL_VERSION_INTERFERENCE dans Edge, et simplement un avertissement « Impossible de se connecter de façon sécurisée » dans Safari.
Cette erreur est une fonctionnalité de sécurité, pas un défaut. Les navigateurs bloquent intentionnellement les connexions vers des serveurs utilisant un chiffrement dangereusement obsolète ou faible, afin de protéger les utilisateurs contre d'éventuelles attaques de l'intercepteur (man-in-the-middle) et l'interception de données.
Section 02
Causes les Plus Fréquentes de ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Comprendre pourquoi cette erreur se produit est la première étape pour la résoudre. Voici les causes profondes les plus courantes :
🗝️
Protocole TLS Obsolète
Le serveur ne prend en charge que TLS 1.0 ou TLS 1.1, désactivés par défaut dans les navigateurs modernes.
🔑
Suites de Chiffrement Faibles
Le serveur utilise des algorithmes de chiffrement obsolètes (RC4, DES, 3DES) supprimés des navigateurs modernes.
📜
Certificat SSL Expiré
Un certificat expiré ou mal configuré place le serveur dans un état de handshake défaillant.
🌐
Mauvaise Configuration SNI
L'indication du nom de serveur (SNI) est absente ou mal configurée sur les hébergements mutualisés avec plusieurs domaines.
🛡️
Interférence Antivirus ou Pare-feu
Certains logiciels de sécurité interceptent le trafic SSL en utilisant leurs propres certificats, souvent périmés.
💻
Navigateur ou Système d'Exploitation Ancien
Un navigateur ou un système d'exploitation vieillissant peut ne pas prendre en charge TLS 1.3 ni les suites de chiffrement modernes requises par le serveur.
Section 03
Comment Corriger ERR_SSL_VERSION_OR_CIPHER_MISMATCH en tant que Visiteur
Si vous voyez cette erreur sur le site d'un tiers, essayez d'abord ces correctifs côté client. Procédez dans l'ordre — la plupart des utilisateurs résolvent le problème dès les trois premières étapes.
01
Mettez votre Navigateur à Jour
Pour tous les utilisateurs
Les navigateurs obsolètes ne prennent pas en charge les versions modernes de TLS ni les suites de chiffrement récentes. Mettez immédiatement votre navigateur à jour :
Chrome : Rendez-vous sur chrome://settings/help — Chrome détectera et installera automatiquement les mises à jour.
Firefox : Allez dans Aide → À propos de Firefox pour lancer une vérification automatique des mises à jour.
Edge : Ouvrez Paramètres → À propos de Microsoft Edge et suivez l'invite de mise à jour.
Après la mise à jour, redémarrez complètement le navigateur et rechargez la page.
02
Videz le Cache SSL, le Cache et les Cookies
Pour tous les utilisateurs
Un cache SSL corrompu peut provoquer des échecs persistants du handshake, même sur des serveurs correctement configurés.
Dans Chrome, ouvrez Paramètres → Confidentialité et sécurité → Effacer les données de navigation.
Cochez « Images et fichiers en cache », « Cookies » et « Données d'application hébergées ». Sélectionnez « Toujours » comme période.
Sur Windows, videz également le cache SSL système : ouvrez Options Internet → onglet Contenu → cliquez sur Effacer l'état SSL.
Redémarrez le navigateur et rechargez la page.
03
Désactivez Temporairement l'Analyse SSL de l'Antivirus
Pour les utilisateurs dotés d'un logiciel de sécurité
De nombreux antivirus (Kaspersky, Avast, ESET, Bitdefender) interceptent les connexions HTTPS pour les analyser. Si leur certificat intégré est périmé, cette erreur se déclenche.
Ouvrez le panneau de configuration de votre antivirus.
Recherchez les options intitulées « Analyse SSL », « Analyse HTTPS » ou « Web Shield ».
Désactivez temporairement cette fonctionnalité et rechargez le site web.
Si l'erreur disparaît, mettez votre antivirus à jour — cela résout généralement le conflit de façon permanente.
⚠️
Attention
Ne laissez pas l'analyse SSL désactivée de façon permanente. Réactivez-la dès que vous avez mis à jour votre antivirus.
04
Vérifiez et Corrigez la Date et l'Heure du Système
Pour tous les utilisateurs
Une horloge système incorrecte provoque l'échec de la validation du certificat SSL, ce qui peut se manifester par une erreur d'incompatibilité de chiffrement. Assurez-vous que la date, l'heure et le fuseau horaire sont corrects et configurés pour se synchroniser automatiquement.
Windows : Faites un clic droit sur l'horloge de la barre des tâches → Régler la date et l'heure → activez « Définir l'heure automatiquement ».
macOS : Allez dans Réglages système → Général → Date et heure → activez la synchronisation automatique.
Redémarrez le navigateur après avoir corrigé l'heure.
05
Mettez à Jour votre Système d'Exploitation
Pour tous les utilisateurs
Les systèmes d'exploitation anciens comme Windows 7 ou macOS 10.12 ne prennent pas en charge TLS 1.3 nativement. Mettre à jour votre système garantit que la pile TLS sous-jacente est suffisamment moderne pour les serveurs web actuels.
Windows : Ouvrez Paramètres → Windows Update et installez toutes les mises à jour en attente.
macOS : Allez dans Réglages système → Général → Mise à jour de logiciels.
Redémarrez le système après l'installation des mises à jour.
Section 04
Comment Corriger ERR_SSL_VERSION_OR_CIPHER_MISMATCH en tant qu'Administrateur Web
Si vous êtes le propriétaire ou l'administrateur du site concerné, la cause profonde est presque toujours une mauvaise configuration côté serveur. Voici comment diagnostiquer et résoudre le problème.
✅
Avant de Commencer
Analysez votre domaine avec le SSL Labs Server Test (ssllabs.com/ssltest) — il vous attribue une note alphabétique, identifie précisément les versions de TLS et les suites de chiffrement prises en charge, et signale les problèmes spécifiques en langage clair.
01
Activez TLS 1.2 et TLS 1.3 — Désactivez TLS 1.0 et 1.1
Administrateurs de serveur
Les navigateurs modernes exigent au minimum TLS 1.2. TLS 1.0 et 1.1 ont été officiellement dépréciés par l'IETF et sont désactivés dans tous les navigateurs majeurs depuis 2022.
/etc/apache2/sites-available/votre-site.conf<VirtualHost *:443>
SSLEngine on
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder off
</VirtualHost>
💡
Conseil
Après avoir modifié votre configuration, exécutez toujours nginx -t ou apachectl configtest avant de recharger le service pour détecter les erreurs de syntaxe.
02
Renouvelez ou Réinstallez votre Certificat SSL
Administrateurs de serveur
Un certificat expiré, auto-signé (en production) ou mal installé est un déclencheur courant. Utilisez une autorité de certification (CA) de confiance comme Let's Encrypt pour obtenir des certificats gratuits avec renouvellement automatique.
Certbot configurera automatiquement Nginx/Apache et programmera le renouvellement automatique.
Vérifiez le renouvellement avec : sudo certbot renew --dry-run
03
Corrigez la Configuration SNI (Server Name Indication)
Hébergement mutualisé / plusieurs domaines
Le SNI permet de disposer de plusieurs certificats SSL sur la même adresse IP. Sans une configuration SNI correcte, le serveur peut fournir le mauvais certificat — ou aucun certificat du tout.
Si vous êtes sur un hébergement mutualisé, contactez votre hébergeur pour confirmer que le SNI est activé pour votre domaine. Sur des serveurs autogérés, assurez-vous que chaque hôte virtuel possède ses propres directives ssl_certificate et ssl_certificate_key pointant vers les bons fichiers de certificat.
04
Vérifiez les Paramètres SSL du CDN et du Proxy Inverse
Sites utilisant Cloudflare, AWS ou un autre CDN
Si votre site est derrière Cloudflare, AWS CloudFront ou un autre CDN, l'erreur SSL peut provenir de la connexion du CDN à votre serveur d'origine — et non du tronçon client-CDN.
Dans Cloudflare : accédez à SSL/TLS → Vue d'ensemble et définissez le mode sur Complet (strict).
Sous SSL/TLS → Certificats de périphérie, définissez la version TLS minimale sur TLS 1.2.
Assurez-vous que le serveur d'origine dispose également d'un certificat valide, pas seulement la périphérie du CDN.
Section 05
Versions du Protocole TLS : Lesquelles Sont Sûres en 2025 ?
Toutes les versions de TLS ne se valent pas. Voici un tableau de référence rapide pour comprendre quelles versions votre serveur devrait utiliser :
Version TLS
Publication
Statut
Support Navigateurs
SSL 3.0
1996
🔴 Dépréciée — attaque POODLE (2014)
Bloquée dans tous les navigateurs
TLS 1.0
1999
🔴 Dépréciée — attaques BEAST, POODLE
Désactivée depuis 2020
TLS 1.1
2006
🟡 Dépréciée par l'IETF (RFC 8996)
Désactivée depuis 2021
TLS 1.2
2008
🟢 Prise en charge — minimum requis
Entièrement supportée
TLS 1.3
2018
🟢 Recommandée — la plus rapide et la plus sûre
Entièrement supportée
La conclusion est sans appel : votre serveur doit prendre en charge TLS 1.2 au minimum, TLS 1.3 étant fortement recommandé pour les performances et la sécurité.
Section 06
Comprendre les Suites de Chiffrement et Pourquoi Elles Comptent
Une suite de chiffrement est une combinaison nommée d'algorithmes cryptographiques utilisés lors du handshake TLS et de la communication chiffrée qui s'ensuit. Le nom d'une suite de chiffrement type ressemble à ceci :
Anatomie d'une Suite de ChiffrementTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS → Protocole
ECDHE → Échange de clés (Diffie-Hellman éphémère sur courbe elliptique)
RSA → Authentification
AES_256_GCM → Chiffrement en masse (AES 256 bits en mode Galois/Counter)
SHA384 → Authentification de message (HMAC)
Suites de Chiffrement Recommandées pour TLS 1.2
Les suites de chiffrement suivantes sont considérées comme robustes, modernes et compatibles avec tous les navigateurs actuels :
Suite de Chiffrement
Sécurité
Remarques
ECDHE-ECDSA-AES128-GCM-SHA256
🟢 Robuste
Privilégiée pour les certificats ECDSA
ECDHE-RSA-AES128-GCM-SHA256
🟢 Robuste
Large compatibilité avec les certificats RSA
ECDHE-ECDSA-AES256-GCM-SHA384
🟢 Robuste
Pour les environnements à haute assurance
ECDHE-RSA-CHACHA20-POLY1305
🟢 Robuste
Excellente pour les appareils mobiles
RC4-SHA
🔴 Cassée
RC4 est cryptographiquement compromis
DES-CBC3-SHA
🔴 Cassée
Vulnérable à l'attaque SWEET32
Section 07
Solutions par Navigateur pour les Erreurs d'Incompatibilité de Chiffrement SSL
Google Chrome
Chrome applique les règles SSL les plus strictes. Pour accéder temporairement à un ancien site interne, vous pouvez lancer Chrome avec des paramètres de sécurité réduits — ne faites jamais cela en production ni pour des sites publics.
Chrome (Windows — tests uniquement, ne pas utiliser en production)chrome.exe --ignore-certificate-errors --ignore-ssl-errors
🚨
Risque de Sécurité
L'utilisation du paramètre --ignore-certificate-errors vous expose à de véritables risques de sécurité. Ne l'utilisez que dans des environnements de test isolés sur localhost ou des réseaux privés. Ne l'utilisez jamais pour contourner des erreurs sur des sites web publics.
Mozilla Firefox
Firefox permet d'activer les anciennes versions TLS via son panneau de configuration avancée — utile pour accéder à d'anciens systèmes intranet.
Tapez about:config dans la barre d'adresse et acceptez l'avertissement.
Recherchez security.tls.version.min.
La valeur par défaut est 3 (TLS 1.2). La passer à 1 (TLS 1.0) active temporairement la prise en charge héritée.
Rétablissez cette modification dès que vous n'en avez plus besoin.
Microsoft Edge
Edge utilise le même moteur sous-jacent que Chrome (Chromium) et applique donc des règles TLS identiques. La démarche de correction est la même : mettez Edge à jour via edge://settings/help et assurez-vous que Windows est entièrement à jour.
Safari (macOS / iOS)
Safari délègue la gestion du TLS au système d'exploitation macOS/iOS. La solution consiste presque toujours à mettre macOS ou iOS à jour vers la dernière version, ce qui met également à jour le framework Secure Transport sous-jacent.
Section 08
Outils de Diagnostic pour Identifier les Problèmes SSL et de Chiffrement
Avant d'apporter des modifications au serveur, utilisez ces outils pour obtenir une image précise de ce qui pose réellement problème :
Outil
Type
Ce qu'il Analyse
SSL Labs Server Test ssllabs.com/ssltest
En ligne
Config TLS complète, suites de chiffrement, chaîne de certificats, support des protocoles, HTTP/2
SSL Checker sslshopper.com/ssl-checker.html
En ligne
Validité du certificat, date d'expiration, chaîne de confiance
OpenSSL CLI
Ligne de commande
Tests directs de négociation de protocole
Hardenize
En ligne
Rapport complet sur les en-têtes de sécurité web + TLS
Chrome DevTools
Intégré
Le panneau Sécurité affiche la version TLS exacte et le chiffrement utilisés pour la page en cours
Test Rapide avec OpenSSL
Utilisez cette commande pour tester rapidement les versions TLS prises en charge par un serveur depuis votre terminal :
Bash — Test de prise en charge des versions TLS# Tester la prise en charge de TLS 1.2
openssl s_client -connect votredomaine.fr:443 -tls1_2
# Tester la prise en charge de TLS 1.3
openssl s_client -connect votredomaine.fr:443 -tls1_3
# Afficher les détails complets du handshake
openssl s_client -connect votredomaine.fr:443 -showcerts
Section 09
Mettre à Jour votre Configuration TLS ou Conserver le Support Hérité ?
Pour la grande majorité des sites web, la réponse est claire : mettez à jour immédiatement. Toutefois, certains scénarios (systèmes internes hérités, interfaces d'équipements industriels) nécessitent une réflexion approfondie.
✅ Passer à TLS 1.2 / 1.3
Résout l'erreur pour tous les navigateurs modernes sans exception
Améliore considérablement la posture de sécurité face aux attaques connues
Obligatoire pour la conformité PCI-DSS (depuis 2018)
Active HTTP/2 et HTTP/3, améliorant les performances du site
Les certificats Let's Encrypt sont gratuits et se renouvellent automatiquement
⚠️ Risques du Maintien de TLS Hérité
Les attaques BEAST, POODLE et DROWN exploitent les anciennes versions TLS
Échec aux audits PCI-DSS, HIPAA et autres référentiels de conformité
Bloqué par tous les navigateurs majeurs — site inaccessible pour la plupart des utilisateurs
Atteinte à la réputation et perte de confiance des utilisateurs
Impossible de bénéficier des gains de performance d'HTTP/2
Section 10
Foire aux Questions sur ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Q
Est-il dangereux de contourner ERR_SSL_VERSION_OR_CIPHER_MISMATCH ?
▼
Oui — cette erreur signifie que votre navigateur et le serveur ne peuvent pas établir de connexion chiffrée et de confiance. La contourner vous expose à d'éventuelles attaques de l'intercepteur (man-in-the-middle) où un attaquant pourrait dérober des données sensibles telles que des mots de passe ou des informations bancaires. Ne contournez jamais cette erreur sur des réseaux publics ou non fiables. Si vous testez un serveur de développement local, le contournement est acceptable en connaissance de cause.
Q
Pourquoi cette erreur n'apparaît-elle que sur certains sites et pas sur d'autres ?
▼
L'erreur ne survient que lorsqu'il existe une incompatibilité entre ce que votre navigateur prend en charge et ce que le serveur en question propose. Les serveurs modernes et bien maintenus supportent TLS 1.2 et 1.3 — votre navigateur s'y connecte sans problème. Les serveurs anciens ou mal configurés qui ne supportent que TLS 1.0/1.1 ou des suites de chiffrement faibles déclencheront l'erreur à chaque visite.
Q
L'erreur n'apparaît que sur mon ordinateur, pas sur les autres. Pourquoi ?
▼
Cela pointe généralement vers un problème côté client : analyse SSL de l'antivirus avec un certificat périmé, cache SSL corrompu, navigateur obsolète ou date et heure système incorrectes. Commencez par les correctifs de la Section 3 de ce guide — notamment désactiver l'analyse HTTPS de l'antivirus et vider l'état SSL.
Q
Un VPN peut-il provoquer ERR_SSL_VERSION_OR_CIPHER_MISMATCH ?
▼
Oui. Certains clients VPN, notamment les solutions VPN d'entreprise anciennes, interceptent le trafic TLS en utilisant leurs propres certificats ou forcent le trafic à transiter par un ancien proxy TLS. Essayez de vous déconnecter de votre VPN et de recharger la page. Si l'erreur disparaît, contactez votre fournisseur VPN ou le service informatique pour obtenir un client mis à jour.
Q
Comment savoir si la version TLS de mon serveur a bien été mise à jour ?
▼
Utilisez le SSL Labs Server Test sur ssllabs.com/ssltest pour analyser votre domaine. Il fournit un rapport détaillé indiquant les versions TLS et les suites de chiffrement actives, la validité de votre certificat et une note globale de A+ à F. Visez une note A ou A+. Vous pouvez également vérifier dans Chrome DevTools en appuyant sur F12, en allant dans l'onglet Sécurité et en cliquant sur « Afficher le certificat ».
Q
Cette erreur affecte-t-elle le référencement naturel (SEO) ?
▼
Indirectement, oui. Google utilise HTTPS comme signal de classement et explore les sites avec Chrome. Si votre serveur présente cette erreur SSL, Googlebot risque de ne pas pouvoir indexer vos pages de manière fiable, ce qui peut entraîner une baisse du classement. De plus, le fort taux de rebond provoqué par les utilisateurs confrontés à cette erreur affectera négativement les signaux d'expérience utilisateur. Corriger la configuration TLS est une priorité à la fois pour la sécurité et pour le référencement.
🔐 Résumé et Points Clés
ERR_SSL_VERSION_OR_CIPHER_MISMATCH est presque toujours corrigeable. Pour les visiteurs, les premières mesures les plus efficaces sont de mettre le navigateur à jour, de vider le cache SSL et de désactiver l'analyse HTTPS de l'antivirus. Pour les propriétaires de sites, la solution consiste à s'assurer que le serveur prend en charge TLS 1.2 et TLS 1.3 avec des suites de chiffrement modernes, dispose d'un certificat valide et est correctement configuré pour le SNI si plusieurs domaines sont hébergés.
Utilisez le SSL Labs Server Test pour auditer votre configuration, visez la note A+, et configurez le renouvellement automatique des certificats avec Let's Encrypt pour éviter toute interruption future. Avec un TLS moderne en place, vos visiteurs bénéficieront de connexions plus rapides et plus sûres — et cette erreur ne sera plus qu'un mauvais souvenir.