Avez-vous déjà remarqué que votre navigateur affiche parfois le nom de l'organisation d'un site Web sur un site Web chiffré? Il s'agit d'un signe que le site Web dispose d'un certificat de validation étendu, indiquant que l'identité du site Web a été vérifiée.
Les certificats EV ne fournissent aucune force de chiffrement supplémentaire. Au lieu de cela, un certificat EV indique qu'une vérification approfondie de l'identité du site Web a eu lieu. Les certificats SSL standard fournissent très peu de vérification de l'identité d'un site Web.
Comment les navigateurs affichent les certificats de validation étendue
Sur un site Web chiffré qui n'utilise pas de certificat de validation étendu, Firefox indique que le site Web est "géré par (inconnu)".
Chrome n'affiche rien de différent et indique que l'identité du site Web a été vérifiée par l'autorité de certification qui a émis le certificat du site Web.
Lorsque vous êtes connecté à un site Web qui utilise un certificat de validation étendu, Firefox vous indique qu'il est géré par une organisation spécifique. Selon cette boîte de dialogue, VeriSign a vérifié que nous sommes connectés au vrai site PayPal, qui est géré par PayPal, Inc.
Lorsque vous êtes connecté à un site qui utilise un certificat EV dans Chrome, le nom de l'organisation apparaît dans votre barre d'adresse. La boîte de dialogue d'informations nous indique que l'identité de PayPal a été vérifiée par VeriSign à l'aide d'un certificat de validation étendu.
Le problème des certificats SSL
Il y a des années, les autorités de certification vérifiaient l'identité d'un site Web avant d'émettre un certificat. L'autorité de certification vérifierait que l'entreprise demandant le certificat était enregistrée, appelait le numéro de téléphone et vérifierait que l'entreprise était une opération légitime correspondant au site Web.
Finalement, les autorités de certification ont commencé à proposer des certificats «domaine uniquement». Celles-ci étaient moins chères, car il était moins difficile pour l'autorité de certification de vérifier rapidement que le demandeur possédait un domaine spécifique (site Web).
Les hameçonneurs ont finalement commencé à en profiter. Un phisher pourrait enregistrer le domaine paypall.com et acheter un certificat de domaine uniquement. Lorsqu'un utilisateur se connecte à paypall.com, le navigateur de l'utilisateur affiche l'icône de verrouillage standard, ce qui donne un faux sentiment de sécurité. Les navigateurs n'affichaient pas la différence entre un certificat de domaine uniquement et un certificat qui impliquait une vérification plus approfondie de l'identité du site Web.
La confiance du public dans les autorités de certification pour vérifier les sites Web a chuté - ce n'est qu'un exemple des autorités de certification qui ne font pas leur devoir de diligence. En 2011, l'Electronic Frontier Foundation a constaté que les autorités de certification avaient émis plus de 2000 certificats pour «localhost» - un nom qui fait toujours référence à votre ordinateur actuel. ( Source ) Entre de mauvaises mains, un tel certificat pourrait faciliter les attaques man-in-the-middle.
En quoi les certificats de validation étendue sont-ils différents
Un certificat EV indique qu'une autorité de certification a vérifié que le site Web est géré par une organisation spécifique. Par exemple, si un hameçonneur tentait d'obtenir un certificat EV pour paypall.com, la demande serait refusée.
Contrairement aux certificats SSL standard, seules les autorités de certification qui réussissent un audit indépendant sont autorisées à émettre des certificats EV. L'Autorité de certification / Forum des navigateurs (CA / Forum des navigateurs), une organisation volontaire d'autorités de certification et de fournisseurs de navigateurs tels que Mozilla, Google, Apple et Microsoft issues directives strictes que toutes les autorités de certification émettant des certificats de validation étendue doivent suivre. Cela empêche idéalement les autorités de certification de s'engager dans une autre «course vers le bas», où elles utilisent des pratiques de vérification laxistes pour offrir des certificats moins chers.
En bref, les directives exigent que les autorités de certification vérifient que l'organisation qui demande le certificat est officiellement enregistrée, qu'elle possède le domaine en question et que la personne qui demande le certificat agit au nom de l'organisation. Cela implique de vérifier les archives gouvernementales, de contacter le propriétaire du domaine et de contacter l'organisation pour vérifier que la personne qui demande le certificat travaille pour l'organisation.
En revanche, une vérification de certificat de domaine uniquement peut impliquer uniquement un coup d'œil aux enregistrements whois du domaine pour vérifier que le titulaire utilise les mêmes informations. L’émission de certificats pour des domaines tels que "localhost" implique que certaines autorités de certification ne font même pas autant de vérification. Les certificats EV sont, fondamentalement, une tentative de restaurer la confiance du public dans les autorités de certification et de restaurer leur rôle de gardiens contre les imposteurs.
