SSL Les certificats sont utilisés pour le cryptage et la validation. Le cryptage garantit que le trafic ne peut pas être altéré par des oreilles indiscrètes et renforce la confidentialité et l'intégrité des informations dans toute transaction. La validation garantit que les deux parties qui communiquent sont bien celles qu'elles prétendent être.
La nécessité de renforcer la vérification de l'identité a incité le forum CA/Browser (CAB) à créer les certificats de validation étendue (EV Certificates).
C'est un peu long à dire. Mais voici à quoi ils ressemblent.
Cependant, cela fait longtemps que je n'ai pas vu un tel certificat dans un navigateur web. Comme le souligne Troy Hunt, les certificats EV sont probablement morts et ils ne sont même pas utilisés par les dix premiers sites web de l'internet.
Bien que l'utilisation des certificats EV commence à s'essouffler, vous pouvez toujours acheter des certificats EV auprès de certaines des principales autorités de certification publiques. Voyons ce qu'il en est et si les certificats EV valent la peine d'être achetés.
Qu'est-ce qu'un certificat EV ?
Un certificat EV est le niveau le plus élevé des certificats SSL . Tous les certificats SSL - Extended Validation (EV), Organization Validated (OV) et Domain Validated (DV) - assurent le cryptage et l'intégrité des données. Cependant, ils varient en fonction de la rigueur du processus de vérification de l'identité du propriétaire du site web. Un certificat EV fournit le plus haut niveau d'assurance d'identité numérique en vérifiant l'identité légale du propriétaire d'un site web.
Selon les lignes directrices pour la délivrance et la gestion des certificats de validation étendue, la fonction première d'un certificat de validation étendue est la suivante :
"Identifier l'entité juridique qui contrôle un site web : Fournir une assurance raisonnable à l'utilisateur d'un navigateur Internet que le site Web auquel il accède est contrôlé par une entité juridique spécifique identifiée dans le certificat EV par son nom, l'adresse de son lieu d'activité, sa juridiction de constitution ou d'enregistrement et son numéro d'enregistrement ou d'autres informations permettant d'éviter toute ambiguïté".
La confirmation de l'identité du site web est effectuée conformément aux lignes directrices rigoureuses du forum CAB et implique un processus de vérification strict par une autorité de certification publique. L'autorité de certification doit valider l'identité opérationnelle et physique de la personne qui demande un certificat EV. Pour ce faire, elle confirme l'identité légale du propriétaire du site et que le demandeur est le propriétaire et l'unique contrôleur du domaine. En raison du processus rigoureux de vérification de l'identité du propriétaire du site web, un certificat EV offre un degré élevé de confiance aux visiteurs du site web.
Avant l'automne 2019, un visiteur d'un site web validé par EV pouvait distinguer ce site soit par le nom du site web en texte vert, soit sur une barre verte qui affichait le nom légal et la localisation géographique de l'entreprise propriétaire du certificat. Toutefois, à partir de cette période, Mozilla Firefox et Google Chrome ont supprimé cette indication. Tous les certificats SSL affichent désormais un cadenas gris dans la barre d'adresse du navigateur.
Si vous voulez savoir si le site utilise un certificat EV, vous devez maintenant cliquer sur le cadenas gris pour vérifier.
Quels sont les cas d'utilisation ?
Bien que les certificats EV soient plus coûteux à acquérir et que le processus de vérification soit plus difficile et prenne plus de temps que pour les autres certificats SSL , ils présentent certains avantages tangibles.
Tout d'abord, ils peuvent compliquer la vie des ingénieurs sociaux. Les sites de phishing se faisant passer pour des organisations et des entreprises légitimes constituent une menace majeure pour les utilisateurs et les services en ligne, et l'un des principaux vecteurs de vol ou de compromission de données sensibles et personnelles. Les criminels peuvent acheter des certificats DV bon marché sur le marché noir pour faire passer leurs sites pour légitimes et dignes de confiance et inciter des victimes peu méfiantes à communiquer à leur insu des informations financières ou d'autres données personnelles.
Les sites web frauduleux et les sites d'hameçonnage constituent un problème croissant et soulignent la nécessité d'une vérification solide de l'identité en ligne. Les visiteurs ont besoin d'une assurance raisonnable de l'identité de l'entreprise avec laquelle ils traitent, afin d'établir et de maintenir la confiance avec cette entreprise et de se sentir plus en sécurité lors des transactions en ligne. Les certificats EV peuvent protéger les entreprises clientes contre les attaques d'hameçonnage en affichant l'identité vérifiée de l'opérateur du site directement dans le certificat.
Outre la protection contre l'hameçonnage, les certificats EV sont un excellent moyen de démontrer la conformité aux exigences en matière de sécurité et de protection de la vie privée édictées dans divers règlements, lois et actes. HIPAA, PCI DSS et GDPR exigent que les entreprises protègent les données médicales, financières et personnelles de leurs clients contre les violations. Les certificats EV peuvent aider les entreprises à garantir un audit réussi par rapport à ces exigences.
Malgré les avantages susmentionnés, les certificats EV ne conviennent pas à tout le monde. Les organisations doivent examiner la valeur ajoutée de ces certificats. Ils conviennent mieux aux sites web à forte notoriété que les pirates ciblent généralement pour des attaques de phishing, comme les grands détaillants, les banques, les institutions financières ou les entités gouvernementales en contact avec le public. En fait, tout site web collectant des données, traitant des identifiants ou des paiements en ligne peut bénéficier de l'affichage de son identité de marque vérifiée. Les certificats EV peuvent être utilisés dans toutes les applications qui nécessitent une garantie d'identité plus forte et un niveau de confiance élevé.
Avantages des certificats EV par rapport aux certificats DV
Les certificats validés par domaine (certificats DV en abrégé) sont la forme la plus basique des certificats SSL . Ils sont peu coûteux à obtenir et le processus d'émission est rapide. La procédure de vérification confirme que le domaine est contrôlé par la partie qui demande le certificat. L'autorité de certification confirme l'adresse du domaine en consultant l'enregistrement WHOIS ou fournit un fichier de vérification que le propriétaire place sur le site web à protéger, ou le demandeur crée un enregistrement DNS vérifiant le contrôle du domaine.
Les certificats DV chiffrent le trafic, comme n'importe quel autre certificat, mais le niveau de vérification de l'identité est faible. L'avantage des certificats EV par rapport aux certificats DV se situe au niveau de l'identification. Les certificats DV vérifient l'identité du serveur, tandis que les certificats EV vérifient l'identité organisationnelle légale du site web. Si l'on ajoute les mauvaises procédures de gestion des certificats qui aboutissent à des certificats compromis ou volés, il devient plus difficile de distinguer un certificat DV valide d'un autre qui ne l'est pas. En revanche, il est plus rare de trouver des certificats EV volés sur le marché noir et, si c'est le cas, ils sont beaucoup plus chers que les certificats DV volés.
Cependant, tout dépend du facteur humain. Un certificat EV signifie que le domaine appartient à une entité juridique enregistrée. Il ne signifie pas que ce site est digne de confiance de facto et de jure. En 2016, Troy Hunt a souligné à juste titre que l'efficacité des certificats EV dépend de la manière dont les personnes et les organisations prennent conscience de leur valeur et agissent pour les protéger. Quelques années plus tard, il pense que l'époque de l'utilisation des certificats EV est révolue.
Néanmoins, pour que les certificats EV soient efficaces, il faut des contrôles techniques pour gérer leur cycle de vie, qui peuvent être appliqués sans dépendre de l'utilisateur.
C'est là que l 'automatisation de la gestion du cycle de vie des certificats s'avère utile. Keyfactor vous permet de découvrir, de gérer et d'automatiser chaque certificat au sein de votre entreprise. La plateforme vous aide à passer d'une réponse réactive à une visibilité et une automatisation proactives grâce à une infrastructure de clés publiques automatisée de bout en bout (PKI) et à une solution de gestion des certificats.
