Certificat EV SSL - Un certificat utilisé pour configurer la prise en charge HTTPS sur un site. Pour obtenir un certificat EV, vous devez confirmer l'existence de l'entreprise au nom de laquelle le certificat est émis auprès d'un centre de certification. Les navigateurs affichent des informations sur l'existence de l'entreprise devant le nom de domaine du site.
Les certificats EV utilisent les mêmes méthodes de sécurité que les certificats DV et OV : un niveau de protection plus élevé est fourni par la nécessité de confirmer l'existence d'une entreprise auprès d'une autorité de certification. Les critères d'émission des certificats EV sont définis par un document spécial : les directives pour la validation étendue (Guidelines for Extended Validation). Actuellement (au 1er août 2019), la version de ce document est la 1.7.0. Le manuel a été élaboré par le CA / Browser Forum, une organisation dont les membres sont des autorités de certification et des fournisseurs de logiciels Internet, ainsi que des représentants des professions juridiques et d'audit.
Historique
En 2005, le PDG de Comodo Group, Melih Abdulkhayoglu, a convoqué la première réunion de l'organisation, qui allait devenir le CA / Browser Forum. L'objectif de la réunion était d'améliorer les normes d'émission des certificats SSL / TLS. Le 12 juin 2007, le CA / Browser Forum a officiellement ratifié la première version du Guide de vérification avancée, et le document a pris effet immédiatement. L'approbation formelle a permis de compléter la fourniture d'une infrastructure pour l'identification des sites web de confiance sur Internet. Puis, en avril 2008, le CA / Browser Forum a annoncé la publication d'une nouvelle version du Guide (1.1). La nouvelle version était basée sur l'expérience des autorités de certification et des fabricants de logiciels.
La motivation pour obtenir un certificat
Une motivation importante pour utiliser des certificats numériques avec SSL / TLS est d'accroître la confiance dans les transactions en ligne. Cela exige que les opérateurs de sites web soient testés pour obtenir un certificat. Toutefois, la pression commerciale a incité certaines autorités de certification à introduire des certificats de niveau inférieur (validation de domaine). Les certificats de validation de domaine existaient avant la validation étendue et, en règle générale, leur obtention ne nécessite qu'une certaine confirmation du contrôle du domaine. En particulier, les certificats de validation de domaine n'affirment pas que cette entité juridique a une quelconque relation avec le domaine, bien qu'il puisse être écrit sur le site qu'il appartient à une entité juridique.
Au début, les interfaces utilisateur de la plupart des navigateurs ne faisaient pas de distinction entre les certificats de validation de domaine et les certificats de validation étendue. Étant donné que toute connexion SSL / TLS réussie se traduisait par une icône de cadenas vert dans la plupart des navigateurs, il était peu probable que les utilisateurs sachent si le site de validation étendue était confirmé ou non (en janvier 2019, Chrome a supprimé les icônes vertes dans le navigateur). Par conséquent, les escrocs (y compris ceux impliqués dans le phishing) pouvaient utiliser TLS pour accroître la crédibilité de leurs sites web. Les utilisateurs des navigateurs plus récents peuvent toujours vérifier l'identité des propriétaires de certificats en examinant les informations relatives au certificat émis qui y sont indiquées (y compris le nom de l'organisation et son adresse).
Les certificats EV sont vérifiés pour s'assurer de leur conformité aux exigences de base et aux exigences avancées. La vérification manuelle des noms de domaine demandés par le demandeur, la vérification par des sources gouvernementales officielles, la vérification par des sources d'information indépendantes et les appels téléphoniques à l'entreprise sont nécessaires. Si le certificat a été émis, le numéro de série de l'entreprise enregistrée par l'autorité de certification, ainsi que l'adresse physique, y sont stockés.
Les certificats EV sont conçus pour accroître la confiance des utilisateurs dans le fait que l'opérateur du site web est une organisation réellement existante. Néanmoins, on craint toujours que le même manque de responsabilité qui a conduit à la perte de confiance du public dans les certificats DV n'entraîne la perte de la valeur des certificats EV.
Critères de livraison
Seules les autorités de certification qui ont passé un audit qualifié indépendant peuvent proposer des certificats EV, et tous les centres doivent respecter les exigences de publication, qui visent à :
- Établir l'existence d'une entité juridique et du propriétaire du site ;
- Établir le fait qu'une entité juridique possède ce domaine ;
- Confirmation de l'identité du propriétaire du site et de l'autorité des personnes agissant au nom du propriétaire du site.
À l'exception des certificats EV pour les domaines .onion, il n'est pas possible d'obtenir un certificat Wildcard avec Extended Validation - au lieu de cela, tous les noms de domaine pleinement qualifiés doivent être inclus dans le certificat et vérifiés par une autorité de certification.
Interface utilisateur
Les navigateurs compatibles EV affichent la disponibilité du certificat, généralement une combinaison du nom de l'organisation et de son emplacement. Les navigateurs Microsoft Internet Explorer, Mozilla Firefox, Safari, Opera et Google Chrome prennent en charge EV.
Les règles de vérification étendue exigent que les autorités de certification participantes attribuent un identifiant EV spécifique une fois que l'autorité de certification a terminé un audit indépendant et que d'autres critères ont été remplis. Les navigateurs mémorisent cet identifiant, font correspondre l'identifiant EV dans le certificat avec celui du navigateur pour l'autorité de certification en question : s'ils correspondent, le certificat est reconnu comme valide. Dans de nombreux navigateurs, un certificat EV est signalé par :
- Le nom de la société ou de l'organisation à laquelle appartient le certificat.
- Une couleur distinctive, généralement verte, affichée dans la barre d'adresse, qui indique que le certificat a été reçu en tant que HTTPS.
- Le symbole du « cadenas » se trouve également dans la barre d'adresse. En cliquant sur le « cadenas », vous pouvez obtenir plus d'informations sur le certificat, y compris le nom de l'autorité de certification qui a émis le certificat EV.
