web-dev-qa-db-fra.com

SSL contre EV SSL

Si je comprends bien, les certificats SSL vérifient la connexion entre l'hôte et le navigateur, empêchant ainsi les attaques MITM. Est-il vrai que EV SSL vérifie l'hôte lui-même, empêchant ainsi (en théorie) les attaques de phishing? Existe-t-il d'autres différences entre EV SSL et SSL standard?

5
waiwai933

Les certificats SSL sont utilisés pour établir une connexion chiffrée entre le client et le serveur. La vérification de l'identité est en théorie effectuée par l'émetteur du certificat avant l'émission du certificat .

Mais le marché SSL est un peu une arnaque, vraiment. De nombreux certificats SSL sont émis avec un minimum absolu de vérification de l'identité. Vous pouvez facilement trouver des certificats SSL pour moins de 20 USD et combien de travail de détective pouvez-vous obtenir pour 20 USD ... Et notez bien que ce ne sont pas des certificats auto-signés, mais des certificats ayant la même racine que ceux qui sont chers de Comodo , Thawte etc.

Les certificats de validation étendue (EV) ne diffèrent que par un aspect, mais c'est un aspect important: Il existe des normes claires normes minimales pour la vérification de l'identité avant de délivrer le certificat. Sur cette base, tous les navigateurs modernes accordent aux certificats EV un traitement beaucoup plus important dans l’interface utilisateur - le ' barre verte '.

Donc, la grande question pour les propriétaires de sites est "Les certificats EV réduisent-ils le taux d'abandon?" . Comme on pouvait s'y attendre, les émetteurs de certificats ont publié des livres blancs indiquant qu'ils fonctionnent, et valent bien leur prix beaucoup plus élevé. Je ne suis pas si sûr. J'ai cherché des preuves indépendantes de cela et je n'en ai encore vu aucune.

Obtenir un certificat SSL normal est facile, en obtenir un est beaucoup plus difficile. Vous devrez généralement franchir plus d'obstacles pour établir votre identité pour les certificats EV.

Est-il vrai que EV SSL vérifie l'hôte lui-même, empêchant ainsi (en théorie) les attaques de phishing?

Ils aident, mais ils n'empêchent pas les attaques de phishing. Une attaque de phishing est une autre personne qui se fait passer pour vous, dans tous les médias des sites Web au téléphone ou par fax. Si vos utilisateurs recherchent la barre verte EV avec le nom de votre entreprise, un certificat EV offre une certaine protection contre le phishing sur le Web. Mais combien d'utilisateurs y prêtent vraiment attention? Je suppose que c'est une minorité.

5
Jesper Mortensen

Est-il vrai que EV SSL vérifie l'hôte lui-même, empêchant ainsi (en théorie) les attaques de phishing?

Correct, c'est la théorie, et après avoir passé par une application EV , je peux signaler qu'ils sont incroyablement stingents. Dans notre application, l'adresse de notre société était légèrement différente en ce qui concerne ce qui était indiqué dans le registre des sociétés auquel elles faisaient référence, et notre demande a été rejetée à plusieurs reprises jusqu'à ce que tous les détails aient été triés.

1
Mark Henderson