Quels sont les différents avantages de l'utilisation certificats de validation étendue (EV) que les certificats normaux qui fournissent également un degré de cryptage relativement élevé comme RC4, 128 bits?
Je sais que le navigateur affiche le drapeau vert pour les certificats EV. Mais y a-t-il un autre avantage que cela?
Les certificats de validation étendue sont destinés à montrer plus visiblement à l'utilisateur l'institution à laquelle ils ont été délivrés. Les aspects techniques des certificats eux-mêmes sont combinés avec des indices visuels dans l'interface utilisateur de l'application qui les vérifie: la barre verte et un nom visible à côté de la barre d'emplacement dans le navigateur.
Par exemple, le certificat EV à http://www.Paypal.com/ fera apparaître au navigateur une barre verte et affichera "Paypal, Inc." à côté de cela. Ceci est conçu non seulement pour lier le certificat au propriétaire du domaine (comme le font les certificats standard validés pour le domaine), mais aussi pour le lier à une institution plus physique (ici, Paypal, Inc.). Pour ce faire, l'autorité de certification doit vérifier que l'institution nommée est bien celle qui possède le domaine.
En fin de compte, il s'agit davantage de créer un lien plus authentifié entre le nom de domaine et le nom de l'entreprise que de créer des certificats "plus sécurisés". Du point de vue de la suite de chiffrement (qui détermine l'algorithme de chiffrement et la taille de la clé), les certificats EV ne sont pas différents des certificats DV (barre bleue).
En prenant un peu de recul, vous devez vous rendre compte que l'efficacité du HTTPS dépend de la vérification par l'utilisateur qu'il est utilisé correctement. (Le serveur n'a aucun moyen de savoir si le client est victime d'une attaque MITM sinon, à moins d'utiliser des certificats clients également.) Cela signifie que les utilisateurs doivent:
Les certificats EV sont destinés à résoudre ce dernier sous-point. Si vous savez déjà que Amazon.com
appartient à Amazon.com, Inc. ou que google.com
appartient à Google Inc., vous n'en avez pas vraiment besoin.
Je ne suis pas personnellement convaincu que cette approche fonctionne complètement, car elles peuvent être utilisées à mauvais escient (voir l'exemple NatWest/RBS ci-dessous) et certaines autorités de certification semblent propager des informations vagues (et potentiellement trompeuses) sur ce qu'elles sont réellement, dans le but de promouvoir leur.
En général, si vos utilisateurs savent déjà que votre nom de domaine est le vôtre, vous n'en avez pas vraiment besoin.
Voici plus de détails d'un réponse précédente que j'ai donnée à une question similaire :
[...]
Les certificats validés par domaine vous garantissent que le certificat a été délivré au propriétaire de ce domaine. Pas plus, mais pas moins (je suppose que la procédure de validation était correcte ici). Dans de nombreux cas, cela suffit. Tout dépend si le site Web que vous faites la promotion doit être lié à une institution déjà bien connue hors ligne. Les certificats validés par rapport à une organisation (certificats OV et EV) sont principalement utiles lorsque vous devez également lier le domaine à une organisation physique.
Par exemple, il est utile pour une institution qui était initialement connue via son immeuble (par exemple Bank of America) de pouvoir dire qu'un certificat pour
bankofamerica.com
est en effet pour l'endroit où vous avez donné votre argent physique. Dans ce cas, il est logique d'utiliser un certificat OV ou EV. Cela peut également être utile en cas d'ambiguïté quant à l'institution derrière le nom de domaine (par exempleApple.com
etApple.co.uk
), ce qui est encore plus important, c'est que le nom de domaine similaire appartient à un rival/attaquant utilisant la similitude de nom à des fins malveillantes.En revanche,
www.google.com
est ce qui définit Google pour le public; Google n'a pas besoin de prouver quegoogle.com
appartient au vrai Google. Par conséquent, il utilise un certificat validé par domaine (idem pourAmazon.com
).Encore une fois, cela est vraiment utile si l'utilisateur sait comment vérifier cela. Les navigateurs n'aident pas vraiment ici. Firefox dit simplement "qui est géré par (inconnu)" si vous voulez plus de détails sur le certificat à
www.google.com
, sans vraiment dire ce que cela signifie.Les certificats de validation étendue sont une tentative pour améliorer cela, en rendant la procédure de validation de l'organisation plus stricte, et en rendant le résultat plus visible: barre verte et organisation plus visible.
Malheureusement, cela est parfois utilisé d'une manière qui augmente la confusion, je pense. Voici un exemple que vous pouvez vérifier par vous-même: l'une des grandes banques britanniques (NatWest) utilise le
https://www.nwolb.com/
pour ses services bancaires en ligne. Il est loin d'être évident que le nom de domaine appartient à NatWest (qui possède également le _ plus logiquenatwest.co.uk
nom, au fait). Pire, la validation étendue (si vous cochez le nom à côté de la barre verte) se fait contre "Royal Bank of Scotland Group plc".Pour ceux qui suivent les actualités financières, cela a du sens parce que RBS et NatWest appartiennent au même groupe, mais techniquement, RBS et NatWest sont des concurrents (et tous deux ont des succursales sur la grande rue au Royaume-Uni - bien que cela va changer). Si votre utilisateur n'a pas cette connaissance supplémentaire sur les groupes qui commercent sous quel nom, le fait qu'un certificat soit émis au nom d'un concurrent potentiel devrait sonner l'alarme. Si, en tant qu'utilisateur, vous avez vu un certificat le
gooooogle.com
délivré à Microsoft ou Yahoo, même si la barre est verte, vous ne devez pas le traiter comme le site de Google.Un point à garder à l'esprit avec les certificats EV est que leur configuration est codée en dur dans les navigateurs . Il s'agit d'un paramètre au moment de la compilation, qui ne peut pas être configuré ultérieurement (contrairement aux magasins de certificats de confiance normaux, où vous pouvez ajouter votre propre certificat d'autorité de certification institutionnelle, par exemple). D'un point de vue plus cynique, certains pourraient considérer cela comme un moyen pratique pour les principaux acteurs de maintenir une position forte sur le marché.
Ils sont censés donner une confiance supplémentaire à l'utilisateur que l'autorité de certification a fait son travail correctement. Cependant, le principal objectif des certificats de validation étendus est vraiment de générer des revenus supplémentaires pour les autorités de certification.
D'accord, assez snarky, fondamentalement, ils doivent suivre ces directives avant d'en émettre une: EV Certificate Guidelines v.1. . Il couvre des choses telles que la vérification de l'enregistrement et de l'adresse de l'entreprise/organisation, et pour accéder aux clés de signature, il faut une authentification à deux facteurs et tout cela est méticuleusement enregistré.
Toutes les autorités de certification (AC) approuvées par les principaux fournisseurs d'applications doivent suivre les exigences de base publiées par le CABForum pour la délivrance des certificats TLS. Les autorités de certification qui souhaitent émettre des certificats de validation étendue (EV) doivent suivre et faire l'objet d'un audit annuel par rapport à un ensemble supplémentaire de directives et d'exigences de validation avant que leur certificat EV ne soit approuvé et reconnu par l'un des navigateurs. Les AC qui délivrent des certificats EV doivent être cautionnés pour 1 million de dollars et doivent entrer le nom légal, le lieu de constitution, l'adresse et le numéro d'enregistrement (pour les banques, il s'agit parfois du numéro d'enregistrement FDIC) dans le certificat. Ainsi, alors qu'il peut sembler que les certificats EV sont simplement un moyen pour les CA de facturer plus d'argent, il y a plus de risques et de recherches qui entrent dans la validation de l'authenticité et de l'autorisation de l'abonné.