Un certificat EV est le niveau le plus élevé des certificats SSL. Tous les certificats SSL – Extended Validation (EV), Organization Validated (OV) et Domain Validated (DV) – assurent le cryptage et l’intégrité des données.
Cependant, ils varient en fonction du degré de rigueur du processus de vérification de l’identité du propriétaire du site Web. Un certificat EV fournit le plus haut niveau de garantie d’identité numérique en vérifiant l’identité légale du propriétaire d’un site web.
Selon les Guidelines for the Issuance and Management of Extended Validation Certificates, la fonction principale d’un certificat EV est de :
” Identifier l’entité juridique qui contrôle un site Web : Fournir une assurance raisonnable à l’utilisateur d’un navigateur Internet que le site Web auquel il accède est contrôlé par une entité juridique spécifique identifiée dans le certificat EV par le nom, l’adresse du lieu d’activité, la juridiction de constitution ou d’enregistrement et le numéro d’enregistrement ou d’autres informations de désambiguïsation.”
La confirmation de l’identité du site Web est effectuée conformément aux directives rigoureuses du CAB Forum et implique un processus de vérification strict par une autorité de certification publique.
L’autorité de certification doit valider l’identité opérationnelle et physique de la personne qui demande un certificat EV. Pour ce faire, elle confirme l’identité légale du propriétaire du site et que le demandeur est le propriétaire et le seul contrôleur du domaine.
En raison du processus rigoureux de vérification de l’identité du propriétaire du site, un certificat EV offre un haut degré de confiance aux visiteurs du site.
Si vous voulez savoir si le site utilise un certificat EV, vous devez désormais cliquer sur le cadenas gris pour enquêter.
Quels sont les cas d’utilisation ?
Bien que les certificats EV soient plus chers à acquérir et que le processus de vérification soit plus difficile et plus long que pour les autres certificats SSL, ils présentent des avantages tangibles.
Premièrement, ils peuvent rendre la vie des ingénieurs sociaux plus difficile. Les sites de phishing se faisant passer pour des organisations et des entreprises légitimes représentent une menace majeure pour les utilisateurs et les services en ligne et constituent l’un des principaux vecteurs de vol ou de compromission de données sensibles et personnelles.
Les criminels peuvent acheter des certificats DV plutôt bon marché sur le marché noir pour donner à leurs sites une apparence légitime et digne de confiance et inciter des victimes sans méfiance à communiquer involontairement des informations financières ou personnelles.
Les sites Web malveillants et les sites de phishing constituent un problème croissant et soulignent la nécessité d’une solide vérification de l’identité en ligne.
Les visiteurs ont besoin d’une assurance raisonnable quant à l’identité de l’entreprise avec laquelle ils traitent, afin d’établir et de maintenir la confiance avec cette entreprise et de se sentir plus en sécurité lors des transactions en ligne.
Les certificats EV peuvent empêcher les entreprises clientes d’être victimes d’attaques de phishing en affichant l’identité vérifiée de l’opérateur du site directement dans le certificat.
Outre la protection contre l’hameçonnage, les certificats EV sont un excellent moyen de démontrer la conformité aux exigences de sécurité et de confidentialité édictées dans divers règlements, lois et actes. HIPAA, PCI DSS et GDPR exigent que les entreprises protègent les données médicales, financières et personnelles de leurs clients contre les violations.
Les certificats EV peuvent aider les entreprises à garantir un audit réussi par rapport à ces exigences.
Malgré les avantages susmentionnés, les certificats EV ne conviennent pas à tout le monde. Les organisations doivent examiner la valeur ajoutée de ces certificats. Ils conviennent mieux aux sites Web à forte visibilité que les attaquants ciblent couramment pour des attaques de phishing, tels que les grands détaillants, les banques, les institutions financières ou les entités gouvernementales en contact avec le public.
En fait, tout site web collectant des données, traitant des connexions ou des paiements en ligne peut bénéficier de l’affichage de son identité de marque vérifiée. Les certificats EV peuvent être utilisés dans toutes les applications qui nécessitent une assurance d’identité plus forte et un niveau de confiance élevé.
Avantages des certificats EV par rapport aux certificats DV
Les certificats validés par domaine (certificats DV en abrégé) constituent la forme la plus élémentaire de certificats SSL. Ils sont peu coûteux à obtenir et le processus d’émission est rapide. Le processus de vérification confirme que le domaine est contrôlé par la partie qui demande le certificat.
L’autorité de certification confirme l’adresse du domaine en consultant l’enregistrement WHOIS ou fournir un fichier de vérification que le propriétaire place sur le site Web à protéger, ou encore le demandeur crée un enregistrement DNS qui confirme le contrôle du domaine.
Les certificats DV cryptent le trafic, comme tout autre certificat, mais le niveau de vérification de l’identité est faible. L’avantage des certificats EV par rapport aux certificats DV se situe au niveau de l’identification. Les certificats DV vérifient l’identité du serveur, tandis que les certificats EV vérifient l’identité organisationnelle légale du site web.
Si l’on ajoute à cela les mauvaises procédures de gestion des certificats qui se traduisent par des certificats compromis ou volés, il devient plus difficile de distinguer un certificat DV valide d’un certificat frauduleux.
D’un autre côté, il est plus rare de trouver des certificats EV volés sur le marché noir et si c’est le cas, ils sont beaucoup plus chers que les certificats DV volés.
Cependant, tout se résume au facteur humain. Un certificat EV signifie que le domaine est détenu par une entité légale enregistrée. Cela ne signifie pas que ce site est de facto et de jure digne de confiance.
Néanmoins, pour que les certificats EV soient efficaces, il faut des contrôles techniques pour gérer leur cycle de vie qui peuvent être appliqués sans compter sur l’utilisateur.
C’est là que l’automatisation de la gestion du cycle de vie des certificats s’avère utile. Key Factor vous permet de découvrir, de gérer et d’automatiser chaque certificat dans votre entreprise.
OV SSL
DV SSL vs OV SSL Graphique : La validation SSL OV diffère de la validation SSL DV en termes d’affirmation d’identité. Le premier type de certificat SSL était en fait la validation d’organisation. À l’époque, toute personne souhaitant utiliser le protocole HTTPS devait être contrôlée, dans une certaine mesure, par les autorités de certification (CA).
L’idée était que le protocole HTTPS était censé être synonyme de sécurité et de sûreté, et qu’il ne serait donc pas avantageux de laisser des acteurs négatifs obtenir des certificats SSL. N’oubliez pas cette logique, car nous y reviendrons plus tard.
Le SSL OV nécessite un contrôle léger de l’entreprise. En fait, l’autorité de certification veut simplement s’assurer que, selon toute apparence, vous êtes une entreprise légitime. Elle vérifie votre enregistrement, s’assure que vous êtes opérationnel, puis délivre un certificat qui inclut cette information validée dans le sujet.
Cela signifie que toute personne qui clique sur le cadenas de votre site Web sera en mesure de voir le nom de l’organisation et une partie de sa localité. C’est extrêmement utile si vos clients savent où chercher.
