Clause de non-responsabilité: cette réponse provient directement de l ' article eHow. Aucune infraction n'est prévue.

Certificats SSL de validation de domaine

Les certificats SSL validés par domaine sont utilisés pour établir un niveau de confiance de base avec un site Web et prouver que vous visitez le site Web que vous pensez que vous visitez. Ces certificats sont émis après que l'émetteur SSL a confirmé que le domaine est valide et appartient à la personne qui demande le certificat. Il n'est pas nécessaire de soumettre des documents d'entreprise pour obtenir un certificat SSL de validation de domaine, et ces types de certificats SSL peuvent être émis très rapidement. L'inconvénient de ces types de certificats est que tout le monde peut les obtenir, et ils n'ont aucun poids, sauf pour sécuriser la communication entre votre navigateur Web et le serveur Web.

Certificats SSL de validation d'organisation

Un certificat SSL de validation d'organisation est délivré aux entreprises et offre un niveau de sécurité supérieur par rapport à un certificat SSL de validation de domaine. Un certificat de validation d'organisation nécessite que certaines informations sur l'entreprise soient vérifiées avec les informations de domaine et de propriétaire. L'avantage de ce certificat par rapport à un certificat de validation de domaine est qu'il crypte non seulement les données, mais il fournit un certain niveau de confiance à propos de l'entreprise propriétaire du site Web.

Certificats SSL à validation étendue

Un certificat SSL à validation étendue est un certificat SSL «haut de gamme». Pour en obtenir un, l'entreprise doit passer par un lourd processus de vérification, et tous les détails de l'entreprise doivent être vérifiés comme authentiques et légitimes avant que le certificat ne soit émis. Bien que ce certificat puisse sembler similaire à un certificat SSL de validation d'organisation, la principale différence réside dans le niveau de contrôle et de vérification effectué sur le propriétaire du domaine et la société qui demande le certificat. Seule une entreprise qui réussit une enquête approfondie peut utiliser le certificat SSL Extended Validation. Ce type de certificat est reconnu par les navigateurs modernes et est indiqué par une barre colorée dans la partie URL du navigateur.

De plus, OV versus EV ont également un impact en termes de montants d'assurance en cas de compromis. La prime d'assurance pour un VE est beaucoup plus élevée que pour un VO.

En savoir plus / original: Mickey Walburg, Différences dans les certificats SSL | eHow.com

Il incombe en dernier ressort à l'utilisateur du client de vérifier la validité du certificat.En tant que fournisseur de services, à part éduquer l'utilisateur si vous le pouvez, vous ne pouvez pas faire grand-chose de votre côté: vous ne contrôlez pas quels certificats sont approuvés par le navigateur de l'utilisateur et vous ne pouvez pas savoir si les utilisateurs ont vérifié qu'ils utilisent correctement SSL / TLS et n'ont pas ignoré les avertissements potentiels.

Ce que vous devez essayer d'évaluer, c'est comment votre utilisateur est Je suppose que le public cible de votre site Web n'est pas nécessairement un expert technique ou PKI.La façon dont vos utilisateurs vont réagir dépendra de ce qu'ils ont appris sur les certificats.Malheureusement, il y a un beaucoup d'informations contradictoires ou vagues sur ce sujet, provenant même des autorités de certification elles-mêmes (rappelez-vous que les autorités de certification ont tout intérêt à inciter leurs clients à acheter des certificats plus chers).

Modes de validation

L'objectif général d'un certificat (à clé publique) est de lier une identité à une clé publique (donc lier l'identité au serveur en utilisant la clé privée correspondante dans le handhsake SSL / TLS).

Lucas Kauffman a déjà écrit une réponse détaillant la différence entre les certificats validés par le domaine , certificats validés par l'organisation et certificats de validation étendue. La vraie question que vous devez vous poser est ce que vous essayez de prouver à l'utilisateur.

La différence entre ces types de certificats est la façon dont cette identité elle-même est définie.

Les certificats validés par le domaine vous garantissent que le certificat a été émis au propriétaire de ce domaine. Pas plus, mais pas moins (je suppose que la procédure de validation était correcte ici). Dans de nombreux cas, cela suffit. Tout dépend de la question de savoir si le site Web dont vous faites la promotion doit être lié à une institution déjà bien connue hors ligne. Les certificats validés par rapport à une organisation (certificats OV et EV) sont principalement utiles lorsque vous devez également lier le domaine à une organisation physique.

Par exemple, c'est utile pour une institution initialement connue via son building (par exemple Bank of America) pour pouvoir dire qu'un certificat pour bankofamerica.com est bien pour l'endroit où vous avez donné votre argent physique. Dans ce cas, il est judicieux d'utiliser un certificat OV ou EV. Cela peut également être utile en cas d'ambiguïté concernant l'institution derrière le nom de domaine (par exemple apple.com et apple.co.uk ), ce qui est encore plus important. le nom de domaine similaire appartient à un rival / attaquant utilisant la similarité de nom à de mauvaises fins.

En revanche, www.google.com est ce qui définit Google auprès du public; Google n'a pas besoin de prouver que google.com appartient au vrai Google. En conséquence, il utilise un certificat validé par le domaine (même chose pour amazon.com).

Encore une fois, c'est vraiment utile si l'utilisateur sait comment vérifier cela. Les navigateurs n'aident pas vraiment ici. Firefox dit simplement "qui est exécuté par (inconnu)" si vous voulez plus de détails sur le certificat sur www.google.com , sans vraiment dire ce que cela signifie.

Les certificats de validation étendue sont une tentative pour améliorer cela, en rendant la procédure de validation d'organisation plus stricte, et en rendant le résultat plus visible: barre verte et organisation plus visible.

Malheureusement, cela est parfois utilisé d'une manière qui augmente la confusion, je pense. Voici un exemple que vous pouvez vérifier par vous-même: l'une des grandes banques britanniques (NatWest) utilise le https://www.nwolb.com/ pour son sur- services bancaires en ligne. Il est loin d'être évident que le nom de domaine appartient à NatWest (qui possède également le nom plus logique natwest.co.uk , d'ailleurs). Pire encore, la validation étendue (si vous cochez le nom à côté de la barre verte) se fait par rapport à "Royal Bank of Scotland Group plc":

Pour ceux qui suivent l'actualité financière, cela a du sens car RBS et NatWest appartiennent au même groupe, mais techniquement, RBS et NatWest sont des concurrents (et tous deux ont des succursales dans la rue principale au Royaume-Uni - même si cela va Si votre utilisateur n'a pas cette connaissance supplémentaire sur les groupes qui négocient sous quel nom, le fait qu'un certificat soit délivré au nom d'un concurrent potentiel devrait sonner l'alarme. Si, en tant qu'utilisateur, vous avez vu un certificat sur gooooogle.com délivré à Microsoft ou Yahoo, quelle que soit la couleur de la barre, vous ne devez pas le traiter comme le site de Google.

le point à garder à l'esprit avec les certificats EV est que leur configuration est codée en dur dans les navigateurs. Il s'agit d'un paramètre de type compilation, qui ne peut pas être configuré ultérieurement (contrairement aux magasins de certificats de confiance normaux, où vous pouvez ajouter votre propre certificat CA institutionnel, par exemple). D'un point de vue plus cynique, certains pourraient considérer cela comme un moyen pratique pour les principaux acteurs de conserver une position forte sur le marché.

Sceaux

Certains CA proposent également divers " sceaux »que vous pouvez mettre sur votre site Web, généralement avec des couleurs différentes selon le type de certificat que vous avez acheté. Ils semblent être conçus comme une étape supplémentaire pour empêcher les autorités de certification moins réputées d'émettre un certificat valide à la mauvaise partie.

Autant que je sache, ils sont totalement inutiles du point de vue de la sécurité. En effet, lorsque vous cliquez dessus pour faire vérifier votre certificat (par exemple, si vous cliquez sur le logo «vérifié et sécurisé» de GoDaddy, vous vous retrouvez sur cette page ), rien ne vous dit que le certificat que vous voyez est le même que celui qui est envoyé au service derrière seal.godaddy.com . En effet, s'il y avait un attaquant MITM entre vous et example.com , avec un autre certificat valide pour example.com émis par une CA bâclée, cet attaquant MITM ne serait pas entre example.com et seal.godaddy.com . À moins que l'utilisateur ne regarde vraiment le certificat en détail, le sceau n'aiderait pas beaucoup (en gardant à l'esprit que l'attaquant pourrait simplement supprimer le lien de sceau ou le pointer vers celui de l'autre CA).

Assurances

Certains certificats sont également accompagnés d'une sorte d'assurance. Vous obtiendrez une sorte de compensation en cas de problème lors d'une transaction jusqu'à un montant limité. Je ne vois pas clairement quelles seraient les conditions pour demander une telle assurance.

Laquelle choisir?

En fin de compte, la plupart des utilisateurs conservent la liste par défaut des autorités de certification de confiance certificats fournis avec leur système d'exploitation ou leur navigateur. Étant donné que l'interface utilisateur ne distingue pas très clairement les autorités de certification, la sécurité globale vue par l'utilisateur (dont la responsabilité est de vérifier le certificat) sera réduite par le plus petit dénominateur commun de chaque catégorie (barres bleues et vertes).

S'il est important de lier le nom de domaine à une organisation «brique et mortier», cela vaut la peine d'envisager un certificat EV. Personnellement, je ne pense pas que la façon dont les interfaces utilisateur distinguent les certificats DV et OV soit suffisamment bonne pour rendre utile l'affichage du nom de l'organisation avec une barre bleue.

Si vous êtes principalement connu par votre domaine (ou s'il n'y a aucune ambiguïté que le domaine est le vôtre, du point de vue de l'utilisateur), optez pour n'importe quel certificat de barre bleue. (Vérifiez les détails de l'assurance si cela est pertinent pour votre site Web.)

Le point important est que le (seul) objectif du certificat SSL est de vérifier l'identité du serveur avec lequel vous communiquez.

Tout ce qui concerne le cryptage et la sécurité de la connexion est négocié entre le navigateur et le serveur indépendants du certificat. Tant que la clé intégrée dans le certificat est suffisamment grande et non compromise, votre connexion est aussi sécurisée avec un certificat gratuit qu'avec un certificat à 2000 $.

Le prix du certificat reflète (ou du moins devrait refléter) le nombre de vérifications effectuées par la société émettrice pour vérifier que vous devriez être autorisé à avoir ce certificat.

MODIFIER

Les certificats concernent la confiance plutôt que la sécurité. C'est une distinction subtile, mais importante. Je suis parfaitement sécurisé avec un certificat auto-signé tant que je peux vérifier la clé. Dans ce cas, un certificat EV n'offre absolument plus de protection pour moi, même au moindre degré. Mais qu'en est-il des autres? Je sais à l'avance à quelle clé faire confiance, mais ce n'est pas le cas. C'est le rôle d'une autorité de certification.

Toutes les autorités de certification de confiance publique exigent que vous vérifiiez la propriété de votre domaine avant d'émettre un certificat. En ce sens, un certificat Verisign à 2 000 $ équivaut à un certificat Startcom gratuit. Mais ce n'est que la moitié de l'histoire.

Vous vous souvenez du cas curieux de la Mountain America Credit Union? Les attaquants ont pu se faire passer pour une banque et obtenir un certificat SSL d'Equifax, un sceau officiel de la société émettrice, un indicateur ChoicePoint vérifiant l'emplacement (et la légitimité présumée) de l'entreprise - le tout totalement propre, légitime et correctement émis. Leur secret? La banque utilise le nom de domaine macu.com , tandis que ces attaquants ont utilisé le nom mountain-america.net . Lorsqu'ils ont demandé le certificat, ils n'ont PAS dit qu'ils étaient une banque (ce qui aurait soulevé des drapeaux rouges), mais ont plutôt mis en place un site totalement innocent. Cela aurait pu être pour quelque chose comme des chaussures de randonnée, de l'eau en bouteille ou un blog sur la vie en montagne. Qui sait. Mais ils l'ont changé pour dupliquer le site de la Credit Union après que les informations d'identification aient été émises.

Théoriquement, c'est exactement le genre d'attaque contre laquelle la certification EV est censée se prémunir. Il devrait être beaucoup plus difficile d'obtenir un certificat EV en utilisant une fausse identité ou basé sur une entreprise inexistante. Probablement pas impossible, mais théoriquement plus difficile. Donc, vraisemblablement, s'il s'agit d'une fraude, au moins vous avez l'adresse de l'auteur ... ou du moins c'est ce que vous espérez.

Le fait est que lorsque vous vendez de la confiance à grande échelle, c'est difficile pour garder votre produit propre. Des violations comme le fiasco de Mountain America se produisent, même avec tous les contrôles et examens que vous pouvez invoquer, car une fois le certificat délivré, l'utilisateur peut changer son histoire.

Peut-être la caractéristique de sécurité la plus importante d'un certificat de 2000 $ est le prix lui-même. Il dit: "cette personne a payé 2000 $ pour ce certificat". Vraisemblablement, quelqu'un qui a l'intention de l'utiliser pour le mal opterait plutôt pour une alternative moins chère. C'est un peu idiot, mais probablement aussi correct.

Il existe principalement 3 types de certificats SSL:

(1) Certificats SSL de validation de domaine

• Il en a moins procédure de validation rigoureuse.
• Seuls le nom et les coordonnées du candidat sont vérifiés et vérifiés avec les données qui ont été saisies lors de l'inscription.
• Le facteur légitime n'est pas vérifié et, par conséquent, excellent pour les sites en ligne ou les entreprises qui ne transfèrent pas ou ne traitent pas de données très sensibles.
• Il est directement lié au nom de domaine, assurant ainsi aux utilisateurs l'authenticité du site Web; cependant, cela n'encourage pas les avertissements du navigateur.

(2) Certificat SSL Extended Validation

• Lancé en 2007, l'un des premiers protocoles à suivre rigoureusement les directives de l'industrie.
• La demande de certification et le processus de validation sont extrêmement rigoureux.
• Chaque information d'identification de l'entreprise est soigneusement et minutieusement vérifiée.
• Pour les sites utilisant ce protocole, un moyen de s'assurer que le site est protégé ou non est de vérifier la fenêtre de navigation du navigateur. Il devient vert si le site est sûr et devient rouge au début du danger.
• Cela permet de maintenir un niveau d'assurance élevé et de vérifier l'authenticité de l'entreprise.

(3) Certificat SSL de validation organisationnelle

• La légitimité de l'entreprise du candidat est vérifiée.
• Il suit une procédure de validation stricte, et vérifie pratiquement toutes les informations de l'entreprise.
• C'est une excellente option pour les entreprises en ligne traitant des informations extrêmement confidentielles.

^{(Source : Buzzle)}

Il y a deux aspects à ce débat.

Premièrement, dans quelle mesure une autorité de certification ira-t-elle pour s'assurer que vous êtes réellement qui vous prétendez être.

Deuxièmement, combien de des fonctionnalités plus avancées prises en charge par une autorité de certification.

Les deux sont importants ... une autorité de certification qui vous donnera un certificat avec toutes les fonctionnalités les plus récentes mais qui ne vérifiera pas votre identifiant est inutile, car celle qui vous vérifiera bien mais émettez un certificat uniquement avec des fonctionnalités obsolètes il y a 5 ans.