Comment les navigateurs vérifient les identités de sites Web et se protègent contre les imposteurs
Avez-vous déjà remarqué que votre navigateur affiche parfois le nom de l'organisation d'un site Web sur un site Web crypté? Ceci est un signe que le site Web dispose d'un certificat de validation étendu, indiquant que l'identité du site Web a été vérifiée.
Les certificats EV ne fournissent aucun niveau de cryptage supplémentaire. Au lieu de cela, un certificat EV indique qu'une vérification approfondie de l'identité du site Web a été effectuée. Les certificats SSL standard fournissent très peu de vérification de l'identité d'un site Web.
Comment les navigateurs affichent les certificats de validation étendus
Sur un site Web crypté qui n'utilise pas de certificat de validation étendu, Firefox indique que le site Web est «géré par (inconnu)».
Chrome n'affiche rien de différent et indique que l'identité du site Web a été vérifiée par l'autorité de certification qui a délivré le certificat du site Web..
Lorsque vous êtes connecté à un site Web utilisant un certificat de validation étendu, Firefox vous indique qu'il est géré par une organisation spécifique. Selon cette boîte de dialogue, VeriSign a vérifié que nous sommes connectés au véritable site Web de PayPal, qui est géré par PayPal, Inc..
Lorsque vous êtes connecté à un site qui utilise un certificat EV dans Chrome, le nom de l'organisation apparaît dans votre barre d'adresses. La boîte de dialogue d'informations nous indique que l'identité de PayPal a été vérifiée par VeriSign à l'aide d'un certificat de validation étendu..
Le problème avec les certificats SSL
Il y a plusieurs années, les autorités de certification vérifiaient l'identité d'un site Web avant de délivrer un certificat. L’autorité de certification vérifie que l’entreprise qui demande le certificat est enregistrée, appelle le numéro de téléphone et vérifie que l’entreprise est une opération légitime qui correspond au site Web..
Finalement, les autorités de certification ont commencé à offrir des certificats «réservés aux domaines». Celles-ci étaient moins chères, car l'autorité de certification éprouvait moins de travail à vérifier rapidement que le demandeur possédait un domaine spécifique (site Web)..
Les phishers ont finalement commencé à en tirer parti. Un hameçonneur pourrait enregistrer le domaine paypall.com et acheter un certificat de domaine uniquement. Lorsqu'un utilisateur se connectait à paypall.com, le navigateur de l'utilisateur affichait l'icône de verrou standard, offrant un faux sentiment de sécurité. Les navigateurs n'affichent pas la différence entre un certificat réservé à un domaine et un certificat impliquant une vérification plus approfondie de l'identité du site..
La confiance du public dans les autorités de certification pour vérifier les sites Web a diminué - ce n'est qu'un exemple des autorités de certification qui n'ont pas fait preuve de la diligence requise. En 2011, Electronic Frontier Foundation a constaté que les autorités de certification avaient émis plus de 2000 certificats pour «localhost» - un nom qui fait toujours référence à votre ordinateur actuel. (Source) Entre de mauvaises mains, un tel certificat pourrait faciliter les attaques de type homme du milieu.
Comment différents certificats de validation étendus
Un certificat EV indique qu'une autorité de certification a vérifié que le site Web est géré par une organisation spécifique. Par exemple, si un hameçonneur essayait d'obtenir un certificat EV pour paypall.com, la demande serait refusée..
Contrairement aux certificats SSL standard, seules les autorités de certification ayant passé un audit indépendant sont autorisées à émettre des certificats EV. Le forum des autorités de certification / navigateurs (CA / Browser Forum), une organisation volontaire d'autorités de certification et de fournisseurs de navigateurs tels que Mozilla, Google, Apple et Microsoft, émet des instructions strictes que toutes les autorités de certification émettant des certificats de validation étendus doivent respecter. Cela empêche idéalement les autorités de certification de se lancer dans une autre «course vers le bas», où elles utilisent des pratiques de vérification laxistes pour offrir des certificats moins chers..
En bref, les directives exigent que les autorités de certification vérifient que l'organisation demandant le certificat est officiellement enregistrée, qu'elle est propriétaire du domaine en question et que la personne qui demande le certificat agit pour le compte de l'organisation. Cela implique de vérifier les enregistrements du gouvernement, de contacter le propriétaire du domaine et de contacter l'organisation pour vérifier que la personne demandant le certificat fonctionne pour l'organisation..
En revanche, une vérification de certificat de domaine uniquement peut impliquer un seul coup d'œil sur les enregistrements whois du domaine pour vérifier que le registrant utilise les mêmes informations. L'émission de certificats pour des domaines tels que «localhost» implique que certaines autorités de certification ne font même pas beaucoup de vérification. Les certificats EV sont, fondamentalement, une tentative de rétablir la confiance du public dans les autorités de certification et de restaurer leur rôle de gardiens des imposteurs.