Pour distinguer les trois types de certificats SSL – validation de domaine (DV), validation d’organisation (OV) et validation étendue (EV) – il est utile de comprendre ce que sont les certificats et comment ils sont émis par des Autorités de certification (AC) autorisées comme DigiCert. Les AC sont des organismes de confiance indépendants chargés d’authentifier différentes informations relatives à un site web et à son propriétaire avant de pouvoir émettre des certificats TLS/SSL.
Les certificats TLS/SSL ont une double mission. D’une part, ils chiffrent les données transmises entre les internautes et le domaine pour sécuriser les connexions à un site web. D’autre part, ils vérifient les droits de propriété sur le domaine et l’identité de l’entreprise ou de la personne effectuant la demande de certificat. À l’instar d’un certificat physique, un certificat numérique certifie essentiellement votre droit de représenter votre entreprise ou organisation sur Internet.
Les noms de chaque type de certificats SSL font référence aux étapes de validation préalables à l'émission d'un certificat. Par exemple, les certificats de validation de domaine reposent sur une simple vérification du propriétaire d'une URL, tandis que les certificats de validation d'organisation sont émis après vérification du propriétaire du domaine concerné et authentification de l’entreprise rattachée à l'URL. Quant aux certificats de validation étendue, ce sont des certificats d'identification à haute assurance, car ils impliquent la vérification de l'identité du propriétaire du domaine, de l'entreprise concernée et de l'entité juridique en ayant fait la demande.
Pour un certificat DV, le processus est assez court puisque l'acheteur ne doit prouver que son droit de propriété ou d'exploitation de l'URL ou du domaine concerné. Pour cela, l'AC envoie un e-mail au propriétaire du domaine (qui figure dans la base de données WHOIS). Si elle permet de répondre à un besoin rapidement, cette forme de validation correspond au niveau d'authentification et de confiance le plus faible sur Internet.
Les certificats OV et EV se distinguent par des étapes de validation supplémentaires. Dans les deux cas, l'AC doit vérifier l'identité du propriétaire du domaine, ainsi que d'autres informations relatives à l'entreprise concernée (nom, type, statut, adresse postale, etc.).
Pour les certificats EV, neuf autres points de contrôle viennent s'ajouter, notamment la vérification du numéro de téléphone public de l'entreprise, de sa date de création, de son numéro d'enregistrement et de sa juridiction. L'AC doit également écarter tout usage frauduleux du nom de domaine et tout placement sur liste noire de son interlocuteur. Elle doit confirmer par téléphone le statut professionnel du demandeur.
Des certificats de base à ceux à haute assurance, chaque processus de validation offre un niveau différent de protection de votre marque en ligne.
Outre le chiffrement de votre site web, chaque type de certificats TLS/SSL garantit à vos clients un certain niveau d'authentification de votre entreprise.
Les certificats de validation de domaine (DV) sont les certificats SSL au plus bas niveau d’authentification. Ils peuvent être obtenus de façon simple et rapide, même par un bot malveillant. De faible coût, ils n’exigent de l’entreprise ou de la personne concernée que de démontrer qu’elle contrôle le domaine web qu’elle souhaite sécuriser.
Pour obtenir un certificat DV, le propriétaire du site web reçoit un e-mail de confirmation de l’AC émettrice à une adresse e-mail répertoriée dans le registre WHOIS du domaine. Ces certificats sont généralement utilisés par les sites web qui ne gèrent pas de transactions commerciales ou par carte bancaire.
Exemples:
Les certificats de validation d’organisation (OV) passent par un processus d’authentification en neuf étapes. Ils sont considérés comme des certificats d’entreprise de niveau intermédiaire. Dans le cas des certificats OV, les AC authentifient les droits de propriété sur le domaine de la même manière que les certificats DV.
En revanche, ce qui les distingue des certificats DV, ce sont les mesures prises par les AC pour vérifier que l’organisation (Inc., SA, SARL, etc.) à laquelle le certificat est destiné est une entité valide et en règle.
Idéal pour les sites web et les pages suivantes:
Les certificats de validation étendue (EV) imposent aux AC d’appliquer un processus d’authentification en 18 étapes. Ils constituent en ce sens le plus haut niveau d’authentification à l’heure actuelle. Ce processus rigoureux apporte la garantie d’une protection renforcée de l’identité de la marque.
En plus de toutes les étapes d’authentification prises par les AC pour les certificats DV et OV, les certificats EV nécessitent de vérifier l’existence physique et opérationnelle de l’entreprise, ainsi que le statut professionnel du demandeur par téléphone.
Idéal pour les sites web et les pages suivantes:
L'équipe de validation de DigiCert rejette environ 3750 demandes de certificats EV par an, notamment pour cause de requêtes frauduleuses.
En cliquant sur l'icône du cadenas dans la barre d'URL, vous pouvez vérifier l'identité du propriétaire du site Web. Malheureusement, la plupart des sites de phishing disposent aujourd'hui d'un cadenas et d'un certificat DV. C'est pourquoi il est important de regarder au-delà du cadenas dans la barre d'URL. Si un site Web n'est pas disposé à indiquer son identité dans le certificat, vous ne devriez pas être disposé à partager des informations d'identification avec lui. Si vous voyez le nom de l'organisation, vous pouvez maintenant prendre une meilleure décision quant à la personne en qui vous avez confiance.
L'Union européenne est un ardent défenseur du renforcement des normes de sécurité en ligne. L'objectif : rassurer les internautes et améliorer l'authentification sur Internet. En 2015, le Parlement européen a adopté la nouvelle directive sur les services de paiement (DSP2) afin de réglementer et sécuriser les transactions, de renforcer l'intégration du marché européen des services de paiement et de protéger les consommateurs. Entrée en vigueur en janvier 2018, la directive DSP2 oblige les banques et autres prestataires de services de paiement en ligne à utiliser des certificats qualifiés. Plus difficiles à obtenir que les certificats EV, ces derniers fournissent des signatures électroniques juridiquement contraignantes.
À l'heure où la Toile évolue et où les standards d'identification en ligne sont soumis à rude épreuve, DigiCert joue un rôle actif au sein du Certification Authority Browser (CA/B) Forum, où l'AC plaide pour un renforcement de l'authentification sur Internet. Pour nous, les certificats numériques sont aussi importants que les preuves d'identité physiques. Dans le monde hyperconnecté d'aujourd'hui, l'érosion des identités en ligne nuira à la confiance du public que nous aspirons tant à conserver.