La nouvelle génération de certificats SSL
Aujourd’hui, nous allons découvrir ensemble le nouveau type de certificats SSL, celui que vous voyez sur les grands sites comme PayPal, eBay, OVH et même Mon Hosteur. Nous allons parlé du certificat EV ou plus simplement du certificat qui déclenche la barre verte du navigateur.
Tout d’abord, pourquoi avoir besoin d’un nouveau type de certificats de sécurité ? Les anciens ne protègent-ils pas contre le détournement de données ?
Avant de répondre à la première question, je répondrais à la deuxième. Il faut savoir qu’un certificat de sécurité ancienne ou nouvelle génération ont la même méthode de fonctionnement, à la seule (et grande) différence que les certificats nouvelles générations nécessitent une clé de 2048 bits, extrêmement complexe à déchiffrer. Cela dit, certains certificats de l’ancienne génération utilisent, eux-aussi, des clés de 2048 bits, au lieu des anciennes à 1024, mais cela ne garantissait pas pour autant la sécurité des visiteurs sur internet et la confidentialité de leurs données, et surtout ne les protégeait pas du hameçonnage ou du phishing.
Pourquoi ?
Parce qu’un certificat de sécurité, ancienne génération, est obtenu sur la base d’une vérification de la clé du serveur qui permet de générer le CSR, et de la vérification du domaine (via un email envoyé sur @domaine_à _sécuriser.com). Cela permettait donc aux données d’être vraiment chiffrées, mais ne garantissait pas l’identité du serveur distant, ou de la personne derrière le site internet sur lequel vous êtes entrain d’entrer des informations sensées rester confidentielles.
Dans de très nombreux cas, les sites de phishing utilisent également des certificats de sécurité pour tromper les internautes et leur dérobent leurs numéros de cartes de crédit. Aujourd’hui, avec le nouveau certificat, ce n’est plus possible.
Comment ?
Aujourd’hui, une règle est nouvelle respectée. Elle dit : SECURITE = CRYPTAGE X AUTHENTIFICATION
Par le passé, l’authentification n’était effectuée que sur le domaine, mais sur l’identité du site, et cela veut dire que l’authentification était très faible pour ne pas dire nulle. Si un chiffre nul est multiplié par un autre indice, il donne forcément un résultat nul.
Aujourd’hui, l’athentification est plus accrue, car elle porte non seulement sur le nom de domaine, mais aussi sur la personne (morale ou physique) derrière le site internet. De cette façon, seule l’identité de la personne réellement vérifiée s’affiche sur la barre verte, et il est donc certain que personne d’autre que PayPal ne pourra avoir le nom de PayPal sur son certificat de sécurité.
Pour vérifier l’identité d’un site Web, l’autorité de certification, ou CA, comme Verisign, GeoTrust, ou Thawte est légalement obligée de charger un cabinet d’audit à le faire (le plus connu est Global AV). Ce cabinet vérifie l’identité de la personne gestionnaire du site en recourant uniquement à des documents officiels, qu’elle prend le temps de vérifier auprès de l’autorité compétente. Si par exemple, vous leur envoyez un registre de commerce, il prendront le temps d’appeler le registre pour vérifier l’existence de la société. Ce cabinet vérifie également que le propriétaire du business a un local fixe où il exerce, et se charge de l’appeler 2 fois (dans des heures ouvrables non convenues à l’avance) pour vérifier son identité et ses informations.
Une fois l’identité vérifiée ou pas, Global AV rédige un rapport qu’elle envoie à l’autorité de certification, qui en se basant sur le rapport, décide de vous rappeler pour vérifier vos données et coordonnées une deuxième fois, avant de décider ou non d’émettre le certificat.
Le certificat SSL émis, une fois installé sur le serveur, marche dès le premier moment, et affiche les coordonnées (nom de la société + ville + departement+ Pays) dans le navigateur, avec possibilité de voir l’adresse complète sur le site de l’autorité de certification. L’autorité de certification dans ce cas devient aussi un intermédiaire qui vous aidera à avoir les coordonnées du détenteur de certificat en cas de problème.
Enfin, il faut savoir que pour annuler tout risque de fraude, mêmes les autorités de certifications sont auditées sur TOUS les certificats qu’ils émettent pour vérifier qu’ils ont bien attendu le rapport du cabinet d’audit et si les certificats sont remis aux ayants droits.
Il faut également savoir que cela annule donc dès à présent les risques liés au hameçonnage et au vol d’identité sur internet, du moment où tous les sites qui se respectent commencent à se doter de ce certificat, impossible à avoir par les autres pour les raisons suivantes :
- Vérification Etendue (Extended Validation)
- Durée d’émission de 14 à 21 jours
- Frais de 400 € à 1200 € selon autorité de certification (Verisign, Thawt, et GeoTrust sont les plus sérieuses)
- Seules les personnes morales existant réellement en ont le droit.
Alors sans plus hésiter, n’achetez que sur les sites internet qui affichent la barre verte !
Un commentaire »
Flux RSS des commentaires de cet article. TrackBack URL
Laisser un commentaire
avril 11th, 2010 - 23 h 44 min
[...] Sur internet, c’est un tout autre défi. En ouvrant la page de votre site internet, votre boutique sur un site d’enchère ou sur un site de ventes en ligne, si vous ne gagnez pas la confiance de votre client, celui-ci n’achètera pas. En regardant votre page ou votre site, le client se trouve devant un parfait inconnu, qui ne le connaît pas et qui peut s’avérer être un arnaqueur en fin de compte. Il est donc de votre responsabilité de lui prouver que vous êtes dignes de confiance en affichant votre numéro de siret ou de registre de commerce, et même VOTRE NUMERO DE TELEPHONE. Si vous voulez maximiser vos chances d’acquérir votre client, dotez votre site internet de certificat de sécurité pour crypter les données qu’il est susceptible de vous envoyer. De plus, vous pouvez faire de la pierre deux coup, car certains certificats de sécurité permettent aujourd’hui de garantir à votre client que votre identité a bien été vérifiée et que votre entreprise existe bel et bien (article sur le sujet). [...]