Les certificats EV ne fournissent aucun niveau de cryptage supplémentaire. Au lieu de cela, un certificat EV indique qu’une vérification approfondie de l’identité du site Web a été effectuée. Les certificats SSL standard fournissent très peu de vérification de l’identité d’un site Web.
Comment les navigateurs affichent les certificats de validation étendus
Sur un site Web chiffré qui n’utilise pas de certificat de validation étendu, Firefox indique que le site Web est «géré par (inconnu)».
Le problème avec les certificats SSL
Il y a plusieurs années, les autorités de certification vérifiaient l'identité d'un site Web avant de délivrer un certificat. L'autorité de certification vérifiait que l'entreprise demandant le certificat était enregistrée, appelait le numéro de téléphone et vérifiait que l'entreprise était une opération légitime conforme au site Web.
Finalement, les autorités de certification ont commencé à offrir des certificats «réservés aux domaines». Celles-ci étaient moins chères, car l'autorité de certification éprouvait moins de travail à vérifier rapidement que le demandeur possédait un domaine spécifique (site Web).
Les phishers ont finalement commencé à en tirer parti. Un hameçonneur pourrait enregistrer le domaine paypall.com et acheter un certificat réservé au domaine. Lorsqu'un utilisateur se connecte à paypall.com, son navigateur affiche l'icône de verrouillage standard, offrant un faux sentiment de sécurité. Les navigateurs n’ont pas montré la différence entre un certificat réservé à un domaine et un certificat impliquant une vérification plus approfondie de l’identité du site Web.
La confiance du public dans les autorités de certification pour la vérification des sites Web a diminué - ce n'est qu'un exemple parmi d'autres des autorités de certification qui n'ont pas fait preuve de diligence raisonnable. En 2011, Electronic Frontier Foundation a constaté que les autorités de certification avaient délivré plus de 2000 certificats pour «localhost» - un nom qui fait toujours référence à votre ordinateur actuel. (Source) Entre de mauvaises mains, un tel certificat pourrait faciliter les attaques de type "man-in-the-middle".
Comment différents certificats de validation étendus
Un certificat EV indique qu'une autorité de certification a vérifié que le site Web est géré par une organisation spécifique. Par exemple, si un hameçonneur essayait d'obtenir un certificat EV pour paypall.com, la demande serait refusée.
Contrairement aux certificats SSL standard, seules les autorités de certification ayant passé un audit indépendant sont autorisées à émettre des certificats EV. Le forum des autorités de certification / navigateurs (CA / Browser Forum), une organisation volontaire d'autorités de certification et de fournisseurs de navigateurs tels que Mozilla, Google, Apple et Microsoft, émet des instructions strictes que toutes les autorités de certification émettant des certificats de validation étendus doivent respecter. Cela empêche idéalement les autorités de certification de s'engager dans une autre «course vers le bas», où elles utilisent des pratiques de vérification laxistes pour offrir des certificats moins chers.
En bref, les directives exigent que les autorités de certification vérifient que l'organisation demandant le certificat est officiellement enregistrée, qu'elle est propriétaire du domaine en question et que la personne qui demande le certificat agit pour le compte de l'organisation. Cela implique de vérifier les enregistrements gouvernementaux, de contacter le propriétaire du domaine et de contacter l’organisation pour vérifier que la personne demandant le certificat fonctionne pour l’organisation.
En revanche, une vérification de certificat de domaine uniquement peut impliquer un seul coup d’œil sur les enregistrements whois du domaine pour vérifier que le registrant utilise les mêmes informations. L’émission de certificats pour des domaines tels que «localhost» implique que certaines autorités de certification ne font même pas autant de vérification. Les certificats EV sont, fondamentalement, une tentative de rétablir la confiance du public dans les autorités de certification et de restaurer leur rôle de gardiens des imposteurs.
