Stratégie technologique
Conseil et Solutions

« JSON face à XML : complémentaires ou concurrentiels ?
Le projet Apollo montre le haut »

Les certificats SSL Extended Validation arrivent pour enrayer le phishing.

Aucun Commentaire Publié le 15 mars 2007 dans Sécurité

Tel un feu tricolore, Internet Explorer 7 vous indiquera bientôt le degré de confiance d’un site sur SSL par le rouge, l’orange ou le vert. Seuls les serveurs sur certificats EV auront la plus haute considération.

Produit du CA/Browser Forum

Les certificats EV pourront être délivrés par des autorités de certification (TBS Internet par exemple) elles-mêmes approuvées par le CA/Browser Forum.

L’objectif est de fournir un certificat très haut de gamme en terme de confiance en l’éditeur du site (dans le but de limiter le phénomène de phishing), qui doit répondre à des règles strictes :

  • Seules les entreprises et certains établissements publics peuvent en obtenir (et doivent idéalement exister depuis plus de 3 ans)
  • Le Contact Administratif doit être un dirigeant de l’entreprise et apparaître sur le Kbis
  • Le nom de domaine doit appartenir exactement à la raison sociale de l’entreprise (pas de lettre de pouvoir possible)
  • L’entreprise doit être listée à l’annuaire universel (plus précisément, l’établissement dans lequel travaille le Contact Administratif doit être à l’annuaire)
  • Le CSR doit contenir la raison sociale exacte dans le champ O (organisation), et les champs C (pays), L (ville) et ST (département) doivent refléter exactement l’emplacement du siège social ou d’un établissement correctement enregistré (registres et annuaire).
  • L’entreprise doit être correctement répertoriée par Duns & Bradstreet

Nos navigateurs en sapins de Noël

Si vous disposez d’Internet Explorer 7, ce site doit apparaître avec une barre d’adresse verte. Firefox 3 et l’ensemble des futures versions de nos navigateurs supporteront ce code couleur.

La règle sera donc les sites de grande confiance en vert (certificats EV), les autres en orange, les serveurs avec des certificats corrompus, expirés ou mal installés en rouge.

Un certificat élitiste

La cible de ces certificats EV sont prioritairement les sites de e-commerce, les institutions (et tous les services liés aux e-procédures) et tout site à fort besoin de crédibilité et/ou de sécurité.

Le coût de ces certificats est en effet bien suppérieur à ce qui se fait actuellement.

Bookmark and Share