SUPPORT

Un problème de certificat ? Besoin d'être dépanné rapidement ? Nos ingénieurs répondent à vos questions.

0 897 690 444 Service 0,80 €/min +prix appel
Menu
picture of tbs certificates
picture of tbs certificates
Les produits
Notre gamme
Partenaires
Support
Numéro vert
Focus


Présentation détaillée Extended Validation

Présentation EV du 15 mars 2007

2007 marque l'arrivée d'une nouvelle génération de certificats serveurs: les certificats EV.

Ces certificats apportent une expérience utilisateur différente dans les nouveaux navigateurs, et dès maintenant dans IE7.

POURQUOI EV?

Reprenons dans le détail! EV signifie Extended Validation (validation étendue). Ces certificats ont été définis par le CA/Browser Forum, un groupement qui réunit les principaux éditeurs de navigateurs web (Microsoft, Fondation Mozilla, Opera, KDE) et les principales autorités de certification WebTrust (Sectigo, Thawte, DigiCert). Ce forum a défini un standard de l'industrie harmonisant les procédures de validation (audit) de délivrance de certificats.

Avant cette norme, chaque autorité de certification avait défini ses propres critères d'audit pour la délivrance de certificats, dans le cadre relativement souple de WebTrust. Néanmoins il y avait de fortes disparités entre les produits avec validation à 3 facteurs (organisation, domaine, téléphone) et les produits avec 1 seul facteur (domain-validated). TBS INTERNET a fait le choix très clair de ne vendre que des certificats à validation à 3 facteurs (validation forte), en prenant position publiquement sur les dangers des certificats domain-validated (phishing). Malheureusement, les navigateurs actuels ne permettaient pas à l'utilisateur de simplement différencier un certificat domain-validated d'un certificat à validation forte.

IMPLEMENTATION D'EV

L'industrie a donc choisi de créer une nouvelle classe de certificats. La procédure de validation de ces certificats est normalisée, c'est à dire que chaque autorité réalise un audit avec un cahier des charges commun, publiquement disponible sur http://www.cabforum.org/ . L'utilisateur final peut donc avoir des garanties sur la qualité de la validation, peu importe l'AC.

évidement, n'est pas AC qui veut. Et pour délivrer des certificats EV, les AC doivent passer un audit spécifique qui aboutit ensuite par l'ajout dans les nouveaux navigateurs d'un certificat racine spécifique. Actuellement, seul IE7 implémente cette technologie (mais représente déjà environ 30% du marché des navigateurs!), et Microsoft a donc approuvé plusieurs AC pour la délivrance de certificats EV.

Les autres membres du CA/B Forum ont prévu d'intégrer l'affichage spécifique EV dans leur prochaine version (notamment dans Firefox 3). Alors justement, quels sont les changements visuels dans IE7?

CHANGEMENTS VISUELS

Lorsqu'IE7 se connecte à un site sécurisé par un certificat EV, il force l'affichage de la barre d'URL avec un fond vert, et ajoute à coté une zone défilante indiquant le nom de l'organisation titulaire du certificat, et le nom de l'AC l'ayant délivré. L'utilisateur se rend obligatoirement compte d'une différence (la barre apparaît même dans une popup) et prend conscience d'un comportement différent.

Vous pouvez visualiser une copie d'écran ou faire un test ici:
http://www.tbs-certificats.com/comparatif_certificat_serveur_ssl_ev.html.fr

Cette barre verte s'intégre à un code de couleur que Microsoft à mis en place: blanc pour un site normal, jaune pour un site potentiellement dangereux et rouge pour un site de phishing.

Microsoft a déjà commencé à communiquer dans la presse informatique et grand public sur ces améliorations de sécurité dans IE7. Microsoft entend poursuivre cette démarche.

POUR QUI EV?

Les certificats EV concernent aujourd'hui les organisations utilisant massivement l'e-commerce et qui sont la cible du phishing: banques, grands cyber marchands, etc. L'affichage différencié déclenché par les certificats EV permet à l'utilisateur d'identifier un site de confiance. L'affichage du titulaire du certificat directement dans la barre verte d'URL lui garantit qu'il est bien sur le site désiré, et non sur un site de phishing.

Clairement, tous les sites qui doivent recueillir la confiance des utilisateurs vont bénéficier d'un certificat EV. C'est le plus haut niveau de confiance actuellement disponible pour le grand public.

Il y a également un intérêt concurrentiel à mettre en place un certificat EV. L'augmentation de la confiance diminue le taux d'abandon de commande et dope le chiffre d'affaire. Le certificat EV permet également de démontrer votre attachement à la sécurisation des données et votre réactivité aux menaces de phishing. Le retour sur investissement sera donc rapide.

L'OFFRE

TBS INTERNET s'est mobilisé pour vous proposer ce nouveau type de certificats. Nous avons travaillé avec nos partenaires, les plus grandes autorités de certification, et nous sommes aujourd'hui le premier courtier au monde à disposer de ces produits!

Les produits EV de DigiCert, Thawte et Sectigo sont donc désormais disponibles dans l'interface grand public et dans l'Espace Client sur notre site. Ils sont totalement gérés et intégrés dans les systèmes que vous connaissez.

Nous avons également suivi une formation aux procédures d'audit EV. En effet, les vérifications sont largement renforcées. Les grands principes restent les même que ceux que vous connaissez, mais avec moins de libéralité. Autant le dire tout de suite, tout le monde ne sera pas éligible aux certificats EV! Il y aura des entités qui rentrent dans le scénario, et les autres où il faudra faire du sur mesure!

Voici un résumé des contraintes:
  • Seules les entreprises et certains établissements publics peuvent en obtenir (et doivent idéalement exister depuis plus de 3 ans)
  • Le Contact Administratif doit être un dirigeant de l'entreprise et apparaître sur le Kbis
  • Le nom de domaine doit appartenir exactement à la raison sociale de l'entreprise (pas de lettre de pouvoir possible)
  • L'entreprise doit être listée à l'annuaire universel (plus précisement, l'établissement dans lequel travaille le Contact Administratif doit être à l'annuaire)
  • Le CSR doit contenir la raison sociale exacte dans le champ O (organisation), et les champs C (pays), L (ville) et ST (département) doivent refléter exactement l'emplacement du siège social ou d'un établissement correctement enregistré (registres et annuaire).
  • L'entreprise doit être correctement répertoriée par Duns & Bradstreet
Evidement, TBS INTERNET sera là pour vous assister et suivre votre dossier, et notamment pour déterminer si votre entreprise est éligible ou vous aider à devenir éligible! La qualité de notre prestation sera déterminante pour obtenir ces certificats, et si vous en doutiez, démontrera la supériorité de notre service à celui fourni directement par les AC.

Les certificats EV existent en version 1 an et 2 ans, et existent en version garantie 40-bit et 128-bit. Les prix unitaires s'échelonnent de 499 à 1499 EUR pour un an. Nous avons un comparatif ici:
http://www.tbs-certificats.com/comparatif_certificat_serveur_ssl_ev.html.fr

Le processus d'audit étant plus lourd, nos fournisseurs ne nous garantissent actuellement aucun délai de livraison. TBS INTERNET ayant obtenu pour ses propres besoins deux certificats EV chez des AC différentes, nous savons qu'il faut au minimum une semaine pour un dossier nickel, et plus pour un dossier nécessitant une lettre d'opinion professionnelle (avocat ou expert comptable).

LA TECHNIQUE

Quelques aspects plus techniques:

  • Les certificats EV sont compatibles avec tous les logiciels serveurs supportant la norme X509v3 (chaînage), y compris la certification croisée. La quasi totalité des produits sont compatibles, nous tenons une liste des logiciels posant problèmes ici:
    http://www.tbs-certificats.com/FAQ/fr/37.html
  • Les certificats EV font nativement afficher la barre d'URL verte dans IE7 sous Vista. Idem pour IE7 sous XP, sauf qu'une mini mise à jour est nécessaire. Nous fournissons le code javascript qui permet de faire cette mise à jour, qui ne déclenche aucun message à l'utilisateur (totalement transparent).
  • Les certificats EV activent évidement le mode SSL sur les anciens navigateurs! Tous les IE 5.01 et supérieur, Netscape 4.77+, Mozilla/Firefox/SeaMonkey/Camino et Safari passent en SSL normalement, soit plus de 97% des navigateurs. Plus de détails ici:
    http://www.tbs-certificats.com/comparatif_certificat_serveur_ssl_ev.html
  • L'installation d'un certificat EV n'est pas plus complexe qu'un certificat SSL normal, mais il est indispensable que la chaine de certification soit bien faite. Nos guides d'installation vous y aideront, et notre outil de diagnostic de votre serveur (service exclusif TBS INTERNET) vous permet facilement de vérifier que votre installation est conforme (bouton disponible sur votre page statut).
J'espère que cette présentation vous permettra désormais d'intégrer les certificats EV dans vos sites ou les proposer à vos clients. Ce type de certificat représente le futur de l'e-commerce, et vous pouvez dès maintenant en profiter!