Les types de certificats TLS
Depuis l’arrivé de Let’s Encrypt, chaque propriétaire de site peut obtenir gratuitement un certificat TLS valide – je parle volontairement de TLS et pas de SSL qui est un protocole abandonné depuis des années et à bannir !
Oui mais ces certificats sont basiques, ils ne garantissent pas l’authenticité du fournisseur de contenu de manière très sûre.
Pour un blog : DV
Ces certificats de validation de domaine (DV) sont suffisant pour garantir la confidentialité de la grande majorité des sites mais pas les sites sur lesquels vous faites transiter des informations sensibles, par exemple les cartes de crédits.
Let’s Encrypt fournit des certificats TLS à toute personne pouvant prouver qu’elle possède un nom de domaine.
Comment le prouver ? Par exemple en créant un fichier particulier dans un répertoire particulier de son site Web dont on est a priori le seul à avoir la maîtrise (sauf si on s’est fait pirater son mot de passe, si on s’est fait piquer sa clé SSH, si un autre compte y a accès, si …).
Pour un peu plus d’authenticité : OV
Avec les certificats de type validation d’organisation, tout n’est pas automatique, le client doit fournir à l’organisme de certification une preuve de son identité avant d’obtenir son certificat.
Selon l’autorité de certification, il peut s’agir d’une pièce d’identité, d’un numéro Kbis, …
Pour les sites commerciaux : EV
Pour les sites marchands, il faut exiger un certificat de validation étendue qui, cette fois, vérifie que l’entreprise est :
- légalement enregistrée
- actuellement opérationnelle
- située à l’adresse mentionnée
- au numéro de téléphone mentionné
En contrepartie une barre verte s’affiche dans la barre de navigation avec le nom de l’entreprise.
En résumé, si vous payez sur un site qui ne possède pas de certificat EV, vous pouvez être victime d’une attaque de type man in the middle sans vous en apercevoir.