FAQ - Certificats Multi-Domain EV SSL d’Entrust

« Extended Validation » fait référence à des méthodes de validation rigoureuses et standard de l’industrie à utiliser par une CA d’émettre un certificat SSL. Les directives d’Extended Validation sont publiées par la CA / le Forum des navigateurs ici.

Un certificat SSL Extended Validation (EV) créé par un consortium industriel appelé CA / Forum des navigateurs. Cette nouvelle catégorie de certificat a été conçue en réponse à la menace croissante des attaques de phishing dans le but d’accroître la confiance des consommateurs dans les transactions en ligne. Les certificats EV ne seront délivrés aux sites Web qu’après une validation rigoureuse de leur identité. Les navigateurs Web refléteront ce niveau supérieur d’assurance de l’identité avec des indicateurs de confiance proéminents et distincts, tels que la barre d’adresse verte dans Internet Explorer et Mozilla Firefox, et des indicateurs verts avancés dans les dernières versions d’Opera et de Google Chrome.

La CA / le Forum des navigateurs est un groupe de fournisseurs de services d’autorités de certification, de fabricants de navigateurs Web et d’autres acteurs du secteur qui se sont réunis pour examiner les moyens de réduire les menaces de phishing. Entrust a précédemment présidé ce groupe et soutient fermement ses travaux. Vous trouverez des informations supplémentaires sur le site Web de la CA / du Forum des navigateurs.

La majorité des navigateurs utilisés aujourd’hui affichent des indicateurs de confiance verts pour les certificats EV. Certains des principaux navigateurs prenant en charge les certificats EV sont Internet Explorer (version 7 et supérieure), Mozilla Firefox version 3, Opera version 8, Safari version 3.2, Google Chrome et Flock version 2.

En raison des nombreux incidents de phishing malveillant et de fraude en ligne, les consommateurs sont préoccupés par l’usurpation d’identité et aimeraient être assurés que le site sur lequel ils saisissent leurs données personnelles est fiable. Si les consommateurs estiment que le site n’est pas digne de confiance et que leurs informations personnelles ne sont pas chiffrées, ils quitteront le site et confieront leurs transactions à un autre fournisseur. Les certificats SSL Multi-Domain EV d’Entrust aideront à accroître la confiance des consommateurs en affichant des indicateurs de confiance proéminents et cohérents lorsque les consommateurs effectuent des transactions en ligne. Le verrou se trouve maintenant en haut de la fenêtre du navigateur plutôt qu’en bas et si un site Web a installé un certificat SSL Multi-Domain EV d’Entrust, la couleur de la barre d’adresse s’affichera en vert et affichera l’identité du site et le nom de la Certificate Authority pour informer le consommateur qu’il peut effectuer ses achats en toute confiance.

Un large éventail d’entités commerciales est désormais éligible aux certificats EV :

1. Organisation privée : Une entité juridique non gouvernementale (que les participations soient privées ou cotées en bourse) dont l’existence a été créée par un dépôt auprès de (ou par un acte de) l’agence de constitution dans sa juridiction de constitution.
2. Entité gouvernementale : Une entité juridique, une agence, un service, un ministère ou un organisme similaire du gouvernement d’un pays ou d’une sous-division politique dans ce pays (tel qu’un état, une province, une ville, un comté, etc.).
3. Entité commerciale : Toute entité qui n’est ni une organisation privée ni une entité gouvernementale. On trouve, par exemple, les sociétés en nom collectif, les associations non constituées en société et les entreprises individuelles.

Les certificats Multi-Domain EV SSL d’Entrust seront d’abord disponibles à l’achat ici via le site Web des Services de certificats Entrust et à une date ultérieure via notre interface améliorée pour les clients gérant des groupes de certificats plus importants.

Oui. Veuillez noter que les clients qui profitent de ces promotions devront être validés conformément aux nouvelles directives EV avant que les certificats puissent être émis.

Les certificats Multi-Domain EV SSL d’Entrust ont une durée de validité maximale de 2 ans (24 mois).

La principale différence réside dans ce qui se passe avant même l’émission des certificats SSL EV d’Entrust. Avant d’émettre un certificat SSL Entrust, Entrust effectue des vérifications pour « bloquer » ou valider l’identité du demandeur.

Dans le cadre du nouveau modèle EV, la validation d’une entité (p. ex. une entreprise ou un opérateur de site Web) demandant un certificat Multi-Domain EV SSL d’Entrust sera effectuée en utilisant les directives standard de l’industrie, telles que définies par la CA / le Forum des navigateurs. Ceci est différent des pratiques actuelles : différentes autorités de certification appliquent des normes de validation très différentes. Bien que la majorité des autorités de certification effectuent des pratiques de validation rigoureuses, toutes ne le font pas et cela nuit à la sécurité globale du SSL pour les transactions des consommateurs.

Les certificats émis à l’aide de l’« Extended Validation » incluront une référence à une politique de certificat spécifique à l’EV. Chaque autorité de certification aura une politique et un identifiant d’objet de politique (OID) uniques. Les navigateurs prenant en charge l’EV se comportent différemment lorsqu’ils rencontrent un certificat émis sous un OID de politique EV qu’ils reconnaissent.

Au niveau technique, les certificats Multi-Domain EV SSL d’Entrust ne sont pas différents des certificats X.509 standard et sont rétrocompatibles avec les anciens navigateurs. Les certificats SSL Multi-Domain EV d’Entrust comprendront plus d’informations sur le sujet (l’entité à laquelle le certificat a été délivré) – y compris la juridiction de constitution.

D’un point de vue cryptographique, oui, vos certificats SSL Entrust actuels permettront toujours des sessions SSL cryptées.

Cependant, la plus grande menace pour les transactions en ligne n’est pas de nature cryptographique, c’est le phishing. Le phishing s’attaque à l’incapacité du consommateur à discerner entre les sites dignes de confiance et les sites d’imposteurs.

L’initiative EV vise à permettre aux consommateurs de faire plus facilement la distinction. Du point de vue de la convivialité, les certificats non-EV auront une efficacité décroissante à mesure que les consommateurs utiliseront les nouveaux navigateurs et s’attendront à trouver les indicateurs de confiance solides fournis par les certificats SSL Multi-Domain EV d’Entrust lorsqu’ils effectuent des transactions.

Si vous exploitez un site Web qui effectue des transactions de commerce électronique ou si vous collectez des informations sensibles ou privées, vous devriez envisager de passer aux certificats Multi-Domain EV SSL d’Entrust.

Les attaques de phishing constituent une réelle menace pour la confiance que les consommateurs ont placée sur Internet et les certificats Multi-Domain EV SSL d’Entrust ne peuvent faire partie de la solution que s’ils sont largement déployés et utilisés.

Les navigateurs qui ne prennent pas en charge les certificats EV continueront à se comporter comme ils le font aujourd’hui. Tant que le certificat a été émis par une AC approuvée par le navigateur, le verrou se fermera comme prévu.

Dans la plupart des cas, la prise en charge des sites Web sur les navigateurs plus anciens et les navigateurs EV plus récents nécessitera l’installation d’un certificat croisé sur le serveur Web émis par une CA racine déjà intégrée dans les navigateurs plus anciens. Le certificat croisé certifiera qu’une AC émettrice spécifique à l’EV plus récente est approuvée, et le certificat de site du serveur Web réel sera émis par cette AC émettrice.

La réponse peut varier en fonction du type de navigateur, mais, en général, une barre d’adresse rouge peut indiquer que vous avez accédé à un site de phishing connu.

L’alerte rouge bloque l’accès immédiat aux sites de phishing signalés, bien que les utilisateurs puissent accéder au site s’ils le souhaitent.

Une barre d’adresse rouge peut également indiquer qu’un problème peut exister avec le certificat ou que ce dernier peut ne pas avoir été émis par une autorité de certification de confiance.

Internet Explorer inclut des avertissements importants aux utilisateurs et recommandera à ces derniers de ne pas visiter la page.

Si l’utilisateur ignore les avertissements et continue, la barre d’adresse devient rouge et des « badges de sécurité » d’avertissement rouges apparaissent.

Oui, si vous possédez une CA enracinée Entrust, vous pourrez émettre des certificats Multi-Domain EV SSL d’Entrust une fois que votre CA sera reconnue par les navigateurs compatibles avec l’EV. Cela impliquera soit une certification croisée avec une AC déjà présente dans les programmes d’intégration de racine EV des principaux navigateurs, soit que vous soumettiez votre propre racine dans ces programmes. Dans les deux cas, vous devrez subir un audit selon les Directives de la CA / du Forum des navigateurs.

Les opérateurs de sites Web devront prendre en compte certains changements, par exemple, plus de détails sur l’abonné seront placés dans le certificat, notamment :

• Nom de domaine
• Nom de l’organisation
• Juridiction de constitution
• Ville
• État ou province (le cas échéant)
• Pays – obligatoire

Certains outils de génération de CSR peuvent ne pas vous permettre d’ajouter ces informations à vos certificats. Cependant, Entrust pourra ajouter ces informations à vos certificats SSL Multi-Domain EV d’Entrust une fois votre commande de certificat passée.

Veuillez noter que les normes EV n’autorisent pas l’utilisation de certificats génériques, ce qui peut avoir un impact sur le nombre de certificats que vous devrez peut-être acheter.

Bien qu’il soit possible d’activer des fonctionnalités de sécurité plus importantes dans les navigateurs en fonction des certificats SSL actuels, le problème vient du niveau de validation incohérent derrière les certificats actuels.

Certaines autorités de certification effectuent aujourd’hui des contrôles de validation beaucoup moins rigoureux sur les entreprises qui demandent des certificats SSL, ce qui présente le risque qu’un site de phishing puisse acquérir un certificat SSL valide.

Gardant ce risque à l’esprit, la CA / le Forum des navigateurs a entrepris d’établir un ensemble cohérent et commun de directives de validation que les CA participantes pourraient suivre et sur lesquelles les fabricants de navigateurs pourraient s’appuyer avant d’activer des fonctionnalités de sécurité plus importantes telles que la barre d’adresse verte.

Non, les directives SSL EV n’autorisent pas les certificats génériques. Dans certains cas, l’utilisation d’extensions subjectAltName peut offrir les mêmes avantages qu’un certificat générique, ce qui est autorisé dans les directives EV.

Entrust DOIT révoquer un certificat Multi-Domain EV SSL d’Entrust qu’il a émis si l’un des événements suivants se produit :

• L’Abonné demande la révocation de son certificat Multi-Domain EV SSL d’Entrust.
• L’Abonné indique que la demande de certificat Multi-Domain EV SSL d’Entrust d’origine n’a pas été autorisée et n’accorde pas d’autorisation rétroactivement.
• Entrust obtient des preuves raisonnables que la clé privée de l’Abonné (correspondant à la clé publique dans le certificat Multi-Domain EV SSL d’Entrust) a été compromise ou que le certificat Multi-Domain EV SSL d’Entrust a été utilisé de manière abusive.
• Entrust reçoit un avis ou prend autrement connaissance qu’un Abonné enfreint l’une de ses obligations importantes en vertu du contrat d’abonnement.
• Entrust reçoit un avis ou prend autrement connaissance qu’un tribunal ou un arbitre a révoqué le droit d’un Abonné d’utiliser le nom de domaine répertorié dans le certificat SSL Multi-Domain EV d’Entrust, ou que l’Abonné n’a pas renouvelé son nom de domaine.
• Entrust reçoit un avis ou prend autrement connaissance d’un changement important dans les informations contenues dans le certificat Multi-Domain EV SSL d’Entrust.
• Une détermination, à la seule discrétion de l’autorité de certification, que le Certificat Multi-Domain EV SSL d’Entrust n’a pas été émis conformément aux conditions générales des présentes Directives ou des Politiques EV de la CA.
• Si Entrust détermine que l’une des informations figurant dans le certificat Multi-Domain EV SSL d’Entrust n’est pas exacte.
• Entrust cesse ses activités pour quelque raison que ce soit et n’a pas pris les dispositions nécessaires pour qu’une autre CA EV fournisse une assistance à la révocation du certificat EV.
• Le droit d’Entrust de délivrer un certificat Multi-Domain EV SSL d’Entrust en vertu des présentes directives expire ou est révoqué ou résilié [à moins que la CA ne prenne des dispositions pour continuer à maintenir le référentiel CRL/OCSP].
• La clé privée d’Entrust pour ce certificat Multi-Domain EV SSL d’Entrust a été compromise.
• Entrust reçoit un avis ou prend autrement connaissance qu’un Abonné a été défini comme partie restreinte ou personne interdite dans une liste noire, ou qu’il opère à partir d’une destination interdite en vertu des lois de la juridiction d’exploitation de la CA.

Rapports

Si vous souhaitez révoquer votre certificat Multi-Domain EV SSL d’Entrust pour l’une des raisons ci-dessus, vous pouvez contacter Entrust en remplissant notre formulaire de plainte en ligne.

En plus de la révocation du certificat Multi-Domain EV SSL d’Entrust, les Abonnés, les Parties utilisatrices, les Fournisseurs de logiciels d’application et d’autres tiers peuvent contacter Entrust en remplissant notre formulaire de plainte en ligne pour signaler des plaintes ou une suspicion de compromission de clé privée, une mauvaise utilisation du certificat EV ou d’autres types de fraude, de compromission, de mauvaise utilisation ou de conduite inappropriée liés aux certificats EV.

Enquête

Entrust commencera une enquête sur tous les signalements de problème de certificat dans les vingt-quatre (24) heures et décidera si la révocation ou toute autre action appropriée est justifiée sur la base, au minimum, des critères suivants :

1. La nature du problème allégué ;
2. Nombre de rapports de problème de certificat reçus concernant un certificat ou un site Web EV particulier ;
3. L’identité des plaignants (par exemple, les plaintes d’un responsable de l’application de la loi selon lesquelles un site Web se livre à des activités illégales ont plus de poids qu’une plainte d’un consommateur alléguant qu’il n’a jamais reçu les produits qu’il a commandés) ; et
4. Législation pertinente en vigueur.

Réponse

Entrust maintiendra une capacité continue 24 h/24 et 7 j/7 pour répondre en interne à tout rapport de problème de certificat à priorité élevée et, le cas échéant, transmettra ces plaintes aux forces de l’ordre et/ou révoquera un certificat SSL Multi-Domain EV d’Entrust faisant l’objet d’une telle plainte.