Informatique Outaouais

Informatique Outaouais

Demandez-nous ce que vous avez besoin.

From the blog

Certificats EV : Chrome enfonce le clou du cercueil

Certificats EV : Chrome enfonce le clou du cercueil

Les certificats sont un monde complexe et parfois obscur. Et les navigateurs aimeraient simplifier un peu tout cela : les ingénieurs de Google Chrome ont ainsi annoncé vendredi dernier qu’ils envisageaient de mettre fin à l’affichage spécifique des certificats EV (Extended Validation) dans la version 77 de Chrome. Pour connaître la nature du certificat, l’utilisateur devra cliquer dessus, mais les certificats EV ne disposeront plus de l’affichage spécifique, qui se distinguait par l’affichage du nom de l’entreprise dans la barre d’URL à côté du cadenas signalant l’utilisation de HTTPS.

 

L’affichage actuel des sites disposant d’un certificat EV dans Chrome

L’affichage à partir de la version 77

Pour l’équipe des développeurs de Chrome, ce choix s’impose suite aux conclusions de plusieurs chercheurs ayant montré que le grand public ne faisait pas vraiment de différence entre les subtilités d’affichage des différents types de certificats. « Une série d’études académiques menées dans les années 2000 s’est attachée à analyser l’utilité de l’affichage des certificats EV dans l’interface des navigateurs. Ces études ont montré que cet affichage ne permettait pas de protéger les utilisateurs contre le phishing, comme initialement prévu » écrit l’équipe sécurité de Chrome. S’appuyant sur des études tierces ainsi que sur un sondage mené auprès de leurs utilisateurs, les développeurs de Chrome se rangent donc à cette conclusion et annoncent vouloir se débarrasser de l’affichage spécifique aux certificats EV dans Chrome.

L’initiative n’est pas isolée : l’annonce de Chrome a rouvert le débat sur l’affichage spécifique aux certificats EV chez les développeurs de Firefox, qui se posent également la question de l’utilité de cet élément dans leur navigateur et annoncent leur intention de supprimer cet affichage dans la version 70 de Firefox. Chez Safari et Edge, l’affichage du nom de l’entreprise dans la barre d’URL est déjà un vestige du passé.

EV, OV, DV, qu’est ce que c’est ?

Pour ceux qui ne saisiraient pas bien la subtilité, les certificats se déclinent selon différentes variétés (et différents prix évidemment). Le certificat le plus basique est le certificat DV (Domain Validation) : celui-ci se contente de vérifier que le détenteur du certificat est bien le détenteur de votre nom de domaine. Les certificats OV et EV apportent des niveaux de confiance supplémentaires : l’autorité de certification qui les émet doit ainsi procéder à des vérifications sur la nature et l’existence physique de l’organisation ou de la personne détentrice du certificat, afin notamment de limiter les risques de phishing.

Ces certificats OV et EV (qui correspondent chacun à un certain niveau de certification par les autorités émettant les certificats) sont évidemment vendus plus chers. Parmi les arguments avancés par les autorités, certaines proposent également des garanties censées rembourser le détenteur du certificat en cas d’abus par des personnes malveillantes. Mais certains observateurs ont de sérieux doutes sur le fonctionnement de ces garanties et se demandent tout simplement si des possesseurs de ces certificats en ont déjà bénéficié.

La décision de Chrome et de Firefox vient donc remettre à nouveau en question l’utilité de ces certificats. Dans un monde où n’importe qui peut avoir recours à un certificat DV émis par Let’s Encrypt gratuitement et où les utilisateurs ne font pas vraiment attention aux différences entre les certificats, les certificats EV ont donc du plomb dans l’aile.

https://www.zdnet.fr/actualites/certificats-ev-chrome-enfonce-le-clou-du-cercueil-39889055.htm#xtor=RSS-1

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *