Comment différencier un certificat SSL à validation de domaine (DV) d’un certificat SSL à validation d'organisation (OV) ?
Il existe trois types de certificats SSL : les certificats à validation de domaine (DV), les certificats à validation d'organisation (OV) et les certificats à validation étendue (EV).
De nombreux articles expliquent comment les navigateurs affichent les différences entre les certificats EV SSL et les autres types de certificats. Cependant, afin de différencier les certificats DV et OV, il est nécessaire de revoir la structure même du certificat.
Approche déterministe
La seule façon de savoir avec certitude qu'un certificat est d'un type particulier est de connaître les pratiques de chaque Autorité de Certification. Selon la requête RFC 5280, les Autorités de Certification utilisant la norme de certificat X.509 doivent publier leurs pratiques de sécurité à travers l'extension de politique de certification.
Cela leur permet de déclarer un identifiant unique (OID) dans les certificats qu'elles émettent, qui est lié à un descriptif des pratiques associées à ces certificats. Cet identifiant peut être utilisé, afin de décider si un certificat est fiable ou pour différencier l'interface utilisateur d'une application selon le type de certificat utilisé.
C'est de cette façon que les navigateurs peuvent déterminer si un certificat est de type EV SSL ou non. Les navigateurs sont configurés pour faire confiance aux certificats EV SSL de GlobalSign. Lorsqu'un tel certificat contenant l'identifiant OID correspondant à la politique de GlobalSign leur est présenté , ils « savent » qu'ils doivent activer l'expérience utilisateur EV.
Les exigences du CA/B Forum utilisent la même approche qui définit des identifiants uniques pour les certificats de type DV SSL et OV SSL et qui sont les suivants :
| Type | Identifiant |
|---|---|
| Validation du domaine | 2.23.140.1.2.1 |
| Validation de l’organisation | 2.23.140.1.2.2 |
Ces identifiants nous rapprochent encore plus de notre objectif d'évaluation déterministe de la politique d'émission des certificats. Ceci étant dit, de nombreuses AC ne les ont pas encore adoptés.
Approche heuristique
Les exigences de base du CA/B Forum n'ayant été établies qu'en 2012, il est logique qu'il faille du temps pour que les certificats existants soient réémis en utilisant ces identifiants. Ryan Hurst explique comment configurer votre application, afin de déterminer la classe d'un certificat, sans dépendre des identifiants OID :
Ryan Hurst parle des approches heuristiques permettant de déterminer la classe d'un certificat : http://unmitigatedrisk.com/?p=203.
Résumé
Malheureusement, il n'existe, aujourd’hui, aucun moyen déterministe de différencier un certificat SSL à validation de domaine d’un certificat SSL à validation d'organisation. Cependant, le secteur ne cesse d'évoluer et, avec un peu de chance, ce sera possible dans quelques années.
En attendant, il existe des méthodes heuristiques que vous pouvez utiliser pour faire la différence entre ces certificats.