Comment différencier un certificat DV SSL d’un certificat OV SSL ?

Comment différencier un certificat SSL à validation de domaine (DV) d’un certificat SSL à validation d'organisation (OV) ?

Il existe trois types de certificats SSL : les certificats à validation de domaine (DV), les certificats à validation d'organisation (OV) et les certificats à validation étendue (EV).

De nombreux articles expliquent comment les navigateurs affichent les différences entre les certificats EV SSL et les autres types de certificats (l'activation de la barre d'adresse verte étant la plus évidente). Cependant, afin de différencier les certificats DV et OV, il est nécessaire de revoir la structure même du certificat.

Approche déterministe

La seule façon de savoir avec certitude qu'un certificat est d'un type particulier est de connaître les pratiques de chaque Autorité de Certification. Selon la requête RFC 5280, les Autorités de Certification utilisant la norme de certificat X.509 doivent publier leurs pratiques de sécurité à travers l'extension de politique de certification.

Cela leur permet de déclarer un identifiant unique (OID) dans les certificats qu'elles émettent, qui est lié à un descriptif des pratiques associées à ces certificats. Cet identifiant peut être utilisé, afin de décider si un certificat est fiable ou pour différencier l'interface utilisateur d'une application selon le type de certificat utilisé.

C'est de cette façon que les navigateurs peuvent déterminer si un certificat est de type EV SSL ou non. Les navigateurs sont configurés pour faire confiance aux certificats EV SSL de GlobalSign. Lorsqu'un tel certificat contenant l'identifiant OID correspondant à la politique de GlobalSign leur est présenté , ils « savent » qu'ils doivent activer l'expérience utilisateur EV, comme afficher la barre d'adresse verte.

Les exigences de base du CA/B Forum utilisent la même approche qui définit des identifiants uniques pour les certificats de type DV SSL et OV SSL et qui sont les suivants :

Type Identifiant
Validation du domaine 2.23.140.1.2.1
Validation de l'organisation 2.23.140.1.2.2

Ces identifiants nous rapprochent encore plus de notre objectif d'évaluation déterministe de la politique d'émission des certificats. Ceci étant dit, de nombreuses AC ne les ont pas encore adoptés.

Approche heuristique

Les exigences de base du CA/B Forum n'ayant été établies qu'en 2012, il est logique qu'il faille du temps pour que les certificats existants soient réémis en utilisant ces identifiants. Ryan Hurst explique comment configurer votre application, afin de déterminer la classe d'un certificat, sans dépendre des identifiants OID.

Ryan Hurst parle des approches heuristiques permettant de déterminer la classe d'un certificat : http://unmitigatedrisk.com/?p=203.

Résumé

Malheureusement, il n'existe, aujourd’hui, aucun moyen déterministe de différencier un certificat SSL à validation de domaine d’un certificat SSL à validation d'organisation. Cependant, le secteur ne cesse d'évoluer et, avec un peu de chance, ce sera possible dans quelques années.

En attendant, il existe des méthodes heuristiques que vous pouvez utiliser pour faire la différence entre ces certificats.