Même s'ils sont de plus en plus nombreux à acheter sur Internet, les internautes manquent encore globalement de confiance envers les sites Web. C'est du moins l'avis de VeriSign, le gestionnaire des noms de domaine en ' .com ' ou ' .net ', qui propose également aux sites ses services en tant qu'autorité de certification (AC). Pour rassurer les internautes, VeriSign a entraîné d'autres AC dans l'élaboration d'une nouvelle race de certificats SSL, censés mieux garantir l'identité des sites. Commercialisés dès le mois prochain auprès des professionnels du Net, ces certificats Extended Validation SSL (EV SSL) seront pris en charge dès 2007 par certains navigateurs, qui signaleront par un code couleur les sites équipés dans la barre d'adresses.

Ces certificats sont aujourd'hui incontournables dans le commerce électronique. Tout site Web souhaitant proposer des transactions sécurisées (et cryptées) aux internautes doit disposer d'une telle ' carte d'identité ', matérialisée par un fichier installé sur ses serveurs. Les autorités de certification, qui délivrent ces certificats, sont censées vérifier l'identité de l'éditeur du site. Les adresses ainsi sécurisées sont signalées par le navigateur, qui affiche un petit cadenas et surligne parfois l'adresse en jaune (Firefox). Pour accéder au certificat du site, il suffit de cliquer sur le cadenas situé dans la barre d'adresses.

Mais, selon VeriSign, de nombreuses AC négligent les procédures d'authentification des sites pour accorder leurs certificats : ' Un site peut obtenir un certificat en deux minutes auprès de certaines autorités ', affirme Barbara Gui, responsable commerciale à VeriSign France. En gros, n'importe qui peut aujourd'hui en obtenir un, y compris un site malintentionné. D'où l'idée de mettre en place une politique de certification plus poussée, au travers du nouveau standard EV SSL. Il est élaboré au sein du CA/Browser Forum, constitué d'une vingtaine d'AC et d'éditeurs de navigateurs.

Pour accorder un certificat EV SSL, ' l'autorité devra non seulement vérifier sur les bases de données publiques l'identité de l'éditeur du site (numéro de Siret, etc.) et son nom de domaine, contacter en direct un représentant de l'entreprise, mais aussi lui demander une lettre notariée stipulant certaines informations : identité de l'éditeur, engagement d'une personne physique dans l'entreprise, etc. ', détaille Barbara Gui. A l'exception de la lettre notariée, toutes ces procédures sont actuellement en vigueur à VeriSign ; l'initiateur de l'EV SSL s'est évidemment calqué sur ses propres pratiques pour s'ouvrir facilement ce nouveau marché.

L'intérêt du nouveau certificat est surtout d'être vu par les internautes, pour leur inspirer confiance. C'est pourquoi les éditeurs de navigateurs ont été associés au projet. Microsoft a déjà annoncé sur son blog qu'Internet Explorer 7 reconnaîtra les EV SSL en janvier 2007, via une mise à jour : les adresses des sites équipés de certificats valides seront surlignées en vert, les certificats aux données incomplètes en jaune, les sites suspects ou dont le certificat a expiré, en rouge (pas de surlignage pour les sites possédant d'anciens certificats).

De plus, la barre d'adresses comprendra une fenêtre supplémentaire dans laquelle figurera toujours le cadenas, et où seront affichés directement et clairement le nom de l'éditeur identifié du site et celui de son AC. Une vraie bannière publicitaire pour VeriSign et consorts... Opera 8 devrait aussi adopter cette signalétique, mais rien n'est sûr concernant Firefox, EV SSL n'étant pas encore un standard définitif.

Quoi qu'il en soit, VeriSign compte vendre ces nouveaux certificats dès le mois de décembre à prix d'or : jusqu'à 40 % de plus que ses certificats actuels, déjà facturés entre 400 et 1 000 euros par an aux sites Web ! De quoi donner envie de développer de nouveaux standards...