Domaines Qui Devraient Être EV (?) Et Ne Le Sont Pas
FleetingPour identifier le certificat EV
Critère Certificat EV Certificat OV Certificat DV businessCategory ✅ ❌ ❌ jurisdictionCountryName ✅ ❌ ❌ serialNumber (immatriculation) ✅ ❌ ❌ OID 2.23.140.1.1 dans policies ✅ ❌ ❌ — chatgpt ()
DV, OV ou EV pour des transactions bancaires ?
- Est-ce qu’un certificat DV serait acceptable pour un service comme gateway.ixopay.com ?
Réponse courte : Non, un simple certificat DV (Domain Validation) ne serait pas approprié pour un service de type passerelle de paiement.
Voici pourquoi :
1. Le DV ne garantit que le contrôle du domaine
- Un certificat DV ne vérifie que si l’entité contrôle le domaine (`gateway.ixopay.com`).
- Aucune vérification de l’identité légale (comme IXOPAY GmbH) n’est effectuée.
- Cela signifie que tout acteur malveillant pourrait obtenir un certificat DV pour un domaine très proche (ex : `gateway-ixopay.com`) — et paraître “sécurisé”.
2. Risque d’usurpation d’identité
- Le DV est vulnérable au phishing : l’utilisateur voit un cadenas vert, mais n’a aucune garantie sur l’identité réelle du service.
- Pour un service de paiement, cela expose à des attaques critiques si le certificat DV est utilisé sur un domaine trompeur.
3. Attentes du secteur des paiements
- Les services traitant des données sensibles (paiements, authentification, etc.) utilisent au minimum :
- Certificats OV (recommandés)
- Certificats EV (parfois utilisés, mais pas obligatoires)
- Le standard PCI DSS ne requiert pas EV, mais impose une transmission sécurisée, ce qui exclut l’usage de DV dans certains cas de production.
4. Confiance inter-entreprises
- gateway.ixopay.com est intégré par d’autres marchands et services.
- Ces partenaires s’attendent à une preuve d’identité vérifiable, ce que seul un certificat OV (ou EV) fournit.
Conclusion : L’usage d’un certificat DV uniquement sur une passerelle de paiement comme `gateway.ixopay.com` serait insuffisant en termes de sécurité, de conformité et de confiance. Un certificat OV est le minimum acceptable.
— chatgpt ()
DHL -> ixopay
Pour un paiement de frais de douane.
https://gateway.ixopay.com/payment/XXXXX
clk cert show openssl gateway.ixopay.com
CONNECTED(00000003)
---
Certificate chain
0 s:CN=ixopay.com
i:C=US, O=Google Trust Services, CN=WE1
a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA256
v:NotBefore: Mar 7 22:43:46 2025 GMT; NotAfter: Jun 5 23:43:36 2025 GMT
-----BEGIN CERTIFICATE-----
MIIDnzCCA0agAwIBAgIQKYh/YqXU93wOhcxrQOk1hjAKBggqhkjOPQQDAjA7MQsw
CQYDVQQGEwJVUzEeMBwGA1UEChMVR29vZ2xlIFRydXN0IFNlcnZpY2VzMQwwCgYD
VQQDEwNXRTEwHhcNMjUwMzA3MjI0MzQ2WhcNMjUwNjA1MjM0MzM2WjAVMRMwEQYD
VQQDEwppeG9wYXkuY29tMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE4FeMvfuM
LxOjY5BZKyuJg7k0trBygsq8shvGL9Ce3D/dc6e/4rVUVWJesdiWudDnEVXC2OCI
/FZeZZ4nXMiGsaOCAlAwggJMMA4GA1UdDwEB/wQEAwIHgDATBgNVHSUEDDAKBggr
BgEFBQcDATAMBgNVHRMBAf8EAjAAMB0GA1UdDgQWBBS7wRXpT3sWLnRpQFhiJhEa
HvtvmjAfBgNVHSMEGDAWgBSQd5I1Z8T/qMyp5nvZgHl7zJP5ODBeBggrBgEFBQcB
AQRSMFAwJwYIKwYBBQUHMAGGG2h0dHA6Ly9vLnBraS5nb29nL3Mvd2UxL0tZZzAl
BggrBgEFBQcwAoYZaHR0cDovL2kucGtpLmdvb2cvd2UxLmNydDAjBgNVHREEHDAa
ggppeG9wYXkuY29tggwqLml4b3BheS5jb20wEwYDVR0gBAwwCjAIBgZngQwBAgEw
NgYDVR0fBC8wLTAroCmgJ4YlaHR0cDovL2MucGtpLmdvb2cvd2UxLzhKbXlQQjhn
bUVjLmNybDCCAQMGCisGAQQB1nkCBAIEgfQEgfEA7wB2AE51oydcmhDDOFts1N8/
Uusd8OCOG41pwLH6ZLFimjnfAAABlXL+WJ0AAAQDAEcwRQIhAMprvpcXhdHP+7La
Ngzg4PVm0UUKdF0qh6sYL3FR1/BxAiBJ184Om59skel+ekZzXknZC6rTlrM97eOw
xPPKUiduUgB1ABNK3xq1mEIJeAxv70x6kaQWtyNJzlhXat+u2qfCq+AiAAABlXL+
WlMAAAQDAEYwRAIgdRXyDCPCsShZkaBpVx9jEEmH3RVSZvztEmQ9+CquoNsCIAPi
RvTfDJB7A3Xif/4cdP4VhfC1MJ2OO/ngq+ihFe5BMAoGCCqGSM49BAMCA0cAMEQC
IHFMFyE4MDX5aKzY+QCGNdzcJe/PlH9Qur3tu39S17fZAiBBTLZc8sWYe27NwwEX
BiZ0nc7/mf9tqXiWVabdrR4OZg==
-----END CERTIFICATE-----
1 s:C=US, O=Google Trust Services, CN=WE1
i:C=US, O=Google Trust Services LLC, CN=GTS Root R4
a:PKEY: id-ecPublicKey, 256 (bit); sigalg: ecdsa-with-SHA384
v:NotBefore: Dec 13 09:00:00 2023 GMT; NotAfter: Feb 20 14:00:00 2029 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
2 s:C=US, O=Google Trust Services LLC, CN=GTS Root R4
i:C=BE, O=GlobalSign nv-sa, OU=Root CA, CN=GlobalSign Root CA
a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256
v:NotBefore: Nov 15 03:43:21 2023 GMT; NotAfter: Jan 28 00:00:42 2028 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=CN=ixopay.com
issuer=C=US, O=Google Trust Services, CN=WE1
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: ECDSA
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 2818 bytes and written 418 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Protocol: TLSv1.3
Server public key is 256 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
sha256 Fingerprint=23:5E:47:5F:4B:DE:DA:15:1C:79:15:B2:FA:57:60:64:B7:FD:D1:B4:E7:32:31:8C:E2:73:08:50:ED:B1:B4:F7
sha1 Fingerprint=32:6D:B2:31:B4:C4:CE:98:48:63:41:EB:68:D4:46:E3:73:DF:F0:B3
md5 Fingerprint=35:93:F1:55:71:ED:41:85:D0:0B:69:ED:C2:B1:4F:2E
sha256 Fingerprint=1D:FC:16:05:FB:AD:35:8D:8B:C8:44:F7:6D:15:20:3F:AC:9C:A5:C1:A7:9F:D4:85:7F:FA:F2:86:4F:BE:BF:96
sha1 Fingerprint=10:8F:BF:79:4E:18:EC:53:47:A4:14:E4:37:0C:C4:50:6C:29:7A:B2
md5 Fingerprint=E8:D4:45:56:34:2D:AB:C7:32:D2:6B:82:49:BC:A4:91
sha256 Fingerprint=76:B2:7B:80:A5:80:27:DC:3C:F1:DA:68:DA:C1:70:10:ED:93:99:7D:0B:60:3E:2F:AD:BE:85:01:24:93:B5:A7
sha1 Fingerprint=93:2B:ED:33:9A:A6:92:12:C8:93:75:B7:93:04:B4:75:49:0B:89:A0
md5 Fingerprint=C2:05:E6:C0:9E:B5:F2:82:35:E4:E1:D5:43:B5:BF:E4
- Est-ce normal que gateway.ixopay.com n’utilise pas un certificat EV ?
Oui, c’est tout à fait cohérent et conforme à son usage. Voici les raisons :
1. Nature du service
- `gateway.ixopay.com` est une passerelle de paiement (payment gateway) utilisée par des commerçants ou intégrateurs.
- Il n’est pas un site web d’information ou promotionnel, mais un point d’intégration technique sécurisé pour des flux de paiement.
2. Pas d’interaction directe avec l’utilisateur final
- Ce sous-domaine est souvent intégré via API ou utilisé pour des redirections silencieuses.
- Les utilisateurs finaux n’interagissent pas consciemment avec ce domaine.
- Par conséquent, l’affichage du nom de l’entreprise dans la barre du navigateur (objectif du certificat EV) n’apporterait aucune valeur.
3. OV est approprié
- Un certificat OV (Validation d’Organisation) :
- Assure la sécurité des communications via HTTPS.
- Vérifie l’identité légale de l’entreprise (IXOPAY GmbH).
- Est moins contraignant administrativement et plus rapide à émettre qu’un EV.
4. Normes du secteur
- La majorité des passerelles de paiement (Stripe, Adyen, Worldline, etc.) utilisent des certificats OV.
- Le niveau de sécurité est jugé suffisant dès lors que :
- L’identité de l’organisation est vérifiée (OV).
- La connexion est sécurisée (TLS).
- Le service respecte d’autres normes de sécurité (ex : PCI DSS).
Conclusion : L’usage d’un certificat OV pour `gateway.ixopay.com` est tout à fait normal et adapté à son rôle technique, même dans un contexte sensible comme le paiement.
— chatgpt ()
3D secure de la banque postale
clk cert show openssl labanquepostale-3ds-vdm.wlp-acs.com
CONNECTED(00000003)
---
Certificate chain
0 s:C=FR, ST=Île-de-France, O=Worldline, CN=san.labanquepostale-3ds.wlp-acs.com
i:C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Organization Validation Secure Server CA
a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA256
v:NotBefore: Feb 28 00:00:00 2025 GMT; NotAfter: May 29 23:59:59 2025 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
1 s:C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Organization Validation Secure Server CA
i:C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA384
v:NotBefore: Nov 2 00:00:00 2018 GMT; NotAfter: Dec 31 23:59:59 2030 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
2 s:C=US, ST=New Jersey, L=Jersey City, O=The USERTRUST Network, CN=USERTrust RSA Certification Authority
i:C=GB, ST=Greater Manchester, L=Salford, O=Comodo CA Limited, CN=AAA Certificate Services
a:PKEY: rsaEncryption, 4096 (bit); sigalg: RSA-SHA384
v:NotBefore: Mar 12 00:00:00 2019 GMT; NotAfter: Dec 31 23:59:59 2028 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=C=FR, ST=Île-de-France, O=Worldline, CN=san.labanquepostale-3ds.wlp-acs.com
issuer=C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Organization Validation Secure Server CA
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 5833 bytes and written 435 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Protocol: TLSv1.3
Server public key is 4096 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
sha256 Fingerprint=96:DF:57:F3:A0:C3:B7:AB:B1:9A:AF:74:02:4F:C4:5A:A7:13:27:E3:4E:56:6A:E3:6E:99:1F:40:F2:60:04:EF
sha1 Fingerprint=BB:7F:85:B5:77:35:69:3B:E6:E6:DD:7C:77:EC:0D:A3:FE:58:58:BE
md5 Fingerprint=3E:82:AE:7F:75:CB:F1:F2:63:C3:20:95:B0:6B:75:8B
sha256 Fingerprint=72:A3:4A:C2:B4:24:AE:D3:F6:B0:B0:47:55:B8:8C:C0:27:DC:CC:80:6F:DD:B2:2B:4C:D7:C4:77:73:97:3E:C0
sha1 Fingerprint=40:CE:F3:04:6C:91:6E:D7:AE:55:7F:60:E7:68:42:82:8B:51:DE:53
md5 Fingerprint=88:6E:A7:8B:53:0E:0F:D5:BD:A4:E1:25:27:AB:6A:2C
sha256 Fingerprint=68:B9:C7:61:21:9A:5B:1F:01:31:78:44:74:66:5D:B6:1B:BD:B1:09:E0:0F:05:CA:9F:74:24:4E:E5:F5:F5:2B
sha1 Fingerprint=D8:9E:3B:D4:3D:5D:90:9B:47:A1:89:77:AA:9D:5C:E3:6C:EE:18:4C
md5 Fingerprint=28:5E:C9:09:C4:AB:0D:2D:57:F5:08:6B:22:57:99:AA
- Est-ce normal que le service 3DS de La Banque Postale ne soit pas en EV ?
Oui, c’est tout à fait normal. Voici pourquoi :
1. Le rôle du certificat EV
- Les certificats à Validation Étendue (EV) sont conçus pour afficher une preuve visible d’identité dans les navigateurs (par ex. nom de l’entreprise).
- Leur principal intérêt est d’**inspirer confiance à l’utilisateur final**, notamment sur les sites publics (banques, e-commerces…).
2. Dans le cas d’un service 3D Secure
- Le service 3DS (comme `labanquepostale-3ds-vdm.wlp-acs.com`) est utilisé dans un contexte très ciblé : la validation d’une transaction bancaire.
- Ce n’est pas un site “navigué” directement par l’utilisateur : il est invoqué dans un cadre semi-transparent (redirection ou iframe depuis un site commerçant).
- L’utilisateur est déjà en confiance, car la transaction vient d’un site de confiance (La Banque Postale, par exemple).
3. OV suffit pour ce cas d’usage
- Le certificat OV permet :
- La connexion HTTPS sécurisée.
- La vérification de l’organisation propriétaire du domaine (ex : Worldline pour La Banque Postale).
- C’est le niveau de sécurité requis pour ce genre d’environnement.
4. Sécurité dans le 3DS
- La vérification de l’identité du client (ex : code SMS, app mobile, biométrie) se fait hors certificat SSL.
- Le certificat protège le canal, mais l’authentification forte repose sur d’autres mécanismes.
Conclusion : Il est tout à fait logique et sécurisé que le service 3DS de La Banque Postale utilise un certificat OV, et non EV.
— ()