Un site web sécurisé (HTTPS) justifie son identité auprès de votre navigateur par l’envoi d’un certificat de sécurité (comme une carte d'identité). Ce certificat est validé (signé) par une autorité de certification reconnue par votre navigateur. Pour fonctionner, les techniques d'interception de type "homme du milieu" (Man In The Middle - MITM) génèrent dynamiquement de faux certificats. La méthode que nous avons créé avec CheckmyHTTPS permet de vérifier que le certificat que vous recevez est bien celui qui a été émis par le serveur. Son fonctionnement est décrit dans le schéma suivant :

* Le serveur de vérification par défaut est 'checkmyhttps.net'. Vous pouvez le remplacer par le votre (cf. github).

Nous avons développé plusieurs clients qui exploitent cette méthode (extensions de navigateur WEB, applications mobiles, pages WEB de test). Ces clients interagissent avec le serveur de vérification via une API (Application Program Interface) de la manière suivante :