Comment vérifier une attestation Open Badge 3.0 (OB3)
Les attestations Open Badge 3.0 sont signées cryptographiquement — ce qui veut dire qu'elles peuvent être vérifiées par n'importe qui, sans avoir à contacter l'organisation émettrice. Mais savoir comment en vérifier une, et savoir ce que les résultats signifient réellement, n'est pas toujours évident.
Ce guide couvre tout : comment soumettre une attestation pour vérification, ce que signifie chaque vérification et comment interpréter les résultats, y compris ceux qui sont moins évidents.
Ce que vérifie réellement la vérification OB3
Vérifier une attestation OB3 n'est pas une simple opération oui/non. Il y a cinq vérifications distinctes, chacune testant quelque chose de différent :
1. Structure — L'attestation contient-elle tous les champs requis par la spécification OB3 ? Cela inclut @context, type, issuer, validFrom et credentialSubject.achievement. Une attestation qui échoue à cette vérification n'a pas été émise correctement.
2. Contexte — L'attestation déclare-t-elle la bonne norme ? Les attestations OB3 doivent référencer à la fois le contexte W3C Verifiable Credentials et le contexte 1EdTech OB3. Sans ces références, un vérificateur ne peut pas interpréter l'attestation correctement.
3. Échéance — L'attestation est-elle toujours dans sa période de validité ? Si une date d'expiration a été définie à l'émission, cette vérification confirme que l'attestation ne l'a pas dépassée. Les attestations sans date d'expiration réussissent toujours cette vérification.
4. Émetteur résolvable — L'identité de l'émetteur peut-elle être confirmée ? Les attestations OB3 référencent l'émetteur via un DID (Decentralized Identifier). La vérification récupère la clé publique de l'émetteur depuis ce point d'accès DID. Si le point d'accès est inaccessible, l'authenticité de l'attestation ne peut pas être confirmée — mais cela ne veut pas nécessairement dire que l'attestation est fausse.
5. Signature — La signature cryptographique est-elle valide ? À l'aide de la clé publique de l'émetteur, la vérification confirme que l'attestation a été signée par l'émetteur déclaré et n'a pas été modifiée depuis l'émission. C'est la garantie de confiance fondamentale d'OB3.
Comment vérifier une attestation
Avec le validateur OB3 de CertLister
Le validateur OB3 de CertLister est un outil gratuit qui vérifie toute attestation OB3 au format JWT, peu importe l'émetteur. Il exécute les cinq vérifications et affiche les résultats à l'écran — aucun compte requis.
Il existe trois façons de soumettre une attestation :
Déposer un fichier — Si vous avez un fichier .jwt (téléchargé depuis la page de vérification de l'émetteur ou depuis une plateforme de badges), glissez-le et déposez-le sur le validateur. Le fichier est lu localement dans votre navigateur et n'est jamais téléversé sur un serveur.
Coller une URL d'attestation — Si vous avez un lien vers l'attestation (par exemple https://app.certlister.com/api/v1/public/credentials/CERT-123/ob3), collez-le dans le champ URL et cliquez sur Valider. Le validateur récupère l'attestation côté serveur pour éviter les restrictions CORS du navigateur.
Coller la chaîne JWT — Si vous avez le texte brut de l'attestation (une longue chaîne de la forme xxxxx.yyyyy.zzzzz), collez-le directement dans le champ de saisie. Le validateur détecte automatiquement les chaînes JWT.
Une fois soumise, la validation s'exécute immédiatement. Les cinq vérifications apparaissent une par une à mesure qu'elles se terminent — les vérifications structurelles sont instantanées, tandis que les vérifications de l'émetteur et de la signature prennent un moment pour récupérer le document DID de l'émetteur.
Lire les résultats
VALIDE
Les cinq vérifications ont réussi. L'attestation est structurellement correcte, non expirée, l'identité de l'émetteur a été confirmée et la signature cryptographique est intacte. C'est la confirmation d'authenticité la plus forte possible.
La carte d'attestation affiche le nom de la réalisation, la description, les critères, le nom et le logo de l'émetteur, le courriel du titulaire, la date d'émission et la date d'échéance (si définie).
INVALIDE
Une ou plusieurs vérifications ont échoué. Les causes les plus fréquentes :
- Expirée — la date d'échéance de l'attestation est passée
- Altérée — la signature ne correspond pas à la clé publique de l'émetteur, ce qui veut dire que l'attestation a été modifiée après la signature
- Erreur structurelle — des champs requis sont manquants, indiquant que l'attestation n'a pas été émise selon la spécification OB3
Une attestation invalide ne devrait pas être acceptée comme preuve de la réalisation déclarée.
NON VÉRIFIÉE
La structure, le contexte et l'échéance de l'attestation sont tous valides, mais la signature n'a pas pu être vérifiée. Cela arrive quand :
- Le serveur de l'émetteur est temporairement indisponible ou met trop de temps à répondre
- L'émetteur a changé de domaine depuis l'émission de l'attestation
- L'émetteur utilise une méthode DID qui n'est pas prise en charge (comme
did:keyoudid:ion)
NON VÉRIFIÉE ne veut pas dire que l'attestation est fausse. Cela veut dire que la preuve cryptographique n'a pas pu être confirmée pour le moment. Si vous avez besoin d'une certitude, réessayez plus tard ou communiquez directement avec l'organisation émettrice.
Situations courantes
Le fichier d'attestation refuse de se valider
Si vous voyez «Attestation OB3 non valide» immédiatement après le téléversement, vérifiez le format du fichier. Les attestations OB3 au format JWT sont des fichiers texte simples avec une extension .jwt. Si vous avez un fichier .json, il pourrait être au format JSON-LD — une sérialisation OB3 différente qui exige un validateur différent. Essayez vc.1ed.tech pour les attestations en JSON-LD.
La vérification de l'émetteur affiche un avertissement concernant une clé renouvelée
Cela veut dire que la clé de signature utilisée dans l'attestation n'est plus présente dans le document DID de l'émetteur. Les émetteurs renouvellent occasionnellement leurs clés pour des raisons de sécurité. L'attestation peut tout de même être authentique — communiquez avec l'organisation émettrice pour confirmer.
jwt.io affiche un avertissement de clé
C'est attendu et ce n'est pas une erreur. jwt.io s'attend à ce que le champ iss soit une URL HTTPS pointant vers un point d'accès de découverte OIDC. Les attestations OB3 utilisent un DID did:web comme émetteur, ce que jwt.io ne comprend pas. Utilisez un validateur conçu spécifiquement pour OB3 plutôt que jwt.io pour les attestations OB3.
Autres outils de vérification
| Outil | Idéal pour |
|---|---|
| Validateur CertLister | Toute attestation OB3 au format JWT — interface épurée, cinq vérifications, aucun compte requis |
| Validateur 1EdTech (vc.1ed.tech) | Validateur officiel de l'organisme de spécification OB3 — prend aussi en charge le format JSON-LD |
| Badgr | Afficher et partager des attestations, pas seulement les vérifier |
Pour les organisations qui reçoivent des attestations
Si vous êtes un employeur, un établissement ou un fournisseur de formation qui reçoit des attestations OB3 de candidats ou de participants, le processus de vérification ci-dessus s'applique directement.
Quelques points à savoir :
Le nom du titulaire ne figure pas dans l'attestation elle-même. OB3 utilise l'adresse courriel du titulaire comme identifiant (pour des raisons de protection des renseignements personnels). L'attestation prouve que l'adresse courriel a obtenu la réalisation — pas une personne au nom précis. Recoupez le courriel du titulaire dans l'attestation avec les coordonnées soumises par la personne.
Les attestations valides ne peuvent pas être falsifiées. La signature cryptographique fait en sorte que toute modification de l'attestation après l'émission — y compris le changement du nom du titulaire, du titre de la réalisation ou de l'émetteur — brise la signature et produit un résultat INVALIDE. Un résultat VALIDE est une garantie d'authenticité forte.
Les attestations n'expirent pas automatiquement dans un portefeuille. Une date d'échéance dans l'attestation est informative — c'est au vérificateur de décider comment traiter les attestations expirées. Certaines attestations (comme les certifications de sécurité) devraient être considérées comme invalides après l'échéance. D'autres (comme les diplômes) sont valides en permanence et n'ont simplement pas de date d'échéance définie.
Émettre des attestations OB3 avec CertLister
Si vous cherchez plutôt à émettre des attestations OB3 qu'à les vérifier, CertLister inclut l'émission OB3 dans le forfait Pro. Chaque attestation que vous émettez peut être téléchargée comme fichier .jwt signé depuis la page de vérification publique.
Les titulaires peuvent vérifier leur attestation avec n'importe quel outil compatible OB3 — y compris le validateur ci-dessus. Aucune configuration supplémentaire requise.
Prêt à simplifier la gestion de vos attestations?
Rejoignez les écoles, entreprises et centres de formation qui utilisent CertLister. Forfait Free disponible, aucune carte de crédit requise.
Commencer gratuitement