Anforderungen an die Unternehmens-Authentifizierung
Ein Extended Validation SSL-Zertifikat bietet mehr als nur Verschlüsselung, denn es ermöglicht es dem Unternehmen hinter der Website auch, seine eigene validierte Identität der rechtlichen, physischen und operativen Existenz zu präsentieren und sich so gegenüber den Besuchern der Website zu authentifizieren.
Eine Trust-Hierarchie verlangt, dass die Einheiten füreinander "bürgen". Unternehmen, die SSL-Zertifikate ausstellen, sind dabei, festzustellen, dass Unternehmen im Internet tatsächlich die sind, für die sie sich ausgeben. Das Potenzial für kriminelle Aktivitäten im Internet (in Bezug auf SSL) liegt in der Online-Hijacking von Websites oder Verbindungen zu Siphon-verschlüsselten Daten. Personen, die so geneigt sind, können Webseitenschnittstellen leicht kopieren und sich als bekannte Anbieter ausgeben, nur um Daten zu sammeln. Die Verwendung eines EV SSL-Zertifikats verhindert dies, da wir ein EV SSL-Zertifikat nur an eine berechtigte Person ausstellen.
Das EV SSL-Zertifikat bietet die höchste Stufe der Identitätssicherung und garantiert, dass das Unternehmen hinter der Website sowie der vertrauenswürdige Dritte, der die Identität überprüft, einen gründlichen Identitätsprüfungsprozess gemäß den EV-Richtlinien (eine Reihe von Überprüfungsgrundsätzen und -richtlinien, die vom CA/Browser-Forum genehmigt wurden) durchgeführt haben.
Es gibt strenge Industriestandards, die zuerst erfüllt werden müssen, bevor das EV SSL-Zertifikat ausgestellt werden kann. EV-Verifizierungsrichtlinien, die vom Certificate Authority/Browser (CAB) Forum erstellt wurden, erfordern eine viel strengere Prüfung als andere SSL-Zertifikatstypen. Anforderung, mehrere Identifizierungsinformationen des anfragenden Unternehmens zu erhalten und zu überprüfen.
Die folgenden Unternehmen sind berechtigt, ein Extended Validation (EV) SSL-Zertifikat zu erhalten, vorausgesetzt, sie sind derzeit bei einer offiziellen Registrierungsstelle in ihrem Land registriert und von dieser genehmigt. Die daraus resultierende Charta, Urkunde, Lizenz oder ähnliches muss durch diese Registrierungsstelle überprüfbar sein :
- Regierungsbehörden
- Unternehmen
- Offene Handelsgesellschaften
- Nicht eingetragene Vereine
- Einzelunternehmen
Wir müssen in der Lage sein, alle der folgenden organisatorischen Registrierungsanforderungen aus offiziellen Aufzeichnungen der Regierungsbehörden zu bestätigen :
- Die Registrierungsnummer des Unternehmens
- Datum der Eintragung / Gründung
- Die registrierte Adresse der Organisation (oder die Adresse des registrierten Vertreters der Organisation).
Eine nichtstaatliche Datenquelle (z.B. Dun & Bradstreet) muss den Geschäftssitz des Unternehmens enthalten, wenn sie nicht in den Aufzeichnungen der Behörde enthalten ist.
Wenn das Unternehmen seit weniger als drei Jahren registriert ist, können wir verpflichtet sein, die operative Existenz durch eines der folgenden Verfahren zu überprüfen :
Durch eine nichtstaatliche Datenquelle (wie Dun & Bradstreet) oder durch Überprüfung, ob das Unternehmen über ein aktives Sichteinlagenkonto (wie ein Girokonto) bei einem regulierten Finanzinstitut durch ein professionelles Gutachten oder direkt beim Finanzinstitut verfügt.
Der in der Bestellung aufgeführte Firmenname und die Firmenanschrift müssen in dem in der Bestellung aufgeführten Land als registriert und betriebsbereit bestätigt werden und über eine überprüfbare physische Adresse verfügen.
Diese Angaben werden von Comodo selbst anhand einer "Qualifizierten Regierungsinformationsquelle" überprüft. Nachfolgend sind einige Beispiele für verschiedene Regierungsbehörden aufgeführt, die wir nutzen können :
- Vereinigtes Königreich : Companies House
- Israel : Das Justizministerium
- Vereinigte Staaten : Außenministerium
- Österreich: FirmanABC
Es muss eine genaue Übereinstimmung zwischen dem in der Bestellung angegebenen Firmennamen und dem offiziell eingetragenen Firmennamen bestehen. Dazu gehören auch Firmenbezeichnungen, einschließlich Limited, Ltd, LLC, Inc. etc.
Das Unternehmen muss außerdem für mindestens 3 Jahre als operativ bestätigt werden. Ein Principal Individual Letter (PIL) kann auch erforderlich sein, wenn das Unternehmen seit weniger als 3 Jahren tätig ist.