Vereisten voor Organisatie Authenticatie
Een Extended Validation SSL Certificaat biedt meer dan alleen maar versleuteling, omdat het de website ook in staat stelt haar eigen juridische, fysieke en operationele bestaan te hebben en waardoor deze zichzelf dus kan verifiëren naar haar website bezoekers.
Een vertrouwenshiërarchie zorgt dat entiteiten voor elkaar kunnen “instaan”. Bedrijven die SSL Certificaten uitgeven zijn er om ervoor te zorgen dat entiteiten op het internet ook werkelijk zijn wie ze claimen dat ze zijn. Het potentieel voor criminele activiteiten op het internet (in verband met SSL) is het online kapen van websites of het aftappen van versleutelde gegevens. Kwaadwillenden kunnen makkelijk een website interface kopiëren en zich voordoen als al bekende verkopers, alleen maar om data te verzamelen. Het gebruik van een EV SSL Certificaat voorkomt dit omdat we alleen een EV SSL Certificaat uitgeven aan een legitieme entiteit. .
Een Extended Validation SSL Certificaat biedt het hoogste niveau aan identiteitszekerheid en fungeert als garantie dat de organisatie achter de website, alsmede de betrouwbare derde partij die de identeitscontrole uitvoert, een grondig identificatieproces aan de hand van EV richtlijnen (een aantal screening uitgangspunten en beleid goedgekeurd door het CA/ Browser forum) uitvoert.
Er zijn strikte branchestandaarden waaraan eerst voldaan moet worden voordat het EV SSL Certifcaat uitgegeven kan worden. EV verificatierichtlijnen, zoals opgesteld door het Certificate Authority/Browser (CAB) Forum, schrijven zelfs een nog uitvoerige controle voor dan bij andere SSL Certificaten. Het is noodzakelijk om meerdere stukken aan identificatie informatie van het bedrijf in kwestie te ontvangen en te verifiëren.
De volgende entiteiten kunnen in aanmerking komen voor een Extended Validation (EV) SSL Certificaat, mits ze momenteel geregistreerd staan en goedgekeurd zijn door de officiële registratiebureau in hun jurisdictie. Het uittreksel, certificaat, vergunning of equivalent daarvan moet te verifiëren zijn via datzelfde registratiebureau:
- Overheidsinstanties
- Corporaties
- Algemene partnerschappen
- Personenvennootschappen
- Eenmanszaken
We moeten de volgende organisatorische registratievereisten via officiële overheidsregistratiebureaus kunnen verifiëren:
- Het registratienummer van de organisatie
- Datum van registratie/ oprichting
- Het geregistreerde adres van de Organisatie (of het adres van de geregistreerde vertegenwoordiger van de organisatie)
Een niet-gouvernementele gegevensbron (zoals Dun & Bradstreet) dient het zakelijke adres van de organisatie te bevatten als het adres niet bekend is bij het registratiebureau van de overheid.
Als de organisatie minder dan drie jaar geleden is geregistreerd, moeten we mogelijk het operationele bestaan verifiëren op een van de volgende manieren:
Via een niet-gouvernementele gegevensbron (zoals Dun & Bradstreet), of door te controleren of de organisatie een actieve deposito-rekening heeft (zoals een betaalrekening) bij een gereguleerde financiële instelling via een professioneel schrijven of rechtstreeks bij de financiële instelling.
De bedrijfsnaam en het adres op de bestelling moeten worden bevestigd als geregistreerd en operationeel in het land vermeld op de bestelling en een verifieerbaar fysiek adres hebben.
Deze gegevens worden door Comodo zelf gecontroleerd met behulp van een 'Qualified Government Information Source'. Hieronder volgen enkele voorbeelden van verschillende overheidsinstanties die we kunnen gebruiken:
- Verenigd Koninkrijk : Companies House
- Israël : Ministerie van Justitie
- Verenigde Staten : De plaatselijke Secretary Of State
- Oostenrijk : FirmanABC
Er moet een exacte overeenkomst zijn tussen de bedrijfsnaam zoals opgegeven bij bestelling en de officieel geregistreerde bedrijfsnaam. Dit is inclusief zakelijke omschrijvingen zoals BV, NV, Ltd, LLC, INC, etc.
Er moet ook bevestigd worden dat het bedrijf ten minste voor de laatste 3 jaar actief is geweest. Er kan een Principal Individual Letter (PIL) gevraagd worden als het bedrijf minder dan 3 jaar actief is geweest.