Organisasjons Verifiserings Krav
Et SSL-sertifikat med Utvidet Validering tilbyr mer enn bare kryptering, da det også gjør slik at organisasjonen bak nettsiden kan presentere sin egen validerte identitet av juridisk, fysisk og operativ eksistens og dermed autentisere seg for besøkende på nettstedet.
Et tillitshierarki krever at enhetene "godkjenner" hverandre. Bedrifter som utsteder SSL-sertifikater, jobber med å fastslå at enheter på internett faktisk er den de hevder å være. Potensialet for kriminell aktivitet på Internett (med relevans for SSL), er online kapring av nettsteder eller tilkoblinger til kryptert data. Personer som føler for det kan enkelt kopiere nettsiders grensesnitt og utgi seg som kjente leverandører, bare for å samle inn data. Bruken av et EV SSL-sertifikat forhindrer at dette skjer, fordi vi bare vil utstede et EV SSL-sertifikat til en legitim enhet.
EV SSL-sertifikatet gir det høyeste nivået av identitetssikring og fungerer som en garanti for at organisasjonen bak nettsiden, samt den pålitelige tredjepart som bekrefter identiteten, fullførte en grundig identitets-verifiseringsprosess i henhold til EV-retningslinjene (et sett med prinsipper og retningslinjer godkjent av CA/Browser forum).
Det er strenge industristandarder som først må oppfylles før EV SSL-sertifikatet kan utstedes. EV-bekreftelsesretningslinjer, utarbeidet av sertifikatmyndigheten/nettleserforumet (CAB), krever en mye strengere kontroll enn andre SSL-sertifikattyper. Kreves å skaffe og verifisere flere deler av identifikasjons informasjonen til det anmodende firmaet.
Følgende enheter er kvalifisert til å motta et SSL-sertifikat for utvidet validering (EV), forutsatt at de for øyeblikket er registrert hos og godkjent av et offisielt registreringsbyrå i deres jurisdiksjon. Den resulterende charter, sertifikat, lisens eller tilsvarende må verifiseres gjennom registreringsbyrået :
- Offentlige etater
- Foretak
- Generelle partnerskap
- Ikke konsoliderte foreninger
- Enkeltmans foretak
WVi må kunne bekrefte alle følgende organisatoriske registreringskrav fra offisielle regjeringsregistre :
- Organisasjonens registreringsnummer
- Registrering Dato/innlemelse
- Organisasjonens registrerte adresse (eller adressen til organisasjonenens registrerte agent)
En ikke-statlig datakilde (for eksempel Dun & Bradstreet) må inneholde organisasjonens forretningsadresse hvis den ikke er inkludert i regjeringsregisteret.
Hvis organisasjonen har vært registrert i mindre enn tre år, kan det hende at vi må verifisere operativ eksistens på en av følgende måter :
Gjennom en ikke-statlig datakilde (for eksempel Dun & Bradstreet) eller ved å verifisere organisasjonen, har en aktiv etterspørsel innskuddskonto (for eksempel en brukskonto) med en regulert finansinstitusjon med en faglig attest eller direkte hos finansinstitusjonen.
Firmanavnet og adressen som er oppført på bestillingen, må bekreftes som registrert og operativ i det land som er oppført på bestillingen og har en verifiserbar fysisk adresse.
Disse detaljene kontrolleres av Comodo selv ved hjelp av en 'Kvalifisert Regjerings Informasjonskilde'. Nedenfor er noen eksempler på ulike myndigheter som vi kan anvende oss av :
- United Kingdom : Companies House
- Israel : The Ministry Of Justice
- United States : The Local Secretary Of State
- Austria : FirmanABC
Det må være en nøyaktig matsh mellom firmanavnet som er oppgitt på ordren og firmanavnet som er registrert. Dette inkluderer bedrifts identifikatorer, inkludert Limited, Ltd, LLC, Inc, As osv.
Selskapet må også bekreftes som å ha vært operativt i minst 3 år. Det kan også være nødvendig med et Primært Individuelt Brev (PIL) dersom selskapet har operert i mindre enn 3 år.