Requisiti di Autenticazione dell'Organizzazione
Un certificato SSL Extended Validation offre molto più della semplice crittografia, in quanto consente anche all'organizzazione dietro il sito Web di presentare la propria identità convalidata di esistenza legale, fisica e operativa e quindi di autenticarsi ai visitatori del sito web.
Una gerarchia della fiducia richiede che le entità "si garantiscano" l'una per l'altra. Le aziende che emettono certificati SSL sono nel business di stabilire che le entità su internet sono, in realtà, chi affermano di essere. Il potenziale di attività criminale su Internet (rilevante per SSL) riguarda il dirottamento online di siti Web o connessioni per sifonare dati crittografati. Le persone così inclini a poter facilmente copiare le interfacce del sito Web e posare come ben noti fornitori, semplicemente per raccogliere dati. L'uso di un certificato SSL EV impedisce che ciò si verifichi perché emetteremo un certificato SSL EV solo a un'entità legittima.
Il certificato EV SSL fornisce il massimo livello di garanzia dell'identità e funziona come garanzia che l'organizzazione dietro il sito web, così come la terza parte fidata che convalida l'identità, ha completato un processo completo di verifica dell'identità secondo le linee guida EV (una serie di vetting principi e politiche approvati dal forum CA / Browser).
Esistono standard industriali rigorosi che devono essere soddisfatti prima di poter emettere il certificato EV SSL. Le linee guida di verifica EV, elaborate dal forum Autorità di certificazione / Browser (CAB) richiedono un controllo molto più rigoroso di altri tipi di certificati SSL. Richiesta di ottenere e verificare più pezzi di informazioni identificative della società richiedente.
Le seguenti entità hanno diritto a ricevere un certificato SSL Extended Validation (EV) a condizione che siano attualmente registrati e approvati da un'agenzia di registrazione ufficiale nella loro giurisdizione. La carta, il certificato, la licenza o l'equivalente risultante devono essere verificabili attraverso tale agenzia di registrazione :
- Agenzie governative
- Le aziende
- Partnership generali
- Associazioni prive di personalità giuridica
- Aziende individuali
Dobbiamo essere in grado di confermare tutti i seguenti requisiti di registrazione organizzativa dai registri delle agenzie governative ufficiali :
- Il numero di registrazione dell'organizzazione
- Data di registrazione / incorporazione
- Indirizzo registrato dell'organizzazione (o indirizzo dell'agente registrato dell'organizzazione)
Un'origine dati non governativa (come Dun & Bradstreet) deve includere l'indirizzo della sede aziendale se non è inclusa nei registri delle agenzie governative.
Se l'organizzazione è stata registrata per meno di tre anni, potremmo essere tenuti a verificare l'esistenza operativa attraverso uno dei seguenti mezzi :
Tramite una fonte di dati non governativa (come Dun & Bradstreet), o verificando che l'organizzazione abbia un conto di deposito attivo attivo (come un conto corrente) con un istituto finanziario regolamentato attraverso una lettera di parere professionale o direttamente con l'istituto finanziario.
Il nome e l'indirizzo della società elencati nell'ordine devono essere confermati come registrati e operativi nel paese elencato nell'ordine e avere un indirizzo fisico verificabile.
Questi dettagli sono controllati da Comodo stessi utilizzando una "Fonte di informazioni governative qualificate". Di seguito sono riportati alcuni esempi di varie agenzie governative che possiamo utilizzare :
- Regno Unito: Companies House
- Israele: Ministero della Giustizia
- Stati Uniti: Segretario di Stato Locale
- Austria: FirmanABC
Ci deve essere una corrispondenza esatta tra il nome della società inserito nell'ordine e il nome della società che è ufficialmente registrato. Ciò include gli identificatori aziendali, inclusi Limited, Ltd, LLC, Inc ecc.
La società deve anche essere confermata come operativa per almeno 3 anni. Una lettera individuale principale (PIL) può anche essere richiesta se la compagnia opera da meno di 3 anni.