Exigences d'authentification de l'organisation
Un certificat SSL de validation étendue offre plus qu'un simple cryptage, il permet également à l'organisation derrière le site Web de présenter sa propre identité validée d'existence légale, physique et opérationnelle, et donc de s'authentifier auprès des visiteurs du site Web.
Une hiérarchie de confiance exige que les entités "se portent garantes" les unes des autres. Les entreprises qui émettent des certificats SSL travaillent à établir que les entités sur Internet sont réellement ce qu’elles prétendent être. Le potentiel d'activité criminelle sur Internet (en rapport avec le SSL) réside dans le détournement de sites Web ou la connexion à des données cryptées. Les personnes qui le souhaitent peuvent facilement copier les interfaces de sites Web et se présenter comme des fournisseurs réputés, simplement pour collecter des données. L'utilisation d'un certificat SSL EV évite que cela se produise, car nous n'émettrons un certificat SSL EV qu'à une entité légitime.
Le certificat SSL EV fournit le plus haut niveau de garantie d’identité et garantit que l’organisation située derrière le site Web, ainsi que le tiers de confiance validant l’identité, ont mené à bien un processus de vérification de l’identité minutieux et conforme aux directives de l'EV (l'ensemble de contrôles de validation, de principes et de politiques approuvés par le forum CA /Browser).
Il existe des normes industrielles strictes qui doivent d'abord être respectées avant que le certificat SSL EV puisse être émis. Les directives de vérification EV, établies par le forum CA/Browser (CAB), exigent un contrôle beaucoup plus rigoureux que les autres types de certificats SSL, et la nécessité d'obtenir et de vérifier plusieurs informations d'identification de la société demandeuse.
Les entités suivantes sont éligibles pour recevoir un certificat SSL de validation étendue (EV) à condition qu'elles soient actuellement enregistrées et approuvées par une agence d'enregistrement officielle dans leur juridiction. La charte, le certificat, la licence ou l’équivalent qui en résulte doivent être vérifiables par l’intermédiaire de cette agence d’enregistrement :
Organismes gouvernementaux
Entreprises
Partenariats généraux
Associations non constituées
Entreprise individuelle
Nous devons être en mesure de confirmer toutes les exigences d'enregistrement organisationnelles suivantes à partir des enregistrements officiels des agences gouvernementales :
Le numéro d'enregistrement de l'organisation
La date d'enregistrement / incorporation
L'adresse enregistrée de l'organisation (ou l'adresse de l'agent enregistré de l'organisation)
Une source de données non gouvernementale (telle que Dun & Bradstreet) doit inclure l'adresse du lieu d'activité de l'organisation si elle ne figure pas dans les enregistrements de l'agence gouvernementale.
Si l'organisation est enregistrée depuis moins de trois ans, nous pouvons être amenés à vérifier l'existence opérationnelle par l'un des moyens suivants :
Par l'intermédiaire d'une source de données non gouvernementale (telle que Dun & Bradstreet) ou en vérifiant que l'organisation dispose d'un compte de dépôt à demande actif (tel qu'un compte courant) auprès d'une institution financière réglementée, par le biais d'une lettre d'opinion professionnelle ou directement auprès de l'institution financière.
Le nom et l'adresse de la société indiqués dans la commande doivent être confirmés comme étant enregistrés et opérationnels dans le pays indiqué dans la commande et posséder une adresse physique vérifiable.
Comodo vérifie lui-même ces informations à l'aide d'une "source d'informations gouvernementales qualifiée". Vous trouverez ci-dessous quelques exemples d'organismes gouvernementaux que nous pouvons utiliser :
Royaume-Uni : Companies House
Israël : Le Ministère de la justice
États-Unis : Le secrétaire d'État local
Autrice : FirmanABC
Il doit exister une correspondance exacte entre le nom de la société inscrit sur la commande et le nom de la société officiellement enregistré. Cela inclut les identifiants d'entreprise, y compris Limited, Ltd, LLC, Inc, etc.
La société doit également être confirmée comme opérationnelle pendant au moins 3 ans. Une lettre de mandataire individuel peut également être nécessaire si la société est en activité depuis moins de trois ans.