Validation étendue (EV)

Conditions d'authentification

Les certificats SSL de validation étendue (EV) atteignent le plus haut niveau de confiance des consommateurs grâce aux normes d'authentification les plus strictes de tout certificat SSL. Les directives de vérification de la validation étendue (EV) nous obligent à obtenir et à vérifier plusieurs informations d'identification.

Trustico® Validation Image

Les certificats SSL de validation étendue (EV) constituent la norme de référence, les produits de sécurité SSL les plus hauts de gamme du secteur des entreprises, et fournissent le plus haut niveau de confiance et de sécurité. Ils confirment visuellement qu'ils disposent du niveau d'authentification le plus élevé parmi la gamme de certificats SSL, avec 2 fonctions uniques d’affichage d’une barre d’adresse verte et du nom de l’entreprise enregistrée dans la barre d’adresse, une fois que le certificat SSL a été émis et correctement installé.

Tous les principaux navigateurs incluent une interface utilisateur améliorée pour la sécurité Web, déclenchée de manière positive par la présence d’un certificat SSL EV valide ou de façon négative par une association connue avec un logiciel malveillant ou par un certificat SSL / TLS révoqué ou mal configuré.

Selon le rapport suivant publié en 2015 :

53% des consommateurs reconnaissent que le cadenas signifie plus de confiance.
42% des consommateurs comprennent que la barre verte signifie plus de sécurité.

Il est important de prendre en compte la sécurité. Vos clients recherchent la sécurité en ligne. Ils ne veulent pas que leurs identifiants ou leur identité soient volés. Les clients sont plus méfiants que jamais en la matière. En achetant le bon certificat SSL pour votre entreprise, vous ne sécurisez pas seulement la connexion entre le navigateur du client et votre site Web, vous augmentez la confiance mutuelle. Les clients verront le nom de votre entreprise dans leur navigateur Internet, ce qui établira un niveau de confiance plus élevé. Plus d'information

Avez-vous déjà effectué un achat sur un site auquel vous ne faisiez pas confiance?

Avez-vous déjà visité un site en lequel vous n’aviez pas confiance?

Avec l'annonce par Google® des modifications envisagées aux indicateurs visuels de sécurité fournis par un certificat SSL, le certificat SSL EV est le seul moyen de faire en sorte que votre site Web se démarque en fournissant la preuve de votre engagement pour garantir la confiance et la sécurité de vos clients. Vous pouvez trouver plus d'informations sur Google® et ses pratiques de sécurité en constante évolution ici.

Qui utilise des certificats SSL EV

Votre banque, vos paiements, vos sites de crypto-monnaies, les entreprises de commerce électronique, des entreprises de haute technologie comme AirBnB, Twitter, GitHub, Microsoft et Apple.

Les certificats EV sont recommandés pour les sites et les domaines de commerce en ligne qui traitent des informations sensibles telles que des informations personnelles ou de carte de crédit ou des données critiques pour les opérations de l'entreprise, et ils offrent un cryptage renforcé pour protéger toutes ces informations.

Les avantages d'un certificat SSL EV pour une entreprise en ligne incluent :

L'amélioration du référencement SEO
La protection contre les cyberattaques nuisibles
Une diminution des paniers d'achat abandonnés
Une augmentation de votre taux de fidélisation de la clientèle
Un taux de conversion élevé pour vos produits et/ou services
La sécurité contre le phishing
Une plus grande confiance des clients
Un processus de validation très strict
La sécurisation des informations privées et des transactions financières des utilisateurs
L'affichage du nom de votre organisation dans la barre d’adresse verte avec cadenas HTTPS.
Compatible avec tous les systèmes d'exploitation (OS) et serveurs

Les certificats SSL EV ont une fonctionnalité supplémentaire, à savoir les noms de sujet alternatifs (Subject Alternative Names ou SAN). Avec le certificat SSL SAN EV (également appelé certificat SSL multi-domaines), vous pouvez facilement gérer la sécurité de vos domaines à partir du certificat SSL unique. Aucun domaine Wildcard n'est autorisé, mais vous pouvez avoir autant de noms de domaine que vous le souhaitez sur votre certificat SSL. Vous pouvez également ajouter des noms de domaine à un certificat SSL ultérieurement, pour un total de 250 avec un seul certificat SSL EV.

Obtenir votre certificat SSL EV

Une fois qu'une commande a été soumise via notre système de commande en ligne, veuillez continuer à surveiller votre courrier électronique pour recevoir des informations complémentaires et des demandes de documents. Nous vous recommandons de compléter en priorité le document d'accusé de réception approprié. Si vous êtes en mesure de compléter ce document, nous pourrons peut-être accélérer votre commande.

Si vous avez commandé un certificat SSL de marque Comodo®, vous pouvez être directement contacté par Comodo® et recevoir un document de confirmation à compléter et à renvoyer. Une copie du document peut être visualisée et complétée en cliquant sur le lien suivant :

Comodo® EV Agreement (PDF)

Assurez-vous de bien remplir et renvoyer l'accusé de réception approprié par fax, en utilisant l'un des numéros de fax figurant sur notre page de contact. Après réception du document dûment rempli, les exigences d’authentification suivantes seront appliquées afin de garantir le traitement rapide de votre commande.

Le contact de l'administateur est répertorié en tant que signataire du certificat pour la commande et doit lire et compléter le contrat d'abonné.

Ces informations seront ensuite examanées par l'équipe de vérification de Comodo lors de l'appel de vérification.

Exigences d'authentification de domaine

Pour pouvoir prétendre à un certificat SSL de validation étendue (EV), les détails de l'enregistrement du domaine doivent indiquer le nom complet de l'organisation, tel qu'il est inclus dans la demande de certificat SSL. Lorsque l'enregistrement de domaine ne correspond pas au nom de l'organisation tel qu'identifié dans la demande de certificat SSL, une confirmation positive du droit exclusif de l'organisation d'utiliser le nom de domaine est requise de la part de l'administrateur de domaine enregistré ou via une lettre d'opinion professionnelle.

Le domaine doit être enregistré auprès de l'ICANN ou d'un registraire IANA (pour les CCTLD). Les détails de l'enregistrement du domaine doivent être mis à jour pour refléter le nom de l'organisation tel qu'il est inclus dans la demande de certificat SSL.

Lorsque l'enregistrement de domaine est privé, le registraire de domaine est requis pour débloquer la fonctionnalité de confidentialité.

Les organismes "Approbateurs de certificat" doit confirmer la connaissance de la propriété du domaine de l'organisation lors de l'appel de vérification.

Conformément aux exigences de base, la confirmation du contrôle du domaine est d’abord requise, via un courrier électronique automatisé à l’approbateur. Une autre méthode de vérification est disponible si le courrier électronique automatique à l’approbateur ne peut pas être complété. Il nécessite un accès au répertoire racine du domaine.

Exigences d'authentification de l'organisation

Un certificat SSL de validation étendue offre plus qu'un simple cryptage, il permet également à l'organisation derrière le site Web de présenter sa propre identité validée d'existence légale, physique et opérationnelle, et donc de s'authentifier auprès des visiteurs du site Web.

Une hiérarchie de confiance exige que les entités "se portent garantes" les unes des autres. Les entreprises qui émettent des certificats SSL travaillent à établir que les entités sur Internet sont réellement ce qu’elles prétendent être. Le potentiel d'activité criminelle sur Internet (en rapport avec le SSL) réside dans le détournement de sites Web ou la connexion à des données cryptées. Les personnes qui le souhaitent peuvent facilement copier les interfaces de sites Web et se présenter comme des fournisseurs réputés, simplement pour collecter des données. L'utilisation d'un certificat SSL EV évite que cela se produise, car nous n'émettrons un certificat SSL EV qu'à une entité légitime.

Le certificat SSL EV fournit le plus haut niveau de garantie d’identité et garantit que l’organisation située derrière le site Web, ainsi que le tiers de confiance validant l’identité, ont mené à bien un processus de vérification de l’identité minutieux et conforme aux directives de l'EV (l'ensemble de contrôles de validation, de principes et de politiques approuvés par le forum CA /Browser).

Il existe des normes industrielles strictes qui doivent d'abord être respectées avant que le certificat SSL EV puisse être émis. Les directives de vérification EV, établies par le forum CA/Browser (CAB), exigent un contrôle beaucoup plus rigoureux que les autres types de certificats SSL, et la nécessité d'obtenir et de vérifier plusieurs informations d'identification de la société demandeuse.

Les entités suivantes sont éligibles pour recevoir un certificat SSL de validation étendue (EV) à condition qu'elles soient actuellement enregistrées et approuvées par une agence d'enregistrement officielle dans leur juridiction. La charte, le certificat, la licence ou l’équivalent qui en résulte doivent être vérifiables par l’intermédiaire de cette agence d’enregistrement :

Organismes gouvernementaux
Entreprises
Partenariats généraux
Associations non constituées
Entreprise individuelle

Nous devons être en mesure de confirmer toutes les exigences d'enregistrement organisationnelles suivantes à partir des enregistrements officiels des agences gouvernementales :

Le numéro d'enregistrement de l'organisation
La date d'enregistrement / incorporation
L'adresse enregistrée de l'organisation (ou l'adresse de l'agent enregistré de l'organisation)

Une source de données non gouvernementale (telle que Dun & Bradstreet) doit inclure l'adresse du lieu d'activité de l'organisation si elle ne figure pas dans les enregistrements de l'agence gouvernementale.

Si l'organisation est enregistrée depuis moins de trois ans, nous pouvons être amenés à vérifier l'existence opérationnelle par l'un des moyens suivants :

Par l'intermédiaire d'une source de données non gouvernementale (telle que Dun & Bradstreet) ou en vérifiant que l'organisation dispose d'un compte de dépôt à demande actif (tel qu'un compte courant) auprès d'une institution financière réglementée, par le biais d'une lettre d'opinion professionnelle ou directement auprès de l'institution financière.

Le nom et l'adresse de la société indiqués dans la commande doivent être confirmés comme étant enregistrés et opérationnels dans le pays indiqué dans la commande et posséder une adresse physique vérifiable.

Comodo vérifie lui-même ces informations à l'aide d'une "source d'informations gouvernementales qualifiée". Vous trouverez ci-dessous quelques exemples d'organismes gouvernementaux que nous pouvons utiliser :

Royaume-Uni : Companies House
Israël : Le Ministère de la justice
États-Unis : Le secrétaire d'État local
Autrice : FirmanABC

Il doit exister une correspondance exacte entre le nom de la société inscrit sur la commande et le nom de la société officiellement enregistré. Cela inclut les identifiants d'entreprise, y compris Limited, Ltd, LLC, Inc, etc.

La société doit également être confirmée comme opérationnelle pendant au moins 3 ans. Une lettre de mandataire individuel peut également être nécessaire si la société est en activité depuis moins de trois ans.

Exigences d'authentification des approbateurs d'organisation

Pour pouvoir prétendre à un certificat SSL dez validation étendue (EV), "l'approbateur de certificat" doit être désigné par l'organisme demandeur et avoir l'autorité nécessaire pour obtenir et déléguer les responsabilités du certificat SSL de validation étendue (EV).

L'emploi et l'autorisation ne peuvent pas être vérifiés sur le site Web de l'organisation.

Si "l'approbateur de certificat" est répertorié dans les registres du gouvernement en tant que mandataire social (secrétaire, président, directeur général, directeur financier, directeur des opérations, directeur informatique, directeur scientifique, directeur ou équivalent), l'emploi et l'autorisation de contacts organisationnels peuvent être approuvés sans vérification préalable des informations telle que décrite ci-dessous.

Nous devons être en mesure de confirmer toutes les exigences suivantes de "l’approbateur de certificat" :

1. L'identité, le titre et l'emploi de "l'approbateur de certificat" auprès d'une source indépendante.

2. "L'approbateur de certificat" est autorisé à obtenir et à approuver des certificats EV au nom de l'organisation. Cela peut être vérifié via une lettre d'opinion professionnelle, une résolution d'entreprise ou en contactant directement le PDG, le chef des opérations, ou un responsable similaire au sein de l'organisation et en confirmant l'autorité du contact organisationnel. Si aucun document public n'est disponible concernant le PDG, le chef des opérations, ou un autre dirigeant, nous tenterons de contacter le service des ressources humaines de l'organisation pour obtenir les coordonnées.

Appel téléphonique de vérification

Nous devons vérifier la demande de certificat SSL et tous les détails du certificat SSL auprès de "l’approbateur de certificat" identifié au cours du processus de commande. Nous devons contacter cet "approbateur de certificat" à l'aide d'un numéro de téléphone vérifié de manière indépendante.

Le numéro de téléphone est obtenu par l’une des méthodes suivantes :

En recherchant un numéro de téléphone dans des bases de données téléphoniques qualifiées (assurez-vous que le numéro de téléphone principal de votre entreprise est répertorié dans un annuaire téléphonique public), comme indiqué dans une lettre d’opinion professionnelle ou confirmé lors d’une visite physique.

Lors de l’appel de vérification, nous devons vérifier les éléments suivants avec "l’approbateur de certificat" :

Le nom du demandeur de certificat SSL identifié dans la demande de certificat SSL et son autorité pour obtenir le certificat SSL de validation étendue au nom de l'organisation.
La connaissance de la propriété de l'entreprise et du droit d'utiliser le domaine identifié dans la demande de certificat SSL.
L'approbation de la demande de certificat SSL de validation étendue et l'accusé de réception du contrat d'abonnement de certificat SSL applicable, qui inclut toutes les conditions générales de la validation étendue.

La société doit exister dans des registres de source d'informations indépendante qualifiée. Une fois contacté, quelqu'un confirmera l'autorité du contact administratif dans l'entreprise. Le processus de demande d'EV nécessitera que vous fournissiez le numéro de téléphone d'un contact administratif. Ce n'est pas réellement utilisé pour valider votre identité.

On utilise généralement Dun & Bradstreet, Hoovers, les Pages blanches ou les Pages jaunes. Celles-ci ne peuvent pas être auto-déclaréesv: la source d'informations indépendante qualifiée doit examiner les informations.

Ces coordonnées seront utilisées pour contacter la société par téléphone. Un agent de l'équipe de vérification demandera à parler aux ressources humaines des grandes entreprises. Ensuite, l'agent de vérification confirmera l'autorité du signataire du certificat pour prendre des décisions au nom de la société (par exemple, obtenir un certificat émis), et parlera au signataire du certificat pour s'assurer qu'il approuve la commande. Ceci est conçu pour empêcher quelqu'un qui travaille pour l'entreprise de créer ses propres certificats non autorisés.

Dernières étapes avant l'approbation

Une fois l'appel de vérification terminé, la commande passera à la deuxième étape d'approbation. Cela signifie qu'un agent vérifiera tous les détails de la commande pour s'assurer qu'ils sont conformes aux normes de l'industrie avant d'émettre le certificat au signataire de celui-ci.

Exigences de vérification additionnelles

Si nous ne sommes pas en mesure de vérifier les informations requises dans votre demande de certificat SSL, nous pourrons vous demander de fournir une lettre d'opinion professionnelle d'un avocat ou d'un comptable afin de vérifier ces informations.

Exigences de la lettre d'opinion professionnelle

La lettre d’opinion professionnelle sera vérifiée auprès de l’association du barreau ou du conseil des comptes enregistré dans la juridiction appropriée. Si nous ne pouvons pas vérifier la lettre d’opinion professionnelle, nous ne pourrons pas accepter la lettre signée par cette personne.

Les lettres d’opinion professionnelle doivent inclure l'une des signatures suivantes :

1. Un avocat autorisé à exercer le droit dans le pays du demandeur ou dans tout pays où le demandeur dispose d’un bureau ou d’une installation physique agréé.

2. Un expert-comptable agréé et autorisé à exercer la profession de comptable dans le pays de la juridiction où le demandeur a été constitué ou dans toute autre juridiction dans laquelle le demandeur dispose d'un bureau ou d'une installation physique confirmée.

3. Des fonctionnaires gouvernementaux qualifiés (en fonction de la réglementation nationale) dans le pays de la juridiction où le demandeur a été constitué ou dans tout pays où le demandeur dispose d’un bureau ou d’une installation physique confirmés. Ceux-ci peuvent comprendre des greffiers, des huissiers de justice, des juges, des juges de paix et des policiers.

4. Des notaires (dans les pays autres que les États-Unis et le Canada) qui sont fonctionnaires ou juristes peuvent parfois signer une lettre d’opinion professionnelle. Contactez-nous pour plus d'informations.

Les commandesde validation étendue (EV) exigent que toutes les informations de la lettre d’opinion professionnelle soient confirmées directement auprès du mandataire ou du comptable agréé. Ils seront contactés à l'aide des coordonnées enregistrées auprès du barreau ou du conseil des comptes enregistré dans la juridiction appropriée. Assurez-vous que cette personne est au courant de notre intention de la contacter pour vérifier les informations.

Informations additionnelles

Parfois, un avocat ou un comptable devra rédiger une lettre d'attestation lui permettant d'attester de certains aspects de l'entreprise. Les références des avocats / comptables doivent encore être vérifiées avant que leur attestation puisse être utilisée.

L'ensemble du processus de vérification peut être complété en 1 jour ouvrable, à condition que toutes les informations requises soient disponibles et que le client puisse remplir chaque exigence demandée.

Une liste plus complète de toutes les conditions requises pour un certificat SSL EV est disponible sur le site du forum du CAB :

https://cabforum.org/wp-content/uploads/EV-V1_5_5.pdf