Обзор требований процесса верификации при выпуске SSL сертификатов

В приведенной ниже информации содержится обзор требований, необходимых для завершения проверки и выпуска для SSL сертификата как это продиктовано форумом CA/B. Каждый процесс проверки может варьироваться, поскольку каждый порядок обрабатывается в каждом конкретном случае, и он очень зависит от Процесс выпуска сертификата DV довольно прямолинейный и обычно обрабатывается автоматически за исключением особых ситуаций.

Domain Validation - процедура проверки прав на домен

Как только запущен процесс заказа SSL , заявитель (администратор) сертификата должны подтвердить свое право собственности на указанное доменное при помощи одного из трех способов:

1. Domain Control Validation Email (DCV) - подтверждение по емаил Email Based Authentication - Центр сертификации SSL отправляет электронное письмо, содержащее ссылку подтверждения на право управления или владения доменом. Письма отправляются на адрес указанный в whois домена или один из адресов вида
   • admin@[domain].com
   • administrator@[domain].com
   • webmaster@[domain].com
   • postmaster@[domain].com
   • hostmaster@[domain].com

   Во время процесса выпуска сертификата вы имеете возможность выбрать адрес, на который хотели бы получить электронное письмо с подтверждением. После того как вы получите электронное письмо, вам необходимо будет следовать простым инструкциям внутри письма и нажать на ссылку подтверждения, чтобы подтвердить право собственности на доменное имя. Если по какой-либо причине у вас нет доступа к одному из адресов электронной почты указанных псевдонимов, или адресу указанному в вхуиз или использование сервиса "Privacy" вы можете в качестве альтернативы использовать аллиас или создать адрес или снять временно сервис охраны личной информации о владельце домена

2. File Based Authentication - размещение кода на сервере Получение от Центра SSL сертификации специального кода и размещение этого кода на страничке VashDomen.com/.well-known/pki-validation/fileauth.txt Если SSL сертификационный центр видит этот код, значит клиент доказал право собственности на доменное имя и успешно завершил проверку.
3. DNS TXT запись Размещение в DNS TXT запись [domain name] или _dnsauth.[domain name] записях кода полученного у Центра сертификации

Organization Validation (OV) - подтверждение организации

Как только произведен заказ SSL сертифката, заказчик сертификата должны не только подтвердить право собственности на домен, используя методы аутентификации, указанные выше, но CA также должен будет проверить конкретные учетные данные, используя приемлемый источник информации. Чтобы проверить регистрационные данные организации, Центр Сертификации будет использовать следующие методы: Активные регистрационные записи в

1. государственном реестре Украины https://usr.minjust.gov.ua/
2. Data.com Connect - https://connect.data.com/
3. Google My Business - https://www.google.com/business/ (должно быть Google My Business, Google+ is не подходит)
4. Dun and Bradstreet - http://www.dnb.com/government/duns-request/duns-request-guide.html
   http://www.dnb.com/government/duns-request/duns-request-guide.html,
   https://creditreports.dnb.com/webapp/wcs/stores/servlet/AdvancedCompanySearch?storeId=11154&catalogId=71154
   https://www.dandb.com/advanced-search/
   * В этих базах необходимо уточнить данные для SSL сертификата: название компании, дату регистрации, физический адрес, корпоративный офис, номер телефона.

   Если какая-либо информация о сертификате не встречается в указанных источниках, заказчику придется выполнить дополнительные шаги для проверки отсутствующих или недостаточных деталей. См. Примеры ниже:

   • Если зарегистрированный физический адрес отличается от адреса, указанного в сертификате, вам необходимо либо обновить регистрационные данные, чтобы соответствовать адресу, указанному в сертификате, или изменить данные сертификата в соответствии с физическим адресом указанным в базе.
   • Если номер телефона недоступен, вам необходимо будет обновить запись или, если по каким либо причинам это невозможно, мы отправим вам обычной почтой бумажное письмо с кодом по адресу указанному в источнике
   • Если Центр SSL сертификатов не может найти вашу органзицию в справочнике, вам необходимо будет отправить дополнительные регистрационные документы, бизнес лицензию, регистрацию торговой марки, уставные документы тощо

После того как Центр сертификации подтвердили право собственности на домен и провели проверку учетных данных компании, наступает последний этап проверки- телефонный звонок в организацию. ЦС имеет право использовать только действительные телефонные номера организаций из приемлемого стороннего каталога. В этих телефонных справочниках они должны отобразить правильное название организации, зарегистрированный физический адрес и, конечно, номер телефона. После телефонной проверки существования организации ЦС свяжется с организационным контактом в течение обычных рабочих часов.

Extended Validation (EV) - подтверждение организации усиленное

Как только начинается процесс выпуска SSL сертификата, администратор сертификата должен пройти более строгий процесс аутентификации для получения самого высокого уровня шифрования, а также для активации всех индикаторов браузера, таких как зеленый бар в браузерах. Для процесса расширенной проверки (EV) требуется, чтобы организация и заказчик сертификата прошли более подробные шаги проверки, чтобы гарантировать что сертификат EV выдан законной лигитимной организации. Администратор сертификата должен подписать Acknowledgment of Agreement описывающий его права и обязанности В отличие от DV и OV сертификатов, заявители EV не должны заполнять электронную почту для проверки домена; однако ЦС все равно должны подтвердить, что организация имеет правовое владение доменным именем. Они делают это, проверив запись whois и проверив имя регистратора где должно быть указано полное юридическое название организации включая корпоративные идентификаторы, такие как Inc., LLC, Ltd и т. д. Если записи регистратора не содержат правильное название организации или если отсутствует корпоративный идентификатор, Сертификационный центр будет проверять соответствие адреса официальному физическому адресу компании. Если этот адрес не соответствует, вы должны будет обновить записи Whois. CA должен будет проверить конкретные детали организации, чтобы убедиться, что формальный бизнес-объект имеет хорошую репутацию. В процессе проверки конкретных регистрационных данных ЦС должен подтвердить следующее:

• Полное название юридической организации
• Регистрационный номер
• Дата регистрации (если она не указана или менее, чем три года, потребуется дополнительная информация).
• Физический адрес (почтовые ящики не приемлемы)

Как только CA успешно свяжется с организационным контактом, который также известен как Администратор сертификата или Заявитель сертификата, и будут проверены окончательные данные сертификата сертификат SSL будет выпущен.