Validierung

Unternehmens-Validierung

Geschäftsdaten, die im Zertifikat hinzugefügt werden, müssen mit einer unabhängigen Quelle überprüft werden. Geschäftsdaten sind:

• Rechts- oder Handelsbezeichnung
• Rechtsform
• Adresse
• Postleitzahl
• Ort
• Land / Ländercode

Beispiele für unabhängige Quellen sind:

• Deutschland: Handelskammer
• Dänemark: Det Central Virksomhedsregister (CVR)
• Niederlande: Handelskammer (KVK)
• Belgien: Kruispuntbank van Ondernemingen (KBO)
• Andere Länder: Dun & Bradstreet (D & B)

Der im CSR hinzugefügte Firmenname muss mit dem im Handelsregister eingetragenen übereinstimmen. Wenn der Firmenname nicht registriert ist oder nicht die richtige Notation (für EV) enthält, ist es nicht möglich, den Auftrag zu verarbeiten und wir müssen ihn ablehnen. Manchmal ist eine neue Anfrage mit den korrekten Daten im CSR notwendig, manchmal benötigen wir nur Ihre Zustimmung, um Änderungen vorzunehmen.

Die Daten im Zertifikat müssen exakt mit den Daten im Handelsregister übereinstimmen:

• Bei der Organisations-Validierung (OV) ist es erlaubt, einen Handelsnamen oder eine Postanschrift zu verwenden, wenn diese im Handelsregister eingetragen sind.
• Bei Erweiterter-Validierung (EV) ist es nur erlaubt, den registrierten gesetzlichen Namen oder den Handelsnamen zu verwenden, gefolgt von dem gesetzlichen Namen in Klammern. Benutze die Notation: Handelsname (Juristischer Name).

Es ist nicht erlaubt, eine Postanschrift zu verwenden.

Whois Validierung

Der Whois zeigt die Besitzerinformationen einer Domain an. Die Whois-Informationen der Domain werden mit den registrierten Firmeninformationen verglichen und müssen übereinstimmen. Für die sogenannten "Hochrisiko"-Domänen wird jedoch eine zusätzliche Prüfung in Form einer telefonischen Validierung durchgeführt. Offensichtliche Phishing-Domains werden sofort abgelehnt.

Die Quellen zur Überprüfung der Whois-Informationen unterscheiden sich für jede TLD.

EV Dokumente

Für EV-Anträge ist die Unterzeichnung eines Antragsformulars (Certificate Request Form) & Vertrages (Certificate Subscriber Agreement) erforderlich. Für ein EV-Zertifikat von Sectigo (ehemals Comodo CA) ist es auch möglich, dies online zu bestätigen. Geben Sie dazu die E-Mail-Adresse der Kontaktperson der Organisation im Kontrollpanel ein. Von noreply@sectigo.eu wird eine E-Mail mit einem Link zum Zertifikat-Abonnentenvertrag versandt. Es genügt, dieses Formular online zu bestätigen.

Es gibt auch eine Papierversion, die im Kontrollpanel zum Herunterladen zur Verfügung steht. Dieses Formular ist bereits vorausgefüllt, die Kontaktperson der Organisation muß dies nur noch prüfen, unterschreiben und zurücksenden.

Hinweis: Wenn Sie SSL-Zertifikate "white-labeled" verkaufen möchten, empfehlen wir, das vorgefüllte PDF-Formular zu verwenden. Es ist möglich, Ihre eigene E-Mailadresse, anstatt der von Sectigo (Comodo), zu verwenden.

Telefon-Validierung

Die im Antrag angegebene Kontaktperson der Organisation wird angerufen. Zu diesem Zweck wird eine öffentlich registrierte Telefonnummer der Organisation verwendet, die bei der Handelskammer registriert ist. Für Zertifikate von GlobalSign, Thawte, DigiCert und GeoTrust sind auch das Telefonbuch und die Gelben Seiten als Quellen zugelassen, jedoch nicht bei Sectigo. Damit wird geprüft, ob die betreffende Organisation das SSL-Zertifikat tatsächlich beantragt hat.

Hinweis: Wenn Sie ein Zertifikat für einen Ihrer Kunden als Wiederverkäufer anfordern, ist es notwendig, einen Kontakt für die Organisation anzugeben. Wir empfehlen auch, diesen Firmenkontakt im Voraus darüber zu informieren.

Die genaue Vorgehensweise hängt von der Validierungsstufe (der Art des Zertifikats) und dem Lieferanten ab.

• Organisations-Validierung (OV)

Die Organisation wird alle 27 Monate (bei Sectigo-Zertifikaten) telefonisch validiert, so dass eine telefonische Validierung nicht erforderlich ist wenn:

• Eine Erneuerung oder Neuauflage unter demselben Konto erfolgt oder;
• Eine neue Anfrage unter demselben Konto und für die gleiche Organisation erfolgt, für die zuvor ein OV-Zertifikat ausgestellt wurde.

Solange die telefonische Validierung nicht älter als 27 Monate ist.

Die anderen CAs verwenden unterschiedliche Verfahren.

• Erweiterte Validierung (EV)

Jeder Antrag wird per Telefon validiert, einschließlich Erneuerungen und Neuauflagen von Multi Domain Zertifikaten. Bei der Bestellung von EV-Zertifikaten werden der Firmenkontakt und die EV-Dokumente überprüft.

Domain-Validierung

Dieser Validierungsschritt überprüft, ob Sie die volle Kontrolle über die Domain haben, für die das Zertifikat angefordert wird. Sectigo bietet drei Methoden an. GlobalSign, Geotrust, Thawte oder DigiCert verwenden nur E-Mail-Validierung.

Jede (Sub-)Domain muss individuell zugelassen werden. Sectigo prüft jede Root-Domain bei der E-Mail-Validierung einzeln. Bei der Verwendung von Dateivalidierung oder CNAME-Validierung wird jede Subdomain überprüft. Wenn Sie eine Neuauflage mit derselben CSR anfordern, ist die Domainverifikation für dieselben Domänen nicht erforderlich.

E-Mail-Validierung

Der Lieferant des Zertifikats sendet eine DCV (Domain Control Validation) E-Mail an die E-Mailadresse, die bei der Anforderung des Zertifikats ausgewählt wurde. Eine E-Mail wird mit einem Link zu einer Webseite und einem Code gesendet. Der Code muss auf der Webseite eingegeben werden.

Erlaubte E-Mailadressen für die E-Mail-Validierung sind:

• Admin-, administrator-, hostmaster-, postmaster-, webmaster@domainname.tld
• Die E-mailaddressess die in der whois-Registrierung der Domain registriert ist.

Hinweis: Aufgrund der DSGVO zeigen einige Registrare diese E-Mail-Adressen nicht mehr an. In diesen Fällen können wir die E-Mail-Adressen nicht überprüfen. Um eine mögliche Verzögerung bei der Zertifikatsausstellung zu vermeiden, empfehlen wir Ihnen, eine der 5 Standard-E-Mail-Adressen zu verwenden.

(HTTP) Dateivalidierung

Aus dem verwendeten CSR wird ein MD5 und SHA1 Hash gemacht. Die Hash-Werte werden angezeigt, wenn die Anfrage bestätigt ist. Für jede Domain muss eine .txt-Datei mit diesen Hash-Werten gemacht werden. Diese Datei muss auf der Website der Domain platziert werden. Die CA überprüft den Datei zur Verifizierung.

(DNS) CNAME-Validierung

Aus dem verwendeten CSR wird ein MD5 und SHA1 Hash gemacht. Die Hash-Werte werden angezeigt, wenn die Anfrage bestätigt ist. Bei den Hash-Werten muss in der DNS-Konfiguration ein CNAME-Datensatz erstellt werden. Dieser Datensatz bezieht sich auf einen Domain-Namen der CA. Die CA überprüft den Datensatz und kontrolliert ob er sich tatsächlich auf den Domainnamen der CA bezieht. Über http://www.mxtoolbox.com/ kann ein Check durchgeführt werden, um zu sehen, ob der Datensatz korrekt platziert wurde.

Zertifikat bestellen