Bei der Bestellung von SSL-Zertifikaten der Klasse 3 (OV-Zertifkate) findet neben der DCV (Domain Control Validation) eine Überprüfung des Zertifikatsinhabers statt. Dies erhöht die Vertrauenswürdigkeit einer Homepage und kann insbesondere bei Shops sinnvoll sein.
Für alle SSL-Zertifikate, die Unternehmensinformationen enthalten sollen, MUSS überprüft werden, ob der Antragstellervertreter ein Mitarbeiter oder Bevollmächtigter der antragstellenden Organisation ist. Es muss sichergestellt werden, dass mit der antragstellenden Organisation über eine zuverlässige Kommunikationsmethode, die von einem zuverlässigen Dritten überprüft wurde, kommuniziert wurde - z.B. per Post oder per Telefonanruf. Der Telefonanruf soll überprüfen, ob die antragstellende Organisation erreichbar ist, die Authentizität der Zertifikatsanforderung gegeben ist und die Kontaktinformationen des antragstellenden Vertreters übereinstimmen.
Für jedes Zertifikat muss eine Überprüfung des Antragstellers - gemäß den Baseline Requirements des CA/Browser Forum - über zuverlässige Kommuniktionsmethoden durchgeführt werden. Dies gilt unabhängig davon, über welche CA das Zertifikat beantragt und ausgestellt wird.
Damit sind Kommunikationsverfahren, wie beispielsweise eine Telefonnummer oder E-Mail-Adresse gemeint, die unter Verwendung einer anderen Quelle als die in den übermittelten Daten des Zertifikat-Antragsstellers genannt wurden, überprüft werden (externe Quellen wie Upik, Gelbe Seiten etc.).
Wenn die Identitätsinformationen den Namen oder die Adresse eines Unternehmens enthalten sollen, WIRD die Identität und Adresse des Unternehmens überprüft und festgestellt, dass es sich um die Adresse des Antragstellers handelt und er sich an dieser befindet oder arbeitet. Es WIRD die Identität und Anschrift des Antragstellers anhand von Unterlagen überprüft, die von mindestens einem der folgenden Unternehmen zur Verfügung gestellt werden:
Hierbei KANN die gleiche Dokumentation oder Kommunikation verwenden werden, die in den Punkten a) bis d) beschrieben sind, um sowohl die Identität als auch die Adresse des Antragstellers zu überprüfen.
Alternativ KANN die Adresse des Antragstellers (aber nicht die Identität des Antragstellers) anhand einer Stromrechnung, eines Kontoauszugs, eines Kreditkartenauszugs, eines staatlich ausgestellten Steuerdokuments oder einer anderen im Abschnitt "Erlaubte Dokumente" aufgeführten Form der Identifizierung festgestellt werden.
Wenn die Identitätsinformationen einen DBA oder Handelsnamen enthalten sollen, wird das Recht des Antragstellers, den Markennamen zu verwenden, anhand von mindestens einem der folgenden Punkte überprüft:
Handelt es sich bei dem Antragssteller um eine Körperschaft öffentlichen Rechts, WIRD die Identität und Anschrift des Antragstellers anhand folgender Unterlagen überprüft:
Wenn es sich beim Antragsteller um eine natürliche Person handelt, muss der Name des Antragstellers, die Adresse des Antragstellers und die Authentizität der Zertifikatsanforderung überprüft werden:
Nach Erhalt der oben genannten Unterlagen wird überprüft, ob die Dokumentationsinformationen mit den Informationen übereinstimmen, die während des Bewerbungsprozesses angegeben wurden.
Die Daten im CSR und die im Auftrag genannten Daten müssen bei der Übermittlung übereinstimmen. Insbesondere ist darauf zu achten, dass im CSR keine voreingestellten Daten wie "default city" oder "some state" enthalten sind.
In der folgenden Tabelle sind die erlaubten Dokumente zur Inhabervalidierung aus der D-A-CH Region aufgeführt.
DE | Auszug aus dem Handelsregister |
DE | Gewerbeschein |
DE | Kopie vom Amtsgericht des Handelsregistereintrags im Handelsregister |
DE | Offizielles Schreiben des Bundesamt für Finanzen |
CH | Gesellschaftsvertrag |
CH | Auszug aus dem Handelsregister |
CH | Geschäftslizenz |
AT | Auszug aus dem Handelsregister |
AT | Gesellschaftsvertrag |
AT | Gewerbeanmeldung |