SSL-Zertifikate

Validierungsverfahren für OV-Zertifikate (Klasse 3)

Bei der Bestellung von SSL-Zertifikaten der Klasse 3 (OV-Zertifkate) findet neben der DCV (Domain Control Validation) eine Überprüfung des Zertifikatsinhabers statt. Dies erhöht die Vertrauenswürdigkeit einer Homepage und kann insbesondere bei Shops sinnvoll sein.

Überprüfung der Authentizität der Anforderung

Für alle SSL-Zertifikate, die Unternehmensinformationen enthalten sollen, MUSS überprüft werden, ob der Antragstellervertreter ein Mitarbeiter oder Bevollmächtigter der antragstellenden Organisation ist. Es muss sichergestellt werden, dass mit der antragstellenden Organisation über eine zuverlässige Kommunikationsmethode, die von einem zuverlässigen Dritten überprüft wurde, kommuniziert wurde - z.B. per Post oder per Telefonanruf. Der Telefonanruf soll überprüfen, ob die antragstellende Organisation erreichbar ist, die Authentizität der Zertifikatsanforderung gegeben ist und die Kontaktinformationen des antragstellenden Vertreters übereinstimmen.

Voraussetzungen

a) Identitätsprüfung

Für jedes Zertifikat muss eine Überprüfung des Antragstellers - gemäß den Baseline Requirements des CA/Browser Forum - über zuverlässige Kommuniktionsmethoden durchgeführt werden. Dies gilt unabhängig davon, über welche CA das Zertifikat beantragt und ausgestellt wird.

b) Zuverlässige Kommunikationsmethoden

Damit sind Kommunikationsverfahren, wie beispielsweise eine Telefonnummer oder E-Mail-Adresse gemeint, die unter Verwendung einer anderen Quelle als die in den übermittelten Daten des Zertifikat-Antragsstellers genannt wurden, überprüft werden (externe Quellen wie Upik, Gelbe Seiten etc.).

1.1. Der Antragsteller ist ein Unternehmen

Wenn die Identitätsinformationen den Namen oder die Adresse eines Unternehmens enthalten sollen, WIRD die Identität und Adresse des Unternehmens überprüft und festgestellt, dass es sich um die Adresse des Antragstellers handelt und er sich an dieser befindet oder arbeitet. Es WIRD die Identität und Anschrift des Antragstellers anhand von Unterlagen überprüft, die von mindestens einem der folgenden Unternehmen zur Verfügung gestellt werden:

  • eine Regierungsbehörde in der Zuständigkeit der rechtlichen Gründung, Existenz oder Anerkennung des Antragstellers
  • eine Datenbank eines Drittanbieters, die regelmäßig aktualisiert wird
  • ein Besuch der Website durch den Wiederverkäufer oder
  • ein Bestätigungsschreiben

Hierbei KANN die gleiche Dokumentation oder Kommunikation verwenden werden, die in den Punkten a) bis d) beschrieben sind, um sowohl die Identität als auch die Adresse des Antragstellers zu überprüfen.

Alternativ KANN die Adresse des Antragstellers (aber nicht die Identität des Antragstellers) anhand einer Stromrechnung, eines Kontoauszugs, eines Kreditkartenauszugs, eines staatlich ausgestellten Steuerdokuments oder einer anderen im Abschnitt "Erlaubte Dokumente" aufgeführten Form der Identifizierung festgestellt werden.

1.2. Der Antragsteller verwendet einen Markennamen

Wenn die Identitätsinformationen einen DBA oder Handelsnamen enthalten sollen, wird das Recht des Antragstellers, den Markennamen zu verwenden, anhand von mindestens einem der folgenden Punkte überprüft:

  • Dokumentation, die von einer Regierungsbehörde bereitgestellt wird oder mit ihr kommuniziert wird, die der Gerichtsbarkeit der rechtlichen Gründung, Existenz oder Anerkennung des Antragstellers unterliegt
  • Dokumentation oder Kommunikation, die von einer dritten Quelle bereitgestellt wird und die den Anforderungen der Baseline Requirements entsprechen
  • Kommunikation mit einer Regierungsbehörde, die für die Verwaltung solcher Markennamen zuständig ist
  • ein Bescheinigungsschreiben mit dokumentarischer Unterstützung, das den Anforderungen der Baseline Requirements entspricht oder
  • eine Versorgungsrechnung, ein Kontoauszug, eine Kreditkartenabrechnung, ein staatlich ausgestelltes Steuerdokument oder eine andere Form der Identifizierung, die den Anforderungen der Baseline Requirements entspricht.

1.3. Der Antragsteller ist eine Körperschaft öffentlichen Rechts

Handelt es sich bei dem Antragssteller um eine Körperschaft öffentlichen Rechts, WIRD die Identität und Anschrift des Antragstellers anhand folgender Unterlagen überprüft:

  • Satzung
  • auf offiziellem Schreiben erstellte Beglaubigung, dass es sich um eine Körperschaft öffentlichen Rechts handelt, unterzeichnet von einer Person, die die Körperschaft offiziell vertritt.

1.4. Der Antragsteller ist eine natürliche Person

Wenn es sich beim Antragsteller um eine natürliche Person handelt, muss der Name des Antragstellers, die Adresse des Antragstellers und die Authentizität der Zertifikatsanforderung überprüft werden:

  • Dabei WIRD der Name des Antragstellers anhand einer lesbaren Kopie, die das Gesicht des Antragstellers deutlich zeigt, von mindestens einem derzeit gültigen, von offizieller Stelle ausgestellten Lichtbildausweis (Reisepass, Führerschein, Militärausweis, Personalausweis oder gleichwertiger Dokumente) überprüft. Die Kopie wird auf Anzeichen einer Änderung oder Verfälschung überprüft.
  • Die Adresse des Antragstellers WIRD anhand einer Identifikationsform überprüft, die auf den Antragsteller ausgestellt ist, wie z.B. Personalausweis, Stromrechnung oder Bank- oder Kreditkartenauszug. Dabei KANN auf die gleiche, von offizieller Stelle ausgestellte, ID zurück gegriffen werden, die zur Überprüfung des Namens des Bewerbers verwendet wurde.
  • Bei Zertifakten von Sectigo WIRD eine Face-To-Face-Verfication des Antragssteller erforderlich. Diese muss von einem Notar, Rechtsanwalt oder ähnlichem beglaubigt werden. Details dieser Überprüfung finden Sie auf den Webseiten von Sectigo:
    https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFOf
  • Es WIRD die Zertifikatsanforderung mit dem Antragsteller unter Verwendung einer zuverlässigen Kommunikationsmethode überprüft.

Nach Erhalt der oben genannten Unterlagen wird überprüft, ob die Dokumentationsinformationen mit den Informationen übereinstimmen, die während des Bewerbungsprozesses angegeben wurden.

Inhalt des CSR

Die Daten im CSR und die im Auftrag genannten Daten müssen bei der Übermittlung übereinstimmen. Insbesondere ist darauf zu achten, dass im CSR keine voreingestellten Daten wie "default city" oder "some state" enthalten sind.

Erlaubte Dokumente

In der folgenden Tabelle sind die erlaubten Dokumente zur Inhabervalidierung aus der D-A-CH Region aufgeführt.

DE Auszug aus dem Handelsregister
DE Gewerbeschein
DE Kopie vom Amtsgericht des Handelsregistereintrags im Handelsregister
DE Offizielles Schreiben des Bundesamt für Finanzen
CH Gesellschaftsvertrag
CH Auszug aus dem Handelsregister
CH Geschäftslizenz
AT Auszug aus dem Handelsregister
AT Gesellschaftsvertrag
AT Gewerbeanmeldung

© 2020 fc-hosting.de | +49-(0)5032-933-068-0 | info@fc-hosting.de

Quick-Links

Formulare

Tools

Tipps und Hilfen