Voor de uitgifte van een SSL Certificaat worden er een aantal controles uitgevoerd. Welke controles dit zijn is afhankelijk van het gekozen certificaat. De controles worden chronologisch uitgevoerd zoals weergegeven in het schema hieronder. De domein validatie vindt bijvoorbeeld plaats zodra de (eventuele) overige controles gedaan zijn. Zodra alle controles succesvol zijn afgerond wordt het certificaat verstuurd naar de aanvrager. Nog geen certificaat aangevraagd? Je kunt deze online aanvragen.
Bedrijfsvalidatie
Bedrijfsgegevens die worden opgenomen in een certificaat worden gecontroleerd bij een onafhankelijke bron. Bedrijfsgegevens zijn:
- Statutaire- of handelsnaam
- Rechtsvorm
- Adresgegevens
- Postcode
- Plaats
- Land/landcode
Onafhankelijke bronnen zijn:
- Nederland: Kamer van Koophandel (KvK)
- België: Kruispuntbank van Ondernemingen (KBO)
- Overige landen: Dun & Bradstreet (D&B)
De bedrijfsnaam zoals opgegeven in de CSR moet exact overeenkomen met de bedrijfsnaam die bekend is bij het handelsregister. Als dit geen geregistreerde naam is of niet de juiste notatie heeft (bij een EV certificaat) dan wordt de aanvraag afgewezen. Dit geldt ook voor typefouten. Er is dan een nieuwe aanvraag met juiste bedrijfsnaam in de CSR nodig. Bij Comodo aanvragen nemen we contact met de aanvrager of de opgegeven contactpersoon op en kunnen we in overleg de organisatienaam wijzigen. Een nieuwe aanvraag is dan niet nodig.
De gegevens in het certificaat moeten exact overeenkomen met de gegevens uit het handelsregister, hierbij geldt:
- Bij Organisatie Validatie is het toegestaan om een handelsnaam of post(bus)adres te gebruiken, mits geregistreerd.
- Bij Uitgebreide Validatie (EV) kan uitsluitend de statutaire naam gebruikt worden, óf de handelsnaam met tussen haakjes de statutaire naam. Gebruik hiervoor de notatie: Handelsnaam (Statutaire naam). Postbusadressen mogen niet gebruikt worden. Uitzondering hierop zijn de eenmanszaak en de VOF: omdat zij geen statutaire naam hebben mag er een handelsnaam opgegeven worden.
Whois validatie
In het Whois register wordt vastgelegd wie de eigenaar is van een domeinnaam. De Whois-gegevens van het aangevraagde domein worden vergeleken met de geregistreerde bedrijfsgegevens en moeten overeenkomen. Om de Whois gegevens aan te passen neem je contact op met je Hosting Provider of registrar. Deze kan de Whois-gegevens vaak realtime aanpassen.
Waar je de Whois-gegevens (ook wel domeinnaamhouder gegevens genoemd) kunt achterhalen verschilt per TLD.
EV Documenten
Bij EV aanvragen is het ondertekenen van de EV Documenten, bestaande uit een Certificate Request Form (aanvraagformulier) & Certificate Subscriber Agreement (contract) noodzakelijk. Deze formulieren worden vooringevuld, de contactpersoon van de organisatie hoeft deze alleen te controleren, te ondertekenen en te retourneren.
Voor een Comodo EV certificaat is het ook mogelijk de aanvraag online te bevestigen. Hiervoor vul je het e-mail adres van de contactpersoon van de organisatie in. Er wordt een e-mail verstuurd vanaf noreply@comodo.nl met daarin een link naar Certificate Subscriber Agreement. Dit formulier online bevestigen is voldoende.
Let op: Wil je als reseller whitelabel leveren, gebruik dan het vooringevulde PDF formulier. Op dit formulier kun je het e-mailadres laten aanpassen naar je eigen e-mailadres.
Telefonische validatie
De contactpersoon van de organisatie zoals opgegeven in de aanvraag wordt gebeld. Hiervoor wordt een publiek geregistreerd telefoonnummer van de organisatie gebruikt zoals geregistreerd bij de KvK. Bij certificaten van GlobalSign, Thawte, Symantec en GeoTrust zijn de telefoongids en goudengids als bron ook toegestaan, bij Comodo dus niet. Hiermee wordt gecontroleerd of de betreffende organisatie daadwerkelijk het SSL certificaat heeft aangevraagd.
Let op: Vraag je (als reseller) aan voor een andere organisatie? Geef dan in de aanvraag een contactpersoon op van deze organisatie, en geef door dat zij benaderd worden voor de telefonische validatie.
De exacte procedure is afhankelijk van het validatieniveau en de leverancier:
Organisatie Validatie (OV)
De organisatie wordt (bij Comodo) eenmalig telefonisch gevalideerd, hierdoor is een telefonische validatie niet nodig bij:
- Een verlenging van het certificaat onder dezelfde account
- Een nieuwe aanvraag voor een organisatie waarvoor al eerder een certificaat met bedrijfsgegevens is aangevraagd, onder dezelfde account.
De overige CA’s hanteren afwijkende procedures.
Uitgebreide Validatie (EV)
Voor iedere aanvraag wordt telefonische validatie uitgevoerd, dus ook bij verlengingen en uitbreidingen van multidomein certificaten. Bij EV certificaten worden daarnaast de opgegeven contactpersoon en EV documenten gecontroleerd.
Domein validatie
Met deze check toon je aan dat je het domein waarvoor je een certificaat aanvraagt ook beheert. Je hebt hiervoor bij Comodo certificaten de keuze uit drie methoden, de methode die je wilt gebruiken kies je tijdens het indienen van de aanvraag. Certificaten van GlobalSign, GeoTrust, Thawte of Symantec gebruiken alleen e-mail validatie.
Ieder (sub)domein moet apart worden bevestigd. Bij Multidomein certificaten van Comodo wordt deze check bij e-mail validatie voor ieder hoofddomein apart uitgevoerd, bij bestands- of CNAME validatie wordt ieder subdomein apart gecontroleerd. Als je bij een heruitgifte dezelfde CSR gebruikt, wordt deze controle niet opnieuw uitgevoerd.
*Bij certificaten met bedrijfsgegevens (domein- en organisatie validatie) wordt deze check alleen uitgevoerd bij Comodo certificaten, bij de overige merken niet.
E-mail validatie
De leverancier van het certificaat (de CA) stuurt een DCV (Domain Control Validation) mail naar het in de aanvraag opgegeven e-mailadres. Er wordt een e-mail met daarin een link naar een webpagina waarop je een code (uit dezelfde e-mail) invult.
Toegestane e-mailadressen voor domeinvalidatie zijn:
- admin-, administrator-, hostmaster-, postmaster-, webmaster@domeinnaam.tld
- de e-mailadressen die in het Whois register geregistreerd zijn voor de domeinnaam.
(HTTP) Bestandsvalidatie
Voor bestandsvalidatie wordt van de CSR die gebruikt is voor de aanvraag een MD5 en SHA-256 hash gemaakt. Deze hash-waarden, klaar voor gebruik in het DNS, worden getoond in het bevestigingsvenster van de aanvraag. Je maakt voor elk domein uit de aanvraag een .txt bestand aan met deze hash-waarden en plaatst dit bestand op de website van het betreffende domein. Dit bestand wordt vervolgens door de CA bekeken ter verificatie door het opvragen van het bestand van de HTTP of HTTPS webserver.
(DNS) CNAME Validatie
Van de CSR die gebruikt is voor de aanvraag wordt een MD5 en SHA-256 hash gemaakt, deze hash-waarden worden getoond in het bevestigingsvenster van de aanvraag. Met deze hash-waarden maak je in je eigen DNS configuratie een CNAME record aan die je verwijst naar een specifieke domeinnaam van de CA. De CA controleert vervolgens of het record bestaat en of deze verwijst naar het doel zoals is opgegeven. Via MXToolbox kun je controleren of het record goed is geplaatst.