Validación Extendida (EV)

Requisitos de autenticación

Los Certificados SSL con Validación Extendida (EV) consiguen el mayor nivel de confianza del usuario a través de los estándares de autenticación más estrictos de cualquier Certificado SSL. Las directrices de verificación de Validación Extendida (EV) nos obligan a obtener y verificar múltiples partes de información identificativa.

Los Certificados SSL con Validación Extendida (EV) son el estándar de oro, los productos de seguridad SSL de primera clase de la industria y proporcionan el mayor nivel de confianza y seguridad. Confirman visualmente que tienen el mayor nivel de autenticación en el rango de Certificados SSL. Con 2 características únicas, como son mostrar una barra de dirección verde y el nombre de negocio registrado en la barra de dirección, lo que ocurre una vez que el Certificado SSL ha sido emitido e instalado correctamente.

Todos los navegadores importantes incluyen una pantalla de interfaz de usuario mejorada para la seguridad web – desencadenada de forma positiva por la presencia de un Certificado SSL EV válido o negativamente por asociación conocida con malware o un Certificado SSL / TLS retirado o mal configurado.

De acuerdo con el siguiente informe publicado en 2015:

  • El 53% de los consumidores reconoce que el candado significa más confianza.
  • El 42% de los consumidores comprende que la barra verde significa mayor seguridad.

Es importante reconocer la seguridad. Sus clientes buscan seguridad online. No quieren que sus credenciales o identidades sean robadas online. Los clientes son mucho más conscientes que nunca acerca de la seguridad online. Al comprar el Certificado SSL correcto para su negocio, no solo está asegurando la conexión entre el navegador de los clientes y su sitio web. Está proporcionando seguridad y confianza. Los clientes verán el nombre de su empresa en su navegador estableciendo un nivel de confianza que sus clientes reconocerán. Más información.

¿Alguna vez ha hecho una compra en un sitio que no le inspiraba confianza?

¿Alguna vez ha visitado un sitio en el que no confiaba?

Con el anuncio de Google® de su intención de cambiar los indicadores visuales de la seguridad proporcionada por un Certificado SSL, el Certificado SSL EV es la única forma de hacer que su sitio web destaque proporcionando una prueba de su compromiso con la confianza y la seguridad de sus clientes. Puede obtener más información sobre Google® y la evolución de sus prácticas de seguridad aquí.

Quién utiliza los Certificados SSL EV

Su banco, proveedores de pago, sitios de criptomonedas, empresas de comercio electrónico, empresas tecnológicas como AirBnB, Twitter, GitHub, Microsoft y Apple.

Los Certificados EV están recomendados para sitios de comercio electrónico y dominios que manejen información sensible como detalles personales o de tarjetas de crédito o datos críticos para las operaciones de la empresa, y proporcionan un potente cifrado para proteger toda esta información.

Los beneficios de un Certificado SSL EV para un negocio online incluyen:

  • Clasificaciones SEO mejoradas
  • Protección contra ciber ataques dañinos
  • Un descenso en cestas de la compra abandonadas
  • Un aumento en la tasa de retención de clientes
  • Alta tasa de conversión para sus productos / servicios
  • Seguridad frente a la suplantación de identidad
  • Aumento en la confianza y fidelidad del cliente
  • Proceso de validación muy estricto
  • Asegura la información privada y las transacciones financieras de los usuarios
  • Muestra el nombre de su organización en la barra de dirección verde con un candado HTTPS
  • Compatible con todos los sistemas operativos (SO) y servidores

Los Certificados SSL EV tienen una funcionalidad adicional que se denomina Nombre de Sujeto Alternativos (SAN). Con el Certificado SSL SAN EV (también conocido como Certificado SSL Multi Dominio), puede gestionar fácilmente la seguridad de sus dominios con un Certificado SSL. No se permiten dominios comodín, pero puede tener tantos nombres de dominio como quiera en su Certificado SSL. También puede añadir nombres de dominio a un Certificado SSL posteriormente, hasta un total de 250 en un solo Certificado SSL EV.

Obtener su certificado SSL EV

Una vez enviada una solicitud mediante nuestro sistema de solicitud online, por favor siga comprobando su correo electrónico en busca de más información y solicitudes de documentos. Le recomendamos completar el documento de reconocimiento apropiado como prioridad. Si puede completar este documento, podremos expedir su solicitud.

Si ha solicitado un Certificado SSL de marca Comodo® puede que Comodo® contacte directamente con usted y que le proporcione un documento de reconocimiento para completarlo y devolverlo. Puede verse y completarse una copia del documento haciendo clic en el siguiente enlace:

Acuerdo EV Comodo® (PDF)

Por favor, asegúrese de completar y enviarnos por fax el documento de reconocimiento apropiado, usando uno de los números de fax de la página Contactar con nosotros. Después de la recepción del documento completado, se llevarán a cabo los siguientes requisitos de autenticación para asegurarnos de que su solicitud puede procesarse convenientemente.

El contacto administrativo aparece como el firmante del certificado para la solicitud y tendrá que leer y completar el acuerdo del suscriptor.

Estos detalles serán comprobados posteriormente por el equipo de verificación de Comodo durante la llamada de verificación.

Requisitos de autenticación de dominio

Para tener derecho a un Certificado SSL de Validación Extendida (EV) los detalles de registro del dominio deben reflejar el nombre completo de la organización como se incluye en la solicitud del Certificado SSL. Cuando el registro del domino no refleja el nombre de la organización según lo identificado en la solicitud del Certificado SSL, se requiere una confirmación positiva del derecho exclusivo de la organización a utilizar el nombre del dominio por parte del administrador del dominio registrado o mediante una carta de opinión profesional.

El dominio debe estar registrado con un registrador ICANN o IANA (para CCTLD). Los detalles de registro del dominio deben actualizarse para reflejar el nombre de la organización como se incluye en la solicitud del Certificado SSL.

Cuando el registro del dominio es privado, el registrador del dominio está obligado a desbloquear la característica de privacidad.

Las organizaciones “Aprobadoras de Certificados” deben confirmar el conocimiento de la propiedad del domino de la organización durante la llamada de verificación.

De acuerdo con los Requisitos de Referencia, primero se requiere la confirmación de control del dominio, haciéndose mediante el correo electrónico automatizado del aprobador. Habrá disponible un método de verificación alternativo en caso de que no pueda completarse el correo electrónico automatizado del aprobador. Requiere acceso al directorio raíz del dominio.

Requisitos de autenticación de la organización

Un Certificado SSL de Validación Extendida ofrece algo más que un cifrado, ya que también permite a la organización detrás del sitio web presentar su propiedad identidad validada de existencia legal, física y operativa y, por lo tanto, autenticarse ella misma ante los visitantes del sitio web.

Una jerarquía de confianza exige que las entidades se “confirmen” unas a otras. Las empresas que emiten Certificados SSL están en el negocio de establecer que las entidades en Internet son, de hecho, quienes afirman ser. El potencial de actividad criminal en Internet (en relación con el SSL), se encuentra en el secuestro online de sitios web o conexiones para extraer datos cifrados. Las personas con esta inclinación pueden copiar fácilmente las interfaces de sitios web y hacerse pasar por proveedores bien conocidos, simplemente para recopilar datos. El uso de un Certificado SSL EV evita que esto ocurra porque solo emitirá un Certificado SSL EV a una entidad legítima.

El Certificado SSL EV proporcional el mayor nivel de aseguramiento de identidad y funciona como garantía de que la organización detrás del sitio web, así como el tercero de confianza que valida la identidad, completaron un exhaustivo proceso de verificación de identidad según las directrices EV (un conjunto de principios y políticas de investigación aprobado por el foro CA / Browser).

Antes de que el Certificado SSL EV pueda ser emitido deben cumplirse estrictos estándares de la industria. Las directrices de verificación EV, redactadas por la Autoridad de Certificados / Foro Browser (CAB) requieren una comprobación mucho más rigurosa que otros tipos de Certificados SSL. Es necesario obtener y verificar muchas partes de información identificativa de la empresa solicitante.

Las siguientes entidades son elegibles para recibir un Certificado SSL de Validación Extendida (EV) siempre que estén registradas y aprobadas actualmente mediante una agencia de registro oficial en su jurisdicción. El estatuto, certificado, licencia o equivalente resultante debe ser verificable a través de esa agencia de registro:

  • Agencias gubernamentales
  • Corporaciones
  • Sociedades generales
  • Asociaciones no incorporadas
  • Propietarios únicos

Debemos poder confirmar todos los siguientes requisitos de registro de la organización mediante los registros de una agencia gubernamental oficial:

  • El número de registro de la organización
  • Fecha de registro / incorporación
  • Dirección registrada de la organización (o la dirección del agente de la organización registrada

Una fuente de datos no gubernamental (como Dun & Bradstreet deben incluir la dirección comercial de la organización si no está incluida en los registros de la agencia gubernamental.

Si la organización ha estado registrada durante menos de tres años, puede que solicitemos la verificación de la existencia operacional a través de uno de los siguientes medios:

A través de una fuente de datos no gubernamental (como Dun & Bradstreet), o verificando que la organización tiene una cuenta de depósito de demanda activa (como una cuenta corriente) en una institución financiera regulada mediante una carta de opinión profesional o hablando directamente con la institución financiera.

El nombre y la dirección de la empresa indicados en la solicitud deben ser confirmados como registrados y operativos en el país indicado en la solicitud y tener una dirección física verificable.

Estos detalles son comprobados por Comodo usando una “Fuente de Información Gubernamental Cualificada”. A continuación, tenemos algunos ejemplos de varias agencias gubernamentales que podemos utilizar:

  • Reino Unido: Companies House
  • Israel: Ministerio de Justicia
  • Estados Unidos: Secretario de Estado Local
  • Austria : FirmanABC

Debe existir una coincidencia exacta entre el nombre de la empresa introducido en la solicitud y el nombre de la empresa registrado oficialmente. Esto incluye identificadores corporativos, como Limited, Ltd, LLC, Inc, etc.

También debe confirmarse que la empresa ha estado operativa durante al menos 3 años. Puede que también sea necesaria una Carta Individual del Director (PIL) si la empresa ha estado operativa durante menos de tres años.

Requisitos de Autenticación del Aprobador de la Organización

Para tener derecho a un Certificado SSL de Validación Extendida (EV) el “Aprobador de Certificados” identificado durante el proceso de solicitud debe ser contratado por la organización solicitante y tener la autoridad apropiada para obtener y delegar las responsabilidades del Certificado SSL de Validación Extendida (EV).

La contratación y autorización no puede verificarse a través del sitio web de la organización.

Si el “Aprobador de Certificados” está incluido en registros gubernamentales como un oficial corporativo (como un Secreto, Presidente, CEO, CFO, COO, CIO, CSO, Director o equivalente), entonces el contacto organizativo de contratación y autorización puede aprobarse sin verificar la información que se describe a continuación.

Nosotros debemos poder confirmar todos los siguientes requisitos del “Aprobador de Certificados”:

1. La identidad, el título y la contratación del “Aprobador de Certificados” a través de una fuente independiente.

2. Que el “Aprobador de Certificados” está autorizado a obtener y aprobador Certificados EV en nombre de la organización. Esto puede verificarse a través de una carta de opinión profesional, una resolución corporativa o contactando directamente con el CEOO, COO o ejecutivo similar en la organización y confirmando la autoridad del contacto organizativo. Si no hay registros públicos disponibles en relación con el CEO, COO u otro ejecutivo, intentaremos contactar con el departamento de recursos humanos de la organización para obtener los detalles de contacto.

Llamada telefónica de verificación

Debemos verificar la solicitud del Certificado SSL y todos los detalles del Certificado SSL con el “Aprobador de Certificados” identificado durante el proceso de solicitud. Debemos contactar con el “Aprobador de Certificados” usando un número de teléfono verificado de forma independiente.

El número de teléfono se obtiene a través de uno de los siguientes métodos:

Investigando bases de datos telefónicas cualificadas para encontrar un número de teléfono – asegúrese de que el número de teléfono principal de su organización esté incluido en un directorio telefónico público, igual al proporcionado en la carta de opinión profesional o al confirmado durante la visita física al lugar.

Durante la llamada de verificación, debemos comprobar lo siguiente con el “Aprobador de Certificados”:

  • El nombre del solicitante del Certificado SSL identificado en la solicitud del Certificado SSL y su autoridad para obtener el Certificado SSL de Validación Extendida en nombre de la organización.
  • onocimiento de la propiedad de la empresa y el derecho a usar el dominio identificado en la solicitud del Certificado SSL.
  • Aprobación de la solicitud del Certificado SSL de Validación Extendida y reconocimiento de firma del Acuerdo de Solicitante de Certificado SSL aplicable que incluye los términos y condiciones de la Validación Extendida.

La empresa tiene que existir en los registros de una Fuente de Información Independiente Cualificada. Cuando contactemos con ella, alguien confirmará la autoridad del contacto administrativo en la empresa. El proceso de solicitud EV le solicitará el número de teléfono de un contacto administrativo. Esto no se utiliza para validar su identidad.

Habitualmente, se utiliza Dun & Bradstreet, Hoover, las Páginas Blancas o las Páginas Amarillas. Éstos no pueden verificarse por sí solos, la Fuente de Información Independiente Cualificada debe revisar la información.

Estos detalles de contacto se utilizarán para contactar con la empresa por teléfono. Un agente del equipo de verificación solicitará hablar con RRHH en las empresas más grandes. Posteriormente el agente de verificación confirmará la autoridad para tomar de cisiones en nombre de la empresa del firmante del certificado (por ejemplo, emitiendo un certificado), y hablará con el firmante del certificado para asegurarse de que aprueba la solicitud. Esto está diseñado para evitar que alguien que trabaje para la empresa cree sus propios certificados falsos.

Etapas finales de la aprobación

Una vez que se ha completado la llamada de verificación, la solicitud se trasladará a la segunda etapa de aprobación. Esto se traduce en que un agente comprobará todos los detalles de la solicitud para asegurarse de que cumple con los estándares de la industria, antes de emitir el certificado para el firmante del certificado.

Requisitos de verificación adicionales

Si no podemos verificar alguna de la información necesaria sobre su solicitud de Certificado SSL, puede que le solicitemos proporcionar una carta de opinión profesional de un abogado o contable para verificar la información.

Requisitos de la carta de opinión profesional

La carta de opinión profesional será verificada con el Colegio de Abogados o Colegio de Contabilidad registrado en la jurisdicción apropiada. Si no podemos verificar la carta de opinión profesional, no podremos aceptar la carta firmada por esa persona.

Las cartas de opinión profesional deben ser completadas por uno de los siguientes:

1. Abogado (procurador, abogado, defensor o equivalente) con licencia para practicar el derecho en el país de jurisdicción de incorporación del solicitante o en cualquier jurisdicción donde el solicitante mantenga una oficina o instalación física confirmada.

2. Contable público certificado (contable colegiado o equivalente) con licencia para practicar la contabilidad en el país de jurisdicción de incorporación del solicitante o en cualquier jurisdicción donde el solicitante mantenga una oficina o instalación física confirmada.

3. Agentes gubernamentales cualificados (en función de la normativa nacional) en el país de jurisdicción de incorporación del solicitante o en cualquier jurisdicción donde el solicitante mantenga una oficina o instalación física confirmada. Éstos pueden incluir a secretarios, administradores, registradores, jueces, jueces de paz y agentes de policía.

4. Los notarios públicos (fuera de EE.UU. y Canadá) que sean agentes gubernamentales o profesionales legales a veces pueden firmar una carta de opinión profesional. Contacte con nosotros para obtener más información.

Las solicitudes de Validación Extendida (EV) requieren que toda la información en la carta de opinión profesional sea confirmada directamente con el abogado o contable certificado. Se contactará con ellos usando los detalles de contacto existentes en el Colegio de Abogados o Colegio de Contabilidad de registro en la jurisdicción apropiada. Por favor asegúrese de que esa persona conoce nuestra intención de contactar con ella para verificar la información.

Información adicional

A veces es necesario que un abogado o contable escriba una carta de garantía, que permite al abogado / contable dar testimonio sobre algunos aspectos de la empresa. Siempre es necesario comprobar las credenciales del abogado / contable antes de poder utilizar su declaración.

Todo el proceso de verificación puede completarse en 1 día laborable, siempre que toda la información necesaria esté disponible y siempre que el cliente pueda completar cada requisito solicitado.

Puede encontrarse una lista más exhaustiva de todos los requisitos para un Certificado SSL EV en la página del Foro CAB:

https://cabforum.org/wp-content/uploads/EV-V1_5_5.pdf