Requisitos de autenticación de la organización
Un Certificado SSL de Validación Extendida ofrece algo más que un cifrado, ya que también permite a la organización detrás del sitio web presentar su propiedad identidad validada de existencia legal, física y operativa y, por lo tanto, autenticarse ella misma ante los visitantes del sitio web.
Una jerarquía de confianza exige que las entidades se “confirmen” unas a otras. Las empresas que emiten Certificados SSL están en el negocio de establecer que las entidades en Internet son, de hecho, quienes afirman ser. El potencial de actividad criminal en Internet (en relación con el SSL), se encuentra en el secuestro online de sitios web o conexiones para extraer datos cifrados. Las personas con esta inclinación pueden copiar fácilmente las interfaces de sitios web y hacerse pasar por proveedores bien conocidos, simplemente para recopilar datos. El uso de un Certificado SSL EV evita que esto ocurra porque solo emitirá un Certificado SSL EV a una entidad legítima.
El Certificado SSL EV proporcional el mayor nivel de aseguramiento de identidad y funciona como garantía de que la organización detrás del sitio web, así como el tercero de confianza que valida la identidad, completaron un exhaustivo proceso de verificación de identidad según las directrices EV (un conjunto de principios y políticas de investigación aprobado por el foro CA / Browser).
Antes de que el Certificado SSL EV pueda ser emitido deben cumplirse estrictos estándares de la industria. Las directrices de verificación EV, redactadas por la Autoridad de Certificados / Foro Browser (CAB) requieren una comprobación mucho más rigurosa que otros tipos de Certificados SSL. Es necesario obtener y verificar muchas partes de información identificativa de la empresa solicitante.
Las siguientes entidades son elegibles para recibir un Certificado SSL de Validación Extendida (EV) siempre que estén registradas y aprobadas actualmente mediante una agencia de registro oficial en su jurisdicción. El estatuto, certificado, licencia o equivalente resultante debe ser verificable a través de esa agencia de registro:
- Agencias gubernamentales
- Corporaciones
- Sociedades generales
- Asociaciones no incorporadas
- Propietarios únicos
Debemos poder confirmar todos los siguientes requisitos de registro de la organización mediante los registros de una agencia gubernamental oficial:
- El número de registro de la organización
- Fecha de registro / incorporación
- Dirección registrada de la organización (o la dirección del agente de la organización registrada
Una fuente de datos no gubernamental (como Dun & Bradstreet deben incluir la dirección comercial de la organización si no está incluida en los registros de la agencia gubernamental.
Si la organización ha estado registrada durante menos de tres años, puede que solicitemos la verificación de la existencia operacional a través de uno de los siguientes medios:
A través de una fuente de datos no gubernamental (como Dun & Bradstreet), o verificando que la organización tiene una cuenta de depósito de demanda activa (como una cuenta corriente) en una institución financiera regulada mediante una carta de opinión profesional o hablando directamente con la institución financiera.
El nombre y la dirección de la empresa indicados en la solicitud deben ser confirmados como registrados y operativos en el país indicado en la solicitud y tener una dirección física verificable.
Estos detalles son comprobados por Comodo usando una “Fuente de Información Gubernamental Cualificada”. A continuación, tenemos algunos ejemplos de varias agencias gubernamentales que podemos utilizar:
- Reino Unido: Companies House
- Israel: Ministerio de Justicia
- Estados Unidos: Secretario de Estado Local
- Austria : FirmanABC
Debe existir una coincidencia exacta entre el nombre de la empresa introducido en la solicitud y el nombre de la empresa registrado oficialmente. Esto incluye identificadores corporativos, como Limited, Ltd, LLC, Inc, etc.
También debe confirmarse que la empresa ha estado operativa durante al menos 3 años. Puede que también sea necesaria una Carta Individual del Director (PIL) si la empresa ha estado operativa durante menos de tres años.