Validazione Organizzativa

I certificati SSL OV (Organizational Validation) contengono informazioni sull'azienda basate su una convalida eseguita manualmente dalla CA, ovvero il richiedente del certificato viene verificato e viene anche eseguita una convalida verbale del richiedente chiamando un numero di telefono esistente da un database pubblico.

Come viene convalidato il certificato OV?

I certificati SSL aziendali vengono sottoposti a un completo processo di convalida manuale, che verifica il proprietario del dominio, l'azienda del richiedente e contemporaneamente avviene la convalida verbale sotto forma di verifica telefonica della persona di contatto. La procedura di convalida e le regole di verifica sono approssimativamente le stesse per tutte le autorità di certificazione.

1. Verifica del dominio

   Per soddisfare con successo il requisito di verifica del dominio, è necessario dimostrare che il richiedente del certificato abbia il diritto di gestire il dominio (è il proprietario o l'amministratore). Questo avviene allo stesso modo della verifica del dominio inviando un'email alla casella di posta selezionata nel dominio. Secondo le regole, queste sono solo le seguenti caselle di posta: admin@, administrator@, webmaster@, hostmaster@ o postmaster@. È anche possibile scegliere la convalida FTP o DNS.

2. Verifica dell'azienda

   L'autorità di certificazione verifica completamente l'azienda che richiede il certificato in un database pubblico (Registro Commerciale statale). È quindi necessario che tutte le informazioni pubbliche siano le stesse riportate nell'ordine completato. Se l'azienda non può essere semplicemente convalidata, ci sono metodi alternativi di verifica, ad esempio l'uso di moduli campione, che vengono scelti in base alla situazione.

3. Verifica dei contatti

   È richiesta una copia di un documento d'identità con foto rilasciato dal governo per verificare il richiedente (contatto admin) sull'ordine.
   Una copia di un documento d'identità con foto rilasciato dal governo come patente di guida valida, passaporto, carta d'identità nazionale o carta d'identità militare che includa il tuo nome che corrisponde al nome sull'ordine. E "selfie" - una foto di te che tiene il documento d'identità con foto rilasciato dal governo. La foto DEVE mostrare chiaramente il tuo volto e il documento d'identità con foto del governo che è leggibile e può essere confrontato con la copia fornita nel documento.

4. Verifica telefonica

   La verifica del contatto telefonico viene eseguita dall'autorità di certificazione sulla base di un database autorevole di terze parti. Le autorità di certificazione rispettano Duns&Bradstreet e altri database. Dipende sempre dalle procedure interne e dalle regole della CA.

5. Verifica telefonica finale

   Se la CA ha eseguito tutte le verifiche del richiedente, effettua la chiamata finale. Questa verifica viene eseguita in inglese per impostazione predefinita e l'impiegato della CA chiede informazioni comuni come il nome dell'azienda, il nome di dominio, verifica se è stato richiesto un certificato. Questa chiamata è breve e può essere gestita da una persona con una conoscenza minima dell'inglese.
   L'autorità di certificazione Sectigo effettua una chiamata automatizzata, inviando prima una e-mail con un link alla pagina di convalida, dove è possibile selezionare la data della chiamata. La scelta migliore è "Chiama ora". Si tratta di un processo di richiamata automatizzato, in cui al richiedente viene fornito un codice di verifica per telefono, che viene inserito nel modulo.

   Se tutto è OK, i certificati OV standard vengono emessi dopo questo passaggio.

Il tempo medio per l'emissione di un certificato SSL OV è di 2-3 giorni lavorativi. Se tutte le informazioni sono disponibili e l'azienda è costituita e funzionale, un certificato OV può essere ottenuto in due giorni. Tuttavia, se l'autorità di certificazione non riesce a trovare le informazioni necessarie, richiederà una verifica aggiuntiva utilizzando moduli e l'emissione del certificato sarà prolungata.

Link utili per la convalida

• Convalida Sectigo
  • Guida di Sectigo
• Convalida DigiCert (GeoTrust, Thawte, RapidSSl)
  • Documentazione DigiCert
• Convalida Certum
  • Il processo di verifica e i documenti richiesti

Cosa fare dopo?

• Come funziona la verifica del dominio (certificati DV)
• Come creare una richiesta di firma del certificato (CSR)
• Formati dei certificati (PEM, KEY, CSR, PFX, ...)
• Che cos'è la RINNOVAZIONE del certificato SSL