In cosa consiste il processo di validazione estesa (EV)

Nota: questa guida presenta tutti i requisiti per la convalida di tipo EV ed è basata sui requisiti per i certificati Geotrust True BusinessID; tuttavia, il processo per ottenere un certificato di tipo EV con altri provider è molto simile, per cui vi invitiamo a consultarla prima di procedere all'acquisto di un certificato SSL di tipo EV.

REQUISITI PER LA VALIDAZIONE ESTESA

Un certificato SSL di tipo Extended Validation rappresenta il più alto livello di fiducia dei consumatori (non a caso viene contraddistinto dalla barra verde del browser) e viene ottenuto attraverso i più severi standard di autenticazione. Le linee guida per la verifica della convalida estesa richiedono al provider di certificati di ottenere e verificare diverse informazioni atte alla corretta identificazione dell'azienda, prima di approvare ed emettere il certificato.

1. Requisiti di autenticazione dell'organizzazione

Le seguenti entità hanno diritto a ricevere un certificato EV a condizione che siano attualmente registrati e approvati da un'agenzia di registrazione ufficiale nella loro giurisdizione:

  • agenzie governative;
  • società;
  • gruppi societari;
  • associazioni;
  • aziende individuali.

I documenti identificativi (visura camerale, atto di fondazione, licenze, ecc.) devono essere verificabili attraverso la relativa agenzia di registrazione.

Il provider del certificato deve essere in grado di confermare tutti i seguenti requisiti di registrazione organizzativa.

I documenti ufficiali delle agenzie governative devono includere:

  • Il numero di registrazione dell'organizzazione.
  • Data di registrazione/costituzione dell'organizzazione.
  • L'indirizzo registrato dell'organizzazione.

Se l'indirizzo della sede principale dell'organizzazione non è incluso nei registri delle agenzie governative, deve poter essere verificato tramite una fonte non governativa, come Dun & Bradstreet (visita dnb.com). Tale agenzia riceve solitamente i dati dalle relative Camere di Commercio e da altri organi ufficiali. Prima di procedere, potete verificare che la vostra organizzazione sia presente e correttamente registrata su dnb.com

Se l'organizzazione è stata registrata da meno di tre anni, il provider deve verificare l'esistenza operativa attraverso uno dei seguenti mezzi:

  • mediante una fonte di dati non governativi, come Dun & Bradstreet (vedi sopra);
  • mediante un conto di deposito a vista (ad esempio un conto corrente) presso un'istituzione finanziaria regolamentata, tramite la lettera di un avvocato o direttamente con il relativo istituto finanziario.

2. Requisiti di autenticazione del dominio

Per ottenere un certificato SSL con validazione estesa, i dettagli di registrazione del dominio devono rispecchiare il nome completo dell'organizzazione come incluso nella richiesta di certificato. Laddove la registrazione del dominio non rispecchi il nome dell'organizzazione come identificato nella richiesta di certificato, è necessaria la conferma positiva del diritto esclusivo dell'Organizzazione di utilizzare il nome di dominio dall'amministratore del dominio registrato o con una lettera da parte di un relativo legale.

Il dominio deve essere registrato sui registri ICANN o IANA (per CCTLD). I dettagli di registrazione del dominio devono essere aggiornati per riflettere il nome dell'organizzazione come incluso nella richiesta di certificato. Laddove la registrazione del dominio è privata, il registrar di domini è tenuto a sbloccare la funzione di privacy.

Il responsabile designato dall'organizzazione per la convalida del certificato deve confermare la conoscenza della proprietà del dominio dell'organizzazione durante la telefonata di verifica.

3. Requisiti per il responsabile della validazione

Il responsabile della validazione identificato nella richiesta di certificato deve essere un dipendente dell'organizzazione richiedente e disporre dell'autorità appropriata per ottenere e delegare le responsabilità del certificato di convalida estesa.

Note

L'occupazione e l'autorizzazione non possono essere verificate attraverso il sito web dell'organizzazione.

Se il responsabile designato nella richiesta di certificato è presente in un registro governativo con la sua qualifica societaria (come segretario, presidente, amministratore delegato, CEO, CFO, COO, CIO, CSO, direttore o equivalente), allora il suo nominativo può essere approvato senza che debbano essere fornite ulteriori documentazioni. In caso contrario, il provider deve essere in grado di verificare e confermare tutti i seguenti requisiti per l'approvazione del certificato:

A. Identificazione, titolo e occupazione del responsabile della certificazione tramite una fonte indipendente.
B. L'autorizzazione del responsabile a ottenere e approvare certificati EV per conto dell'organizzazione. Questa autorizzazione può essere verificata attraverso uno dei seguenti metodi:

  • La lettera di un avvocato
  • Una risoluzione aziendale
  • Il contatto diretto dell'amministratore delegato, del direttore operativo o di un dirigente presso l'organizzazione, che confermi l'autorità del contatto organizzativo. Se non sono disponibili documenti pubblici relativi a direttori e dirigenti, il provider tenterà di contattare il dipartimento Risorse umane dell'organizzazione per i dettagli di contatto.

4. Requisiti per la verifica dell'ordine

Il provider deve verificare la richiesta di certificato e tutti i dettagli del certificato con il responsabile della certificazione designato nella richiesta di certificato. GeoTrust deve contattare il responsabile della certificazione utilizzando un numero di telefono verificato in modo indipendente.

Questo numero di telefono è ottenuto tramite uno dei seguenti metodi:

  • Effettuando ricerche su database telefonici qualificati per trovare un numero di telefono. Assicuratevi che il numero di telefono principale della vostra organizzazione sia elencato in un elenco telefonico pubblico.
  • Mediante lettera di un avvocato.
  • Mediante una visita al sito condotta dal provider.

Durante la chiamata di verifica, il provider deve verificare quanto segue con il responsabile della certificazione.

  • Il nome del Richiedente certificato identificato nella richiesta di certificato e la sua autorità per ottenere il certificato per conto dell'organizzazione.
  • Conoscenza della proprietà della società e diritto a utilizzare il dominio identificato nella richiesta di certificato.
  • Approvazione della richiesta di certificato SSL di convalida estesa.
  • Riconoscimento della firma del contratto di sottoscrizione del certificato SSL che include tutti i termini e le condizioni di convalida estesa.

5. Requisiti di verifica aggiuntivi

Se il provider non è in grado di verificare qualcuna delle informazioni richieste sopra, potrebbe chiedervi di fornire una lettera professionale da parte di un avvocato o di un commercialista, sempre al fine di verificare le informazioni.