Validação Organizacional

Os certificados SSL de OV (Organizational Validation) contêm informações da empresa com base em uma validação que é realizada manualmente pela CA, ou seja, o solicitante do certificado é verificado e uma validação verbal do solicitante também é realizada ligando para um número de telefone existente em um banco de dados público.

Como o certificado OV é validado?

Os Certificados SSL de empresa passam por um processo completo de validação manual, que verifica o proprietário do domínio, a empresa do solicitante e ao mesmo tempo ocorre uma validação verbal na forma de verificação telefônica da pessoa de contato. O procedimento de validação e as regras de verificação são aproximadamente os mesmos para todas as autoridades de certificação.

1. Verificação de Domínio

   Para atender com sucesso ao requisito de verificação de domínio, é necessário provar que o solicitante do certificado tem o direito de gerenciar o domínio (é o proprietário ou administrador). Isso é feito da mesma forma que a verificação de domínio enviando um e-mail para a caixa de correio selecionada no domínio. De acordo com as regras, essas são apenas as seguintes caixas de correio: admin@, administrator@, webmaster@, hostmaster@ ou postmaster@. Também é possível escolher validação FTP ou DNS.

2. Verificação da Empresa

   A autoridade de certificação verifica completamente a empresa que solicita o certificado em um banco de dados público (Registro Comercial estadual). Portanto, é necessário que todas as informações públicas sejam as mesmas que as fornecidas no pedido. Se a empresa não puder ser validada facilmente, existem métodos alternativos de verificação, por exemplo, usando formulários de amostra, que são escolhidos de acordo com a situação.

3. Verificação de Contato

   É necessário uma cópia de um documento de identidade com foto emitido pelo governo para verificar o solicitante (contato de administração) no pedido.
   Uma cópia de um documento de identidade com foto emitido pelo governo, como uma carteira de motorista válida, passaporte, identidade nacional ou identidade militar que inclua seu nome, que corresponda ao nome no pedido. E "selfie" - uma foto sua segurando o documento de identidade com foto emitido pelo governo. A foto DEVE mostrar claramente seu rosto e o documento de identidade com foto do governo que é legível e pode ser comparado com a cópia fornecida no documento.

4. Verificação Telefônica

   A verificação do contato telefônico é realizada pela autoridade de certificação com base em um banco de dados autoritativo de terceiros. As Autoridades de Certificação respeitam Duns&Bradstreet e outros bancos de dados. Sempre depende dos procedimentos e regras internas da AC.

5. Verificação telefônica final

   Se a AC realizou todas as verificações do solicitante, ela faz a ligação final. Esta verificação é realizada em inglês por padrão e o funcionário da AC pergunta sobre coisas comuns, como o nome da empresa, nome de domínio, verifica se um certificado foi solicitado. Este telefone é curto e pode ser usado por uma pessoa com um conhecimento mínimo de inglês.
   A autoridade de certificação Sectigo faz uma chamada automatizada, enviando primeiro um e-mail com um link para a página de validação, onde é possível selecionar a data da chamada. A melhor escolha é "Chamar agora". Este é um processo de retorno de chamada automatizado, onde o solicitante recebe um código de verificação por telefone, que é inserido no formulário.

   Se tudo estiver OK, os certificados OV padrão são emitidos após esta etapa.

O tempo médio para emissão de um certificado SSL OV é de 2-3 dias úteis. Se todas as informações estiverem disponíveis e a empresa estiver estabelecida e funcional, um certificado OV pode ser obtido em dois dias. No entanto, se a autoridade de certificação não conseguir encontrar as informações necessárias, será necessário realizar verificações adicionais usando formulários e a emissão do certificado será prolongada.

Links úteis para validação

• Validação Sectigo
  • Ajuda Sectigo
• Validação DigiCert (GeoTrust, Thawte, RapidSSl)
  • Documentação DigiCert
• Validação Certum
  • O processo de verificação e os documentos necessários

Para onde ir a seguir?

• Como funciona a verificação de domínio (certificados DV)
• Como criar uma Solicitação de Assinatura de Certificado (CSR)
• Formatos de certificado (PEM, KEY, CSR, PFX, ...)
• O que é REEDIÇÃO de Certificado SSL