Extended Validation (EV)

Authentifizierungsanforderungen

Ein Extended Validation (EV) ist das vertrauenswürdigste SSL Zertifikat. Es beinhaltet die strengsten Authentifizierungsstandards aller SSL Zertifikate. Die Extended Validation (EV) Verfahrensrichtlinien verlangen, dass wir mehrere Identifizierungsinformationen erhalten und überprüfen.

Trustico® Validation Image

Extended Validation (EV) SSL Zertifikate sind der Goldstandard, die Premium-Produkte der Business Class SSL-Sicherheitsprodukte der Branche und bieten das höchste Maß an Vertrauen und Sicherheit. Sie bestätigen visuell, dass sie den höchsten Authentifizierungsgrad innerhalb des SSL Zertifikatsbereichs besitzen. Mit 2 eindeutigen Merkmalen zur Anzeige einer grünen Adressleiste und des registrierten Firmennamens in der Adressleiste, die dann erscheint, sobald das SSL Zertifikat ausgestellt und korrekt installiert wurde.

Alle gängigen Browser verfügen über eine verbesserte Benutzeroberfläche für Web-Sicherheit, ausgelöst durch das Vorhandensein eines gültigen EV SSL Zertifikats oder negativ durch bekannte Assoziationen mit Malware oder einem widerrufenen oder falsch konfigurierten SSL/TLS-Zertifikat.

Laut dem folgenden Bericht, der im Jahr 2015 veröffentlicht wurde, denken die Verbraucher folgendes :

- 53% der Verbraucher erkennen, dass das Vorhängeschloss mehr Vertrauen bedeutet.
- 42% der Verbraucher verstehen, dass der grüne Balken mehr Sicherheit bedeutet.

Es ist wichtig, das die Sicherheit auch erkannt wird. Ihre Kunden sind auf der Suche nach Online-Sicherheit. Sie wollen nicht, dass ihre Zugangsdaten oder ihre Identität online gestohlen werden. Kunden sind in Bezug auf die Online-Sicherheit skeptischer denn je. Mit dem Kauf des richtigen SSL-Zertifikats für Ihr Unternehmen sichern Sie nicht nur die Verbindung zwischen dem Browser des Kunden und Ihrer Webseite, sondern Sie bieten mehr Sicherheit und Vertrauen. Ihr Firmennamen, wird im Browser angezeigt und schafft ein Vertrauensverhältnis, das Ihre Kunden erkennen und schätzen werden. Hier finden Sie weitere Informationen

Haben Sie jemals etwas auf einer Website gekauft, der Sie nicht getraut haben?

Haben Sie jemals eine Website besucht, der Sie nicht vertraut haben?

Mit der Ankündigung von Google®, die beabsichtigten Änderungen an den visuellen Sicherheitsindikatoren eines SSL-Zertifikats vorzunehmen, ist das EV SSL Zertifikat der einzige Weg, um Ihre Website hervorzuheben und Ihr Engagement für das Vertrauen und die Sicherheit Ihrer Kunden unter Beweis zu stellen. Weitere Informationen zu Google® und den sich entwickelnden Sicherheitspraktiken finden Sie hier.

Wer verwendet EV SSL-Zertifikate?

Ihre Bank, Bezahlseiten, Kryptowährungsseiten, E-Commerce-Unternehmen, Technologieunternehmen wie AirBnB, Twitter, GitHub, Microsoft und Apple.

Die EV Zertifikate werden für E-Commerce Webseiten und -Domains empfohlen, die mit sensiblen Informationen wie persönlichen Daten wie Kreditkartendaten oder unternehmenskritischen Daten umgehen und eine starke Verschlüsselung zum Schutz all dieser Informationen bieten.

Zu den Vorteilen eines EV SSL Zertifikats für ein Online-Geschäft gehören :

- Verbessertes SEO-Ranking
- Schutz vor schädlichen Cyberangriffen
- Rückgang der verlassenen Einkaufswagen
- Erhöhung Ihrer Kundenbindungsrate
- Hohe Konversionsrate für Ihre Produkte/Dienstleistungen
- Sicherheit vor Phishing
- Steigerung des Kundennutzens durch Vertrauen und Zuversicht
- Sehr strenger Validierungsprozess
- Sichert private Informationen und Finanztransaktionen von Benutzern
- Zeigt den Namen Ihres Unternehmens in der grünen Adressleiste mit HTTPS-Vorhängeschloss an.
- Kompatibel mit allen Betriebssystemen (OS) und Servern

Die EV SSL Zertifikate verfügen über eine zusätzliche Funktionalität, die sich Subject Alternative Names (SAN) nennt. Mit dem EV SAN SSL-Zertifikat (auch bekannt als Multi Domain SSL-Zertifikat) können Sie die Sicherheit Ihrer Domains ganz einfach von einem einzigen SSL-Zertifikat aus verwalten. Es sind allerdings keine Wildcarddomains erlaubt, aber Sie können so viele Domainnamen wie Sie möchten in Ihrem SSL-Zertifikat aufnehmen. Es können einem SSL-Zertifikat auch später noch Domainnamen hinzufügt werden, bis zu einer Gesamtmenge von 250 für ein einzelnes EV SSL Zertifikat.

Erhalten Sie Ihr EV SSL Zertifikat

Sobald eine Bestellung über unser Online-Bestellsystem aufgegeben wurde, schauen Sie bitte weiterhin regelmäßig in Ihr E-Mail Postfach für weitere Informationen und Dokumentenanfragen. Wir empfehlen, vorrangig das entsprechende Bestätigungsdokument auszufüllen. Sollten Sie in der Lage sein, dieses Dokument auszufüllen, können wir Ihre Bestellung möglicherweise beschleunigen.

Wenn Sie ein SSL-Zertifikat der Marke Comodo® bestellt haben, dann werden Sie direkt von Comodo® kontaktiert werden und erhalten ein Bestätigungsdokument zum Ausfüllen und Zurücksenden. Eine Kopie des Dokuments kann eingesehen und ausgefüllt werden, indem Sie auf den folgenden Link klicken :

Comodo® EV Agreement (PDF)

Bitte stellen Sie sicher, dass Sie das entsprechende Bestätigungsdokument ausfüllen und an uns faxen, indem Sie eine der Faxnummern von unserer Seite verwenden. Nach Erhalt des ausgefüllten Dokuments werden die folgenden Authentifizierungsanforderungen durchgeführt, um eine zügige Bearbeitung Ihrer Bestellung zu gewährleisten.

Der Admin-Kontakt ist als Zertifikatsunterzeichner für die Bestellung aufgeführt und muss die Abonnentenvereinbarung durchlesen und ausfüllen.

Diese Details werden später vom Comodo-Verifikationsteam während des Verifikationsgesprächs überprüft.

Anforderungen an die Domänenauthentifizierung

Um sich für ein Extended Validation (EV) SSL Zertifikat zu qualifizieren, müssen die Details der Domainregistrierung den vollständigen Unternehmensnamen enthalten, der in der SSL-Zertifikatsanforderung enthalten ist. Wenn die Domainregistrierung nicht den Namen des Unternehmens widerspiegelt, der in der SSL Zertifikatsanfrage angegeben ist, ist eine positive Bestätigung des ausschließlichen Rechts des Unternehmens, den Domainnamen zu verwenden, durch den registrierten Domainverwalter oder mit einem professionellen Gutachten erforderlich.

Die Domain muss bei der ICANN oder einem IANA-Registrar (für CCTLDs) registriert sein. Die Details der Domainregistrierung müssen aktualisiert werden, um den Namen des Unternehmens wiederzugeben, der in der SSL Zertifikatsanfrage enthalten ist.

Sollte die Domainregistrierung privat sein, muss der Domainregistrator die Sperre der Datenschutzfunktion aufheben.

Die Organisationen "Certificate Approver" müssen während des Verifizierungsaufrufs die Kenntnis des Domainbesitzes der Organisation bestätigen.

Gemäß den grundlegenden Anforderungen ist zunächst eine Bestätigung der Kontrolle der Domäne erforderlich, die über die automatisierte Genehmigungs-E-Mail erfolgt. Eine alternative Verifizierungsmethode ist verfügbar, wenn die automatisierte Genehmigungs-E-Mail nicht ausgefüllt werden kann. Dies erfordert Zugriff auf das Stammverzeichnis der Domäne.

Anforderungen an die Unternehmens-Authentifizierung

Ein Extended Validation SSL-Zertifikat bietet mehr als nur Verschlüsselung, denn es ermöglicht es dem Unternehmen hinter der Website auch, seine eigene validierte Identität der rechtlichen, physischen und operativen Existenz zu präsentieren und sich so gegenüber den Besuchern der Website zu authentifizieren.

Eine Trust-Hierarchie verlangt, dass die Einheiten füreinander "bürgen". Unternehmen, die SSL-Zertifikate ausstellen, sind dabei, festzustellen, dass Unternehmen im Internet tatsächlich die sind, für die sie sich ausgeben. Das Potenzial für kriminelle Aktivitäten im Internet (in Bezug auf SSL) liegt in der Online-Hijacking von Websites oder Verbindungen zu Siphon-verschlüsselten Daten. Personen, die so geneigt sind, können Webseitenschnittstellen leicht kopieren und sich als bekannte Anbieter ausgeben, nur um Daten zu sammeln. Die Verwendung eines EV SSL-Zertifikats verhindert dies, da wir ein EV SSL-Zertifikat nur an eine berechtigte Person ausstellen.

Das EV SSL-Zertifikat bietet die höchste Stufe der Identitätssicherung und garantiert, dass das Unternehmen hinter der Website sowie der vertrauenswürdige Dritte, der die Identität überprüft, einen gründlichen Identitätsprüfungsprozess gemäß den EV-Richtlinien (eine Reihe von Überprüfungsgrundsätzen und -richtlinien, die vom CA/Browser-Forum genehmigt wurden) durchgeführt haben.

Es gibt strenge Industriestandards, die zuerst erfüllt werden müssen, bevor das EV SSL-Zertifikat ausgestellt werden kann. EV-Verifizierungsrichtlinien, die vom Certificate Authority/Browser (CAB) Forum erstellt wurden, erfordern eine viel strengere Prüfung als andere SSL-Zertifikatstypen. Anforderung, mehrere Identifizierungsinformationen des anfragenden Unternehmens zu erhalten und zu überprüfen.

Die folgenden Unternehmen sind berechtigt, ein Extended Validation (EV) SSL-Zertifikat zu erhalten, vorausgesetzt, sie sind derzeit bei einer offiziellen Registrierungsstelle in ihrem Land registriert und von dieser genehmigt. Die daraus resultierende Charta, Urkunde, Lizenz oder ähnliches muss durch diese Registrierungsstelle überprüfbar sein :

- Regierungsbehörden
- Unternehmen
- Offene Handelsgesellschaften
- Nicht eingetragene Vereine
- Einzelunternehmen

Wir müssen in der Lage sein, alle der folgenden organisatorischen Registrierungsanforderungen aus offiziellen Aufzeichnungen der Regierungsbehörden zu bestätigen :

- Die Registrierungsnummer des Unternehmens
- Datum der Eintragung / Gründung
- Die registrierte Adresse der Organisation (oder die Adresse des registrierten Vertreters der Organisation).

Eine nichtstaatliche Datenquelle (z.B. Dun & Bradstreet) muss den Geschäftssitz des Unternehmens enthalten, wenn sie nicht in den Aufzeichnungen der Behörde enthalten ist.

Wenn das Unternehmen seit weniger als drei Jahren registriert ist, können wir verpflichtet sein, die operative Existenz durch eines der folgenden Verfahren zu überprüfen :

Durch eine nichtstaatliche Datenquelle (wie Dun & Bradstreet) oder durch Überprüfung, ob das Unternehmen über ein aktives Sichteinlagenkonto (wie ein Girokonto) bei einem regulierten Finanzinstitut durch ein professionelles Gutachten oder direkt beim Finanzinstitut verfügt.

Der in der Bestellung aufgeführte Firmenname und die Firmenanschrift müssen in dem in der Bestellung aufgeführten Land als registriert und betriebsbereit bestätigt werden und über eine überprüfbare physische Adresse verfügen.

Diese Angaben werden von Comodo selbst anhand einer "Qualifizierten Regierungsinformationsquelle" überprüft. Nachfolgend sind einige Beispiele für verschiedene Regierungsbehörden aufgeführt, die wir nutzen können :

- Vereinigtes Königreich : Companies House
- Israel : Das Justizministerium
- Vereinigte Staaten : Außenministerium
- Österreich: FirmanABC

Es muss eine genaue Übereinstimmung zwischen dem in der Bestellung angegebenen Firmennamen und dem offiziell eingetragenen Firmennamen bestehen. Dazu gehören auch Firmenbezeichnungen, einschließlich Limited, Ltd, LLC, Inc. etc.

Das Unternehmen muss außerdem für mindestens 3 Jahre als operativ bestätigt werden. Ein Principal Individual Letter (PIL) kann auch erforderlich sein, wenn das Unternehmen seit weniger als 3 Jahren tätig ist.

Authentifizierungsanforderungen für Organizations Approver

Um sich für ein Extended Validation (EV) SSL-Zertifikat zu qualifizieren, muss der während des Bestellvorgangs identifizierte "Certificate Approver" von der anfragenden Organisation eingesetzt werden und über die entsprechende Befugnis verfügen, Verantwortlichkeiten für Extended Validation (EV) SSL-Zertifikate zu erhalten und zu delegieren.

Beschäftigung und Autorisierung können nicht über die Website des Unternehmens überprüft werden.

Sollte der "Certificate Approver" in den staatlichen Aufzeichnungen als Corporate Officer (z.B. Secretary, President, CEO, CFO, COO, CIO, CSO, Director oder gleichwertig) aufgeführt ist, kann die Beschäftigung und Autorisierung von Organisationskontakten genehmigt werden, ohne diese Informationen wie unten beschrieben zu überprüfen.

Wir müssen in der Lage sein, alle folgenden "Certificate Approver"-Anforderungen zu bestätigen :

1. "Certificate Approver" Identität, Titel und Beschäftigung durch eine unabhängige Quelle.

2. "Certificate Approver" ist berechtigt, EV-Zertifikate im Namen des Unternehmens zu erhalten und zu genehmigen. Dies kann durch ein professionelles Gutachten, einen Unternehmensbeschluss oder durch direkte Kontaktaufnahme mit dem CEO, COO oder einer ähnlichen Führungskraft in dem Unternehmen überprüft werden und die Autorität des organisatorischen Kontakts bestätigen. Wenn keine öffentlichen Aufzeichnungen über den CEO, COO oder andere Führungskräfte verfügbar sind, werden wir versuchen, die Personalabteilung des Unternehmens zu kontaktieren, um Kontaktdaten zu erhalten.

Telefonischer Verifizierungsanruf

Wir müssen die SSL-Zertifikatsanforderung und alle SSL-Zertifikatsdetails mit dem "Certificate Approver" überprüfen, der während des Bestellvorgangs identifiziert wurde. Wir müssen den "Certificate Approver" über eine unabhängig verifizierte Telefonnummer kontaktieren.

Die Telefonnummer wird auf eine der folgenden Arten erhalten :

Durch die Recherche in qualifizierten Telefondatenbanken, um eine Telefonnummer zu finden, stellen Sie sicher, dass die aktuelle Telefonnummer Ihres Unternehmens in einem öffentlichen Telefonbuch aufgeführt ist, wie in einem professionellen Gutachten angegeben oder wie bei einem physischen Besuch vor Ort bestätigt.

Während des Verifizierungsgesprächs müssen wir Folgendes mit dem "Certificate Approver" überprüfen :

- Der Name des SSL-Zertifikatsantragstellers, der in der SSL-Zertifikatsanforderung angegeben ist, und seine Befugnis, das Extended Validation SSL-Zertifikat im Namen des Unternehmens zu erhalten.
- Kenntnis des Eigentums des Unternehmens und des Rechts, die in der SSL-Zertifikatsanforderung angegebene Domain zu nutzen.
- Genehmigung der Anforderung eines Extended Validation SSL-Zertifikats und Bestätigung der Unterzeichnung des entsprechenden SSL-Zertifikats-Abonnementvertrags, der alle Bedingungen und Konditionen von Extended Validation enthält.

Das Unternehmen muss in Datensätzen der qualifizierten unabhängigen Informationsquelle existieren. Wenn er kontaktiert wird, wird jemand die Autorität des Admin-Kontaktes im Unternehmen bestätigen. Der EV-Bewerbungsprozess fragt Sie nach der Telefonnummer eines administrativen Kontakts. Diese wird nicht zur Überprüfung Ihrer Identität verwendet.

Typischerweise werden Dun & Bradstreet, Hoovers, White Pages oder Yellow Pages verwendet. Diese können nicht selbst gemeldet werden: Die qualifizierte unabhängige Informationsquelle muss die Informationen überprüfen.

Diese Kontaktdaten werden verwendet, um das Unternehmen telefonisch zu kontaktieren. Ein Agent aus dem Verifizierungsteam wird bitten, mit der Personalabteilung für größere Unternehmen zu sprechen. Dann bestätigt der Prüfer die Befugnis des Zertifikatsunterzeichners, Entscheidungen im Namen des Unternehmens zu treffen (z.B. ein Zertifikat ausstellen zu lassen), und spricht mit dem Zertifikatsunterzeichner, um sicherzustellen, dass er die Bestellung genehmigt. Dies soll verhindern, dass jemand, der für das Unternehmen arbeitet, seine eigenen Schurkenzertifikate erstellt.

Endgültige Genehmigungsphase

Nach Abschluss des Verifizierungsanrufs wird der Auftrag in die zweite Genehmigungsstufe verschoben. Das bedeutet, dass ein Agent alle Auftragsdetails überprüft, um sicherzustellen, dass sie den Industriestandards entsprechen, bevor er das Zertifikat an den Zertifikatsunterzeichner ausstellt.

Zusätzliche Verifizierungsanforderungen

Wenn wir nicht in der Lage sind, die erforderlichen Informationen auf Ihrem SSL Zertifikatsantrag zu überprüfen, können wir Sie bitten, ein professionelles Gutachten eines Anwalts zur Verfügung zu stellen, um die Informationen zu überprüfen.

Anforderungen an ein professionelles Gutachten Schreiben

Das fachliche Gutachten wird bei der zuständigen Rechtsanwaltskammer oder dem Rechnungshof in der jeweiligen Rechtsordnung geprüft. Wenn wir nicht in der Lage sind, das professionelle Gutachten zu überprüfen, können wir das von dieser Person unterzeichnete Schreiben nicht akzeptieren.

Professionelle Gutachten müssen durch eine der folgenden Personen ergänzt werden :

1. Rechtsanwalt (Anwalt, Rechtsanwalt, Anwalt oder gleichwertig), der zur Ausübung des Rechts im Land der Gründungsgerichtsbarkeit des Antragstellers oder in einem Land, in dem der Antragsteller ein bestätigtes Büro oder eine physische Einrichtung unterhält, zugelassen ist.

2. Wirtschaftsprüfer (Wirtschaftsprüfer oder gleichwertig), der zur Ausübung der Buchhaltung im Land der Gründungsgerichtsbarkeit des Antragstellers oder in einem Land, in dem der Antragsteller ein bestätigtes Büro oder eine Niederlassung unterhält, zugelassen ist.

3. Qualifizierte Regierungsbeamte (auf der Grundlage von Ländervorschriften) im Land der Gründungsgerichtsbarkeit des Antragstellers oder in einem Land, in dem der Antragsteller ein bestätigtes Büro oder eine physische Einrichtung unterhält. Dazu können Beamte, Gerichtsvollzieher, Registratoren, Richter, Friedensrichter und Polizeibeamte gehören.

4. Notar (außerhalb der USA und Kanadas), die Regierungsbeamte oder Juristen sind, können manchmal ein professionelles Gutachten unterzeichnen. Kontaktieren Sie uns für weitere Informationen.

Extended Validation (EV)-Aufträge erfordern, dass alle Informationen im professionellen Gutachten direkt durch den Rechtsanwalt oder Wirtschaftsprüfer bestätigt werden. Sie werden unter Verwendung der Kontaktdaten kontaktiert, die bei der zuständigen Rechtsanwaltskammer oder dem Rechnungshof in der jeweiligen Gerichtsbarkeit hinterlegt sind. Bitte stellen Sie sicher, dass diese Person von unserer Absicht Kenntnis hat, sie zu kontaktieren, um die Informationen zu überprüfen.

Zusätzliche Informationen

Manchmal muss ein Anwalt oder Buchhalter eine Bescheinigung schreiben, die es dem Anwalt oder Buchhalter ermöglicht, einige Aspekte des Unternehmens zu beglaubigen. Die Anmeldeinformationen des Anwalts/Buchhalters müssen noch überprüft werden, bevor ihre Bescheinigung verwendet werden kann.

Der gesamte Verifizierungsprozess kann in einem Arbeitstag abgeschlossen werden, sofern alle erforderlichen Informationen verfügbar sind und der Kunde alle an ihn gestellten Anforderungen erfüllen kann.

Eine umfassendere Liste aller Anforderungen an ein EV-SSL Zertifikat finden Sie auf der eigenen Website des CAB-Forums :

https://cabforum.org/wp-content/uploads/EV-V1_5_5.pdf