Validatie

Voor de uitgifte van een SSL Certificaat worden er een aantal controles uitgevoerd. Welke controles dit zijn is afhankelijk van het gekozen certificaat. De controles worden chronologisch uitgevoerd zoals weergegeven in het schema hieronder. De domein validatie vindt bijvoorbeeld plaats zodra de (eventuele) overige controles gedaan zijn. Zodra alle controles succesvol zijn afgerond wordt het certificaat verstuurd naar de aanvrager. Nog geen certificaat aangevraagd? Je kunt deze online aanvragen.

Certificaat aanvragen

Aanvraag beheren

De actuele status van je aanvraag vind je terug in het Control Panel onder de tab Aanvragen. Ook kun je hier de lopende certificaat aanvragen beheren en monitoren. Er worden ook status-updates verstuurd naar het e-mailadres waarmee is ingelogd voor het indienen van de aanvraag.

 

Domein validatie Organisatie validatie Uitgebreide validatie

 

 

 

 

 

Bedrijfsvalidatie

 

 

 

 

 

 

WHOIS

 

 

 

 

 

 

 

EV Documenten

 

 

 

 

 

 

Telefonische validatie Telefonische validatie

 

 

 

 

 

Domein validatie

 

 

 

 

Uitgifte

Bedrijfsvalidatie

Bedrijfsgegevens die worden opgenomen in een certificaat worden gecontroleerd bij een onafhankelijke bron. Bedrijfsgegevens zijn:

  • Statutaire- of handelsnaam
  • Rechtsvorm
  • Adresgegevens
  • Postcode
  • Plaats
  • Land/landcode

Onafhankelijke bronnen zijn:

De bedrijfsnaam zoals opgegeven in de CSR moet exact overeenkomen met de bedrijfsnaam die bekend is bij het handelsregister. Als dit geen geregistreerde naam is of niet de juiste notatie heeft (bij een EV certificaat) dan wordt de aanvraag afgewezen. Dit geldt ook voor typefouten. Er is dan een nieuwe aanvraag met juiste bedrijfsnaam in de CSR nodig. Bij Sectigo (Comodo) aanvragen nemen we contact met de aanvrager of de opgegeven contactpersoon op en kunnen we in overleg de organisatienaam wijzigen. Een nieuwe aanvraag is dan niet nodig.

De gegevens in het certificaat moeten exact overeenkomen met de gegevens uit het handelsregister, hierbij geldt:

  • Bij Organisatie Validatie is het toegestaan om een handelsnaam of post(bus)adres te gebruiken, mits geregistreerd.
  • Bij Uitgebreide Validatie (EV) is het verplicht om de statutaire naam inclusief rechtsvorm op te nemen. Dit kan eventueel in combinatie met een geregistreerde handelsnaam volgens de volgende notering: 'Handelsnaam (Statutaire Naam).

    Uitzonderingen hierop zijn de eenmanszaak en een VOF omdat deze geen statutaire naam hebben. Een eenmanszaak wordt verwerkt op de volgende manier: 'Handelsnaam (Voornaam Achternaam)'. Voor een VOF geldt: 'Naam Samenwerkingsverband', alternatief 'Handelsnaam (Naam Samenwerkingsverband)'

    Postbussen zijn niet toegestaan, een EV zal altijd worden uitgegeven op een vestigingsadres.

Whois validatie

In het Whois register wordt vastgelegd wie de eigenaar is van een domein. Het is tegenwoordig niet meer vereist dat de Whois-gegevens van het aangevraagde domein overeen moeten komen met de gegevens in de aanvraag. Wel wordt er bij de zogenoemde 'high-risk' domeinen een extra controle uitgevoerd in de vorm van een telefonische validatie. Overduidelijke phishing domeinen worden direct afgewezen.

Waar je de Whois-gegevens (ook wel domeinnaamhouder gegevens genoemd) kunt achterhalen verschilt per TLD

EV Documenten

Bij EV aanvragen is het ondertekenen van een aanvraagformulier (Certificate Request Form) & contract (Certificate Subscriber Agreement) noodzakelijk. Voor een Sectigo (voorheen Comodo CA) EV certificaat is het ook mogelijk deze online te bevestigen. Hiervoor vul je in het Control Panel het e-mailadres van de contactpersoon van de organisatie in. Er wordt een e-mail verstuurd vanaf noreply@sectigo.eu met daarin een link naar de Certificate Subscriber Agreement. Dit formulier online bevestigen is voldoende.

Er is ook een papieren versie beschikbaar dat in het Control Panel gedownload kan worden. Deze formulieren worden vooringevuld, de contactpersoon van de organisatie hoeft deze alleen te controleren, te ondertekenen en te retourneren.

Let op: Wil je als reseller whitelabel leveren, gebruik dan het vooringevulde PDF formulier. Op dit formulier kun je het e-mailadres laten aanpassen naar je eigen e-mailadres.

Telefonische validatie

De contactpersoon van de organisatie zoals opgegeven in de aanvraag wordt gebeld. Hiervoor wordt een publiek geregistreerd telefoonnummer van de organisatie gebruikt zoals geregistreerd bij de KvK. Bij certificaten van GlobalSign, Thawte, DigiCert en GeoTrust zijn de telefoongids en goudengids als bron ook toegestaan, bij Sectigo dus niet. Hiermee wordt gecontroleerd of de betreffende organisatie daadwerkelijk het SSL certificaat heeft aangevraagd.

Let op: Vraag je (als reseller) aan voor een andere organisatie? Geef dan in de aanvraag een contactpersoon op van deze organisatie, en geef door dat zij benaderd worden voor de telefonische validatie.

De exacte procedure is afhankelijk van het validatieniveau en de leverancier:

Organisatie Validatie (OV)

De organisatie wordt (bij Sectigo) eenmaal per 27 maanden telefonisch gevalideerd, hierdoor is een telefonische validatie niet nodig bij:

  • Een verlenging van het certificaat onder dezelfde account
  • Een nieuwe aanvraag voor een organisatie waarvoor al eerder een certificaat met bedrijfsgegevens is aangevraagd, onder dezelfde account

zolang de telefonische validatie niet ouder dan 27 maanden is.

De overige CA's hanteren afwijkende procedures.

Uitgebreide Validatie (EV)

Voor iedere aanvraag wordt telefonische validatie uitgevoerd, dus ook bij verlengingen en uitbreidingen van multidomein certificaten. Bij EV certificaten worden daarnaast de opgegeven contactpersoon en EV documenten gecontroleerd.

Domein validatie

Met deze check toon je aan dat je het domein waarvoor je een certificaat aanvraagt ook beheert. Je hebt hiervoor bij Sectigo certificaten de keuze uit drie methoden, de methode die je wilt gebruiken kies je tijdens het indienen van de aanvraag. Certificaten van GlobalSign, GeoTrust, Thawte of DigiCert gebruiken alleen e-mail validatie.

Elk (sub)domein moet afzonderlijk worden bevestigd. Sectigo controleert elk rootdomein afzonderlijk bij de keuze voor e-mailvalidatie. Bij gebruik van bestandsvalidatie of CNAME-validatie wordt elk subdomein gecontroleerd. Bij het aanvragen van een heruitgifte met dezelfde CSR moeten vanaf november 2021 alle domeinen in het certificaat opnieuw worden gevalideerd.

E-mail validatie

De leverancier van het certificaat (de CA) stuurt een DCV (Domain Control Validation) mail naar het in de aanvraag opgegeven e-mailadres. Er wordt een e-mail met daarin een link naar een webpagina waarop je een code (uit dezelfde e-mail) invult.

Toegestane e-mailadressen voor domeinvalidatie zijn:

  • admin-, administrator-, hostmaster-, postmaster-, webmaster@domeinnaam.tld
  • de e-mailadressen die in het Whois register geregistreerd zijn voor de domeinnaam.
    Let opVanwege de GDPR schermen enkele registrars deze e-mailadressen tegenwoordig af, zodat we deze meestal niet meer kunnen controleren en dus niet kunnen gebruiken voor e-mail validatie. Om mogelijke vertraging in de certificaatuitgifte voorkomen adviseren we je gebruik te maken van één van de 5 standaard e-mail adressen. 

(HTTP) Bestandsvalidatie

Voor bestandsvalidatie wordt van de CSR die gebruikt is voor de aanvraag een MD5 en SHA-256 hash gemaakt. Deze hash-waarden, klaar voor gebruik in het DNS, worden getoond in het bevestigingsvenster van de aanvraag.  Je maakt voor elk domein uit de aanvraag een .txt bestand aan met deze hash-waarden en plaatst dit bestand op de website van het betreffende domein. Dit bestand wordt vervolgens door de CA bekeken ter verificatie door het opvragen van het bestand van de HTTP of HTTPS webserver.

(DNS) CNAME Validatie

Van de CSR die gebruikt is voor de aanvraag wordt een MD5 en SHA-256 hash gemaakt, deze hash-waarden worden getoond in het bevestigingsvenster van de aanvraag. Met deze hash-waarden maak je in je eigen DNS configuratie een CNAME record aan die je verwijst naar een specifieke domeinnaam van de CA. De CA controleert vervolgens of het record bestaat en of deze verwijst naar het doel zoals is opgegeven. Via MXToolbox kun je controleren of het record goed is geplaatst.

Certificaat aanvragen

point up