Quelles sont les étapes de la validation d’organisation / étendue?
Un certificat SSL à validation étendue est celui qui démontre le plus haut niveau de fiabilité et de confiance à l’égard des consommateurs et utilisateurs de votre site web. L’obtention de ce type de certificat nécessite la vérification de plusieurs éléments qui concernent votre nom de domaine mais aussi votre organisation.
Lors des étapes de configuration
Assurez-vous donc lors de la première étape de configuration du certificat sur votre espace client de respecter les consignes suivantes :
- Indiquer le nom exact de l’entreprise ou de l’organisation au nom de laquelle le certificat sera délivré. Le nom exact figure dans les documents administratifs de l’entreprise (statut, registre de commerce…);
- Indiquer le nom et l’email d’une personne habilitée à demander et à approuver ce certificat. Cette personne doit être membre du service technique ou informatique. Il doit figurer parmi les dirigeants de l’entreprise ou juste un employé de l’entreprise habilité à remplir cette mission. Ainsi, l’email de cette personne doit être un email professionnel, les emails gratuits (gmail, yahoo…) sont refusés;
- Indiquer un numéro de téléphone de l’entreprise, figurant dans un annuaire en ligne de confiance (ex : https://www.upik.de/).
Conditions du demandeur du certificat
Le demandeur du certificat identifié dans la demande de certificat SSL doit être employé par l’organisation et avoir l’autorité appropriée pour obtenir et déléguer les responsabilités engendrées par un certificat SSL avec validation étendue.
L’emploi et l’autorisation ne peuvent pas être vérifiés au travers du site Internet de l’organisation. Il sera donc demandé lors des étapes de validation, de remplir et signer un document attestant la validité des informations de contact et d’identité du demandeur du certificat. Si aucune donnée publique le concernant n’est disponible alors l’autorité de certification tentera de contacter le département des ressources humaines pour obtenir ces contacts.
Validation de l’organisation
L’éligibilité des organisations et entreprises suppose que ces dernières soient bien enregistrées et approuvées au registre du commerce de leur juridiction. Les certificats, licences ou tout document légal équivalent doivent ainsi être consultables auprès de ce registre.
Nous aurons à demander tout document légal par fax ou email, afin de confirmer toutes les conditions d’enregistrement de l’organisation suivantes :
- Le numéro d’enregistrement de l’organisation;
- La date d’enregistrement/de constitution;
- L’adresse enregistrée de l’organisation;
- Les noms des dirigeants de l’entreprise.
Exemple de documents qui à prévoir :
- Statuts de l’entreprise;
- Registre de commerce;
- Relevé de Compte Bancaire;
- Factures d’Électricité et Justificatifs de Domiciliation.
Une source de données non gouvernementale (ex : https://www.upik.de/) doit ainsi inclure l’adresse de commerce de l’organisation et son numéro de téléphone (ce numéro doit être identique à celui indiqué lors de la commande).
Validation du domaine
Pour être éligible à un certificat SSL avec validation étendue, les détails d’enregistrement du domaine doivent montrer le nom complet de l’organisation identique à celui fourni dans la demande de certificat SSL et sur les documents juridiques fournis.
Les détails d’enregistrement du domaine doivent être ainsi mis à jour pour montrer le même nom d’organisation que sur la demande de certificat. De même, si les informations WHOIS sont protégées, toute protection des données doit être débloquée afin de les faire apparaître.
De même, le demandeur du certificat SSL doit confirmer la possession du domaine de l’organisation lors de l’appel de vérification.
L’appel de vérification
Nous devons vérifier la demande du certificat et tous les détails du certificat avec le demandeur identifié dans la demande. Cette vérification s’effectue en utilisant un numéro de téléphone vérifié indépendamment. Ce numéro devra donc être identique à celui fournit lors de la commande.
- Assurez-vous donc que le numéro de téléphone de l’organisation figure bien dans un annuaire téléphonique public (ex : https://www.upik.de/) ;
- Assurez-vous aussi que le demandeur du certificat est joignable via ce numéro (en cas d’un standard téléphonique)
Pendant l’appel de vérification, nous devons vérifier les informations suivantes avec le demandeur du certificat :
- Le nom du demandeur du certificat SSL indiqué dans la demande de certificat SSL et son autorisation à obtenir le certificat SSL avec validation étendue au nom de l’organisation;
- Le nom de l’organisation et son activité ;
- Le nom de domaine identifié dans la demande de certificat SSL.
- Le type de certificat demandé.