Проверка домена и компании для выпуска SSL сертификата - DV / OV / EV


Мы часто получаем вопросы по процедуре валидации для различных SSL сертификатов, поэтому было составлено данное руководство. Процесс проверки и запрашиваемые данные отличаются в зависимости от типа валидации выпускаемого сертификата, которые бывают следующими:

Самый простой и быстрый из них - прохождение проверки по домену, самый долгий и трудозатратный по предоставлению документов - Extended Validation. Рассмотрим каждый в отдельности.

Domain Validation - Проверка по домену

Данные SSL подтверждают принадлежность домена сайта физическому лицу, они выпускаются от нескольких минут и не требуют сбора документов. Единственное, что потребуется - это доступ к доменному имени и возможность им управлять. Существует несколько способов подтвердить владение доменом: по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт.

Подтверждение при помощи E-Mail (традиционный способ)

Самый популярный метод проверки прав собственности, используется по умолчанию. Для этого потребуется административная почта и доступ к ней. Если не сможете получить письмо и выполнить инструкции из него, то сертификат не будет выпущен.

Допускаются email:

  • admin@example.com
  • administrator@example.com
  • hostmaster@example.com
  • postmaster@example.com
  • webmaster@example.com

Центр сертификации отправит письмо на указанную почту владельца домена. Для прохождения проверки необходимо перейти по ссылке и ввести уникальный код из письма. После завершения данного процесса, на почту придет файл с подписанным сертификатом.

Подтверждение через HTTP / HTTPS хэш-файл

Альтернативный способ пройти проверку. Для этого нужно скачать полученный на почту хеш-файл в формате .txt и установить его в корень проверяемого сайта с вложенностью папок http(s)://example.com/.well-known/pki-validation/hash-file. Данный файл должен иметь открытый доступ по URL. Обратите внимание, что для домена с HTTP и HTTPS хеш будет разным, поэтому обязательно укажите по какому именно протоколу доступен сайт.

Подтверждение по записи CNAME DNS

Вы можете добавить CNAME-запись в DNS настройках домена. Это более длительный процесс, который зависит от время жизни записи (TTL) на DNS-сервере, максимально он может занять до 24 часов. Для прохождения проверки будут созданы хеши MD5 и SHA, которые нужно ввести в DNS CNAME запись следующим образом:

  • Домен: MD5-hash.example.com
  • CNAME: SHA-hash.comodoca.com

Для мультидоменного сертификата необходимо добавить CNAME запись для всех доменов указанных при создании запроса.

! Дополнительная ручная проверка

В некоторых случаях центры сертификации могут производить дополнительную проверку. Это замедляет процесс выдачи сертификата на 24-48 часов. Причиной для ручной проверки может стать:

  • Наличие известного бренда в названии домена. Это может быть как целенаправленное использование чужого названия, так и случайное совпадение букв в доменном имени.
  • Наличие стоп-слов, например: bank, money, trading, transfer, payment, protection, securе, violence, shop и другие.
  • Страна поступления заявки: Южная Корея, Северная Корея, Судан, Афганистан, Иран или Ирак.

Если сайт не вызывает доверия у проверяющего центра или является мошенническим, то в выдаче сертификата может быть отказано.

После подтверждения прав собственности на доменное имя, на указанную в заявлении почту будет выдан SSL-сертификат, который уже можно установить на сайт или web-сервер.

Organization Validation - Проверка организации

Такой сертификат гарантирует, что домен принадлежит конкретней организации. Это вызывает больше доверия со стороны пользователей сайта, но более сложный процесс, который включает в себя три этапа:

  1. Проверка владения доменом
  2. Проверка данных компании
  3. Телефонный звонок

Весь процесс занимает несколько рабочих дней при условии, что все документы верны и предоставлены вовремя.

Шаг 1. Проверка владения доменом

Для прохождения проверки доменное имя должно принадлежать компании, о чем может свидетельствовать общедоступная запись в сервисе WHOIS. Данные в WHOIS должны совпадать с теми, что указаны в CSR-запросе. Дополнительно может быть запрошено свидетельство о регистрации доменного имени.

Существует несколько способов подтвердить владение доменом: по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт. Самый распространенный и доступный для всех центров сертификации метод - это проверка по email. На указанный административный адрес придет письмо с простым руководством по подтверждению почты.

Шаг 2. Проверка данных организации

Чтобы пройти проверку организации, потребуется предоставить документы о компании. На указанный e-mail будет отправлено письмо с запросом копий документов организации. Вы можете предоставить один из вариантов наборов документов и данных. Сертификационный центр может запросить дополнительные данные.

Для ИП часто требуют похода к нотариусу для заверения документов. При этом, правомочия нотариуса будут проверены в открытых источниках, а аутентичность заверенного документа - может быть уточнена телефонным звонком.

! Мы рекомендуем добавить информацию о своей организации в популярные источники и справочники Рунета, как yell.ru или yp.ru еще до заказа SSL-сертификата. Центры будут проверять открытые источники для сравнения актуальности данных.

  • Вариант 1

В большинстве случаев будет достаточно выписки из ЕГРЮЛ и свидетельства о постановке на учет в налоговом органе. Проверка юридического существования компании будет проводиться через государственную базу данных. Центр сертификации может использовать для этих целей сайт egrul.nalog.ru. Перед началом процесса получения сертификата, поверьте находится ли компания в реестре федеральной налоговой службы.

  • Вариант 2

Компания может быть проверена через открытые сторонние базы данных, такие как:

D-U-N-S - это международный номер организации на сайте dandb.com. DUNS-номер можно получить бесплатно если фирма зарегистрирована на территории США или компания является разработчиком приложений для Apple. Возможна и платная регистрация в каталоге, что обойдется более 200$.

  • Вариант 3

Предоставление документов, подтверждающих адрес и телефон компании:

  • Устав компании (с адресом).
  • Лицензия на ведение бизнеса (с адресом).
  • Копия недавней выписки из банковского счета компании.
  • Копия недавнего телефонного счета компании.
  • Копия недавнего основного счета за коммунальные услуги компании (то есть счета за электроэнергию, счета за воду и т. д.) Или действующего договора аренды офиса компании.

Шаг 3. Телефонный звонок

Для проверки может быть использован автоматический звонок, при котором представитель центра (скорее всего робот) продиктует код подтверждения. Важно, чтобы сотрудник, чьи данные были указаны в административных контактах CSR-заявки на выпуск сертификата, был проинформирован о возможном звонке, знал название защищаемого доменного имени и заказанного SSL-сертификата.

После прохождения всех проверок, сертификат будет выслан на указанный в заявке e-mail. Вы можете переходить к его установке.

Extended Validation - Расширенная проверка

Сертификаты SSL с расширенной проверкой считаются наиболее надежными и вызывают максимальное доверие со стороны пользователей сайтов и платежных систем. Процесс выпуска может занимать от 7 до 14 дней при условии своевременного и достоверного предоставления требуемых данных. Для этого нужно пройти 4 этапа:

  1. Отправка документов
  2. Проверка данных компании
  3. Проверка владения доменом
  4. Телефонный звонок

Для выпуска EV сертификата необходимо пройти все этапы поверки. Рассмотрим каждый из них.

Шаг 1. Отправка документов

Вам нужно будет заполнить специальные формы для начала оформления сертификата с расширенной проверкой. Процесс прохождения EV валидации в разных центрах будет немного отличаться:

Шаг 2. Проверка данных компании

Этот этап не отличается от описанного выше процесса предоставления документов организации при OV валидации. Это копии учредительных документов, выписка из ЕГРЮЛ, свидетельство о постановке на учет в налоговом органе. Могут понадобится копии счетов и прочие документы, подтверждающие адрес и телефон организации. Не забудьте проверить наличие информации об организации в справочниках и ее актуальность.

Сертификационный центр может дополнительно запросить DUNS-номер или прохождение face-to-face проверки у нотариуса. Особенно если компания молодая или заявка подается от индивидуального предпринимателя.

Шаг 3. Проверка владения доменом

Домен должен быть оформлен на организацию. Данные в WHOIS должны совпадать с теми, что указаны в CSR-запросе. Вы можете подтвердить домен по электронной почте, через запись CNAME DNS или добавление хэш-файла на сайт. По умолчанию предлагается использовать электронную почту администратора, к которой у Вас должен быть доступ. Более детальную информацию можно получить в описании для Domain Validation.

Шаг 4. Телефонный звонок

В качестве административного контакта необходимо указать лицо, занимающее старшую должность в организации, и имеющее право отправлять запрос на получения сертификата от имени организации. Его контактные данные будут использованы для проверки по телефону. В зависимости от центра, звонящий сотрудник может задать уточняющие вопросы касательно выпускаемого сертификата или сообщить код подтверждения.

После успешного прохождения всех проверок, подписанный сертификат с расширенной проверкой высылается на указанный технический e-mail и доступен для установки.