So validieren Sie Sectigo/Comodo Code Signing-Zertifikate

Zuletzt aktualisiert am von Dionisie Gitlan

Die Code-Signatur-Zertifikate von Sectigo/Comodo unterliegen demselben Prüfverfahren. Je nach der von Ihnen beantragten Validierungsstufe müssen Sie die erforderlichen Unterlagen, wie z. B. amtliche Ausweise und offizielle Registrierungsdokumente, einreichen, um die Identität und Existenz Ihrer Organisation in kürzester Zeit zu bestätigen. Dieser Leitfaden behandelt die Organisationsvalidierung, die erweiterte Validierung und die individuelle Validierung für Code Signing-Zertifikate. Verwenden Sie die unten stehenden Ankerlinks, um zwischen den Abschnitten zu navigieren.

Organisationsvalidierung (OV)

Die Organisationsvalidierung (OV) verifiziert die Legitimität und Authentizität eines Unternehmens oder einer Organisation, die ein Code Signing-Zertifikat beantragt. Sie stellt sicher, dass der Antragsteller rechtmäßig registriert ist und unter einer anerkannten Gerichtsbarkeit arbeitet.

Die Zertifizierungsstelle (CA) prüft den Status des Antragstellers anhand offizieller Datenbanken und Dokumente, um den Namen, die Adresse und die rechtliche Existenz der Organisation zu bestätigen.

Durch die Validierung der Organisation versichern Code-Signing-Zertifikate den Benutzern, dass die Software, die sie herunterladen oder ausführen, von einer seriösen und überprüften Quelle stammt, wodurch die Warnung “Unbekannter Herausgeber” vermieden und das Risiko von Malware oder unbefugter Manipulation verringert wird.

Das Bestehen der Organisationsvalidierung für ein Code Signing-Zertifikat erfordert Folgendes:

  • Identitätsauthentifizierung
  • Authentifizierung der Organisation
  • Örtlichkeit Anwesenheit
  • Telefonische Verifizierung
  • Aufruf zur abschließenden Verifizierung

Hier erfahren Sie, wie Sie die einzelnen Schritte ausführen:

1. Identitätsauthentifizierung

Sectigo (dasselbe gilt für Comodo Code Signing-Zertifikate) führt eine Identitätsprüfung durch, um sicherzustellen, dass die vom Antragsteller angegebene Identität rechtmäßig ist. Es erfordert die Vorlage eines amtlichen Lichtbildausweises, z. B. eines Reisepasses, Führerscheins, Personalausweises oder Militärausweises, bei Sectigo zur gründlichen Überprüfung.

Um mit der Identitätsüberprüfung fortzufahren, öffnen Sie ein Ticket bei Sectigo und fügen Sie den Lichtbildausweis mit der Auftragsnummer zur Validierung bei.

2. Authentifizierung der Organisation

Die Sicherstellung der Legitimität und des aktiven Status Ihrer Organisation ist die wichtigste Voraussetzung für den Erhalt eines Organization Validated Code Signing-Zertifikats. Bei diesem Prozess, der als Organisationsauthentifizierung bezeichnet wird, überprüft die Zertifizierungsstelle (CA), ob es sich bei Ihrem Unternehmen um eine rechtmäßig eingetragene Einheit an dem von ihr angegebenen Ort handelt.

In den meisten Fällen wird die zuständige Behörde versuchen, den Status Ihres Unternehmens mithilfe einer Online-Regierungsdatenbank zu überprüfen. Sie vergleichen die von Ihnen bereitgestellten Informationen mit der offiziellen Website Ihrer Gemeinde, Ihres Bundeslandes oder Ihres Landes, auf der die Details zur Registrierung von Unternehmen aufgeführt sind.

Die in der staatlichen Datenbank aufgeführten Informationen müssen mit den Angaben übereinstimmen, die Sie bei der Zertifizierungsstelle gemacht haben, um Verzögerungen bei der Ausstellung des Zertifikats zu vermeiden. Wenn eine Online-Regierungsdatenbank nicht verfügbar ist oder nicht über aktuelle Datensätze verfügt, wird die zuständige Behörde eine der folgenden alternativen Methoden verwenden:

Offizielle Registrierungsdokumente

Sie können offizielle Registrierungsunterlagen einreichen, die die rechtliche Existenz Ihrer Organisation belegen. Zu diesen Dokumenten gehören z. B. die Gründungsurkunde, eine Gründungslizenz oder DBA-Erklärungen (Doing Business As), die von Ihrer Gemeindeverwaltung ausgestellt wurden.

Dun & Bradstreet

Eine andere Möglichkeit ist Dun & Bradstreet, ein Unternehmen, das auf Finanzberichte über Organisationen spezialisiert ist. Die Zertifizierungsstelle kann eine umfassende DUNS-Bonitätsauskunft akzeptieren, um bestimmte Angaben zu Ihrem Unternehmen zu verifizieren und so die Anforderung der Organisationsauthentifizierung zu erfüllen.

Legal Opinion Letter

Sie haben auch die Möglichkeit, ein Rechtsgutachten einzuholen. Bei diesem Dokument bürgt ein Rechtsanwalt oder Buchhalter für die Authentizität und Legitimität Ihrer Organisation. Die Beschaffung eines Rechtsgutachtens ist zwar mit einigem Aufwand verbunden, aber in manchen Fällen ist es die einzige Möglichkeit, die Identität nachzuweisen. Sectigo bietet Muster für Rechtsgutachten an, um den Prozess zu beschleunigen (durch Anklicken der nachstehenden Links können Sie die Musterformulare in Ihren Standard-Download-Ordner herunterladen):

Die Authentifizierung der Organisation ist einfach, wenn Sie genaue und aktuelle Angaben machen. Wenn die Versuche, die Online Government Database zu nutzen, fehlschlagen, decken die alternativen Methoden jede Gerichtsbarkeit ab, in der die zuständige Behörde tätig ist.

3. Lokalität Präsenz

Eine weitere Voraussetzung für die Erlangung eines Organization Validated Code Signing-Zertifikats ist der Nachweis der lokalen Präsenz. Sie bestätigt, dass Ihr Unternehmen an seinem eingetragenen Standort physisch präsent ist.

Was ist die örtliche Präsenz?

Durch die örtliche Präsenz kann die Zertifizierungsstelle (CA) überprüfen, ob Ihre juristische Person (Organisation) physisch in ihrem registrierten Land oder Staat existiert. Die zuständige Behörde bestätigt den Ort (Stadt, Bundesland, Provinz usw.), der in Ihrer Adresse angegeben ist, und nicht die genaue Straßenanschrift.

In der Regel führt die zuständige Behörde diese Überprüfung durch, indem sie eine Online-Regierungsdatenbank konsultiert und die Anmeldedaten, wie z. B. die Stadt/den Staat in Ihrer Adresse, mit den Angaben vergleicht, die Sie während des Antragsverfahrens gemacht haben. Wenn die Angaben übereinstimmen, haben Sie diese Anforderung erfolgreich erfüllt.

Ähnlich wie bei der Organisationsauthentifizierung stehen mehrere alternative Methoden zur Verfügung, wenn die Online-Regierungsdatenbank nicht in Frage kommt oder die angegebenen Informationen nicht übereinstimmen:

Offizielle Registrierungsdokumente

Sie können der zuständigen Behörde Unterlagen von Ihrer Gemeindeverwaltung vorlegen. Diese Dokumente, wie z. B. Gründungsurkunden, Konzessionen oder DBA-Erklärungen, dienen als offizieller Nachweis für die von Ihnen gemachten Angaben.

Dun & Bradstreet

Dun & Bradstreet liefert Finanzberichte über Unternehmen. Die CA hält die in ihren Berichten enthaltenen Informationen für sehr zuverlässig. Durch die Vorlage einer umfassenden DUNS-Kreditauskunft ermöglichen Sie es der zuständigen Behörde, die mit Ihrer Organisation verbundene physische Adresse zu überprüfen.

Legal Opinion Letter

Ein Rechtsgutachten, manchmal auch als professionelles Gutachten oder POL bezeichnet, ist ein Dokument, in dem ein Rechtsanwalt oder Buchhalter für die Rechtmäßigkeit Ihres Unternehmens bürgt. Die Beschaffung solcher Briefe kann zwar schwierig und potenziell kostspielig sein, sie dienen jedoch als gültiger Nachweis Ihrer physischen Adresse.

Wenn die Versuche der zuständigen Behörde, die Anwesenheit eines Ortes über die Online-Regierungsdatenbanken zu überprüfen, erfolglos bleiben, kann jede andere Methode verwendet werden.

4. Telefonische Verifizierung

Für die telefonische Verifizierung ist eine aktive und eingetragene Telefonnummer erforderlich, die mit Ihrer Organisation verbunden ist.

Was ist die telefonische Verifizierung?

Die Zertifizierungsstelle (CA) muss sicherstellen, dass Sie über eine überprüfbare Telefonnummer in einem akzeptablen Telefonbuch verfügen. Sie sollte mit den Informationen übereinstimmen, die Sie bei der Registrierung angegeben haben, einschließlich des verifizierten Firmennamens und der physischen Adresse. Die Zertifizierungsstellen können Ihr Telefon mit folgenden Methoden verifizieren:

Offizielle Registrierungsdokumente

Um dies zu überprüfen, prüft die Behörde zunächst die Online-Regierungsdatenbanken in Ihrer Gemeinde, Ihrem Bundesland oder Ihrem Land. Sie überprüfen, ob die angegebene Telefonnummer mit dem zugehörigen Namen und der Adresse übereinstimmt. Wenn alles genau passt, haben Sie diese Anforderung erfolgreich erfüllt.

Da die meisten staatlichen Datenbanken jedoch keine Telefonnummern anzeigen, können alternative Methoden angewandt werden, um diese Informationen bei der zuständigen Behörde zu überprüfen.

Ein Verzeichnis von Drittanbietern

Die CA akzeptiert andere Verzeichnisse zur Überprüfung Ihrer Telefonnummer. In der Regel bezieht sich der CA auf seriöse Quellen wie Dun and Bradstreet Credit Reports, aber einige Einträge sind möglicherweise nicht förderfähig.

Wenn Sectigo Ihnen mitteilt, dass Ihr DUNS-Eintrag keine Telefonnummer enthält, müssen Sie sich an Dun & Bradstreet wenden und sie bitten, “die Telefonnummer Ihres Unternehmens in ihr Unternehmensverzeichnis und in den Bericht aufzunehmen”.

Legal Opinion Letter

Wenn Sie mit den beiden oben genannten Optionen nicht weiterkommen, besteht die dritte und letzte Möglichkeit, Ihre Telefonnummer zu bestätigen, darin, einen Wirtschaftsprüfer, einen Notar oder einen Rechtsanwalt zu bitten, ein Schreiben zu verfassen, zu unterschreiben und an Sectigo zu senden, in dem sie den Namen, die Adresse und die Telefonnummer Ihres Unternehmens bestätigen.

5. Aufruf zur abschließenden Verifizierung

Der letzte Schritt im Prozess der Organisationsvalidierung ist einfach zu bewerkstelligen. Die Zertifizierungsstelle (CA) wird einen Überprüfungsanruf mit Ihnen oder dem designierten Antragsteller, in der Regel einem Standortadministrator, initiieren, um die Bestelldaten zu validieren.

Der abschließende Überprüfungsanruf bestätigt die Auftragsdaten und beschleunigt die Ausstellung Ihres Zertifikats. Zu diesem Zweck wird die zuständige Behörde Sie oder den angegebenen Antragsteller unter der verifizierten Telefonnummer Ihrer Organisation kontaktieren. Seien Sie versichert, dass das Verfahren einfach ist. Vergewissern Sie sich, dass Sie erreichbar sind, denn der Anruf sollte nur wenige Minuten dauern.

Wenn die angegebene Telefonnummer nicht direkt mit Ihrem Arbeitsplatz verbunden ist, wird die zuständige Behörde andere Methoden anwenden, um Sie zu erreichen.

Alternative Methoden

  1. Interaktives Sprachdialogsystem (IVR): Die Behörde wird versuchen, Sie über das IVR-System zu erreichen. Seien Sie versichert, dass auf der anderen Seite der Leitung ein Mensch sitzen wird. Sie sind bereit, wenn Ihre Durchwahl aufgelistet ist oder Sie sie angegeben haben oder wenn Ihr Telefon über das IVR erreicht werden kann.
  2. Weiterleitung oder alternative Nummer: Wenn keine Durchwahlen oder ein IVR vorhanden sind, kann die zuständige Behörde die Telefonistin (oder die Person, die den Anruf in Ihrem Unternehmen entgegennimmt) bitten, den Anruf weiterzuleiten oder ihr Ihre direkte Nummer mitzuteilen. Beide Methoden sind ausreichend und ermöglichen es der zuständigen Behörde, mit Ihnen oder dem benannten Bewerber Kontakt aufzunehmen.

Sobald die Verbindung hergestellt ist, beantworten Sie die Fragen, und Sie haben den letzten Schritt der Validierung abgeschlossen.
Jetzt muss die Zertifizierungsstelle nur noch Ihr Code Signing-Zertifikat ausstellen. Sie erhalten weitere Anweisungen per E-Mail, darunter Informationen zur Sendungsverfolgung und alle weiteren Schritte, die für die Einrichtung Ihres Zertifikatstokens erforderlich sind.

Erweiterte Validierung (EV)

Herzlichen Glückwunsch zum Erwerb eines Extended Validation Code Signing-Zertifikats! Obwohl das Verfahren einschüchternd erscheinen mag, ist es ganz einfach. Wir unterstützen Sie bei jedem Schritt und sorgen für eine reibungslose und zügige Genehmigung.

Lassen Sie uns nun die Voraussetzungen für den Erhalt eines Extended Validation (EV)-Zertifikats besprechen. Diese Anforderungen sind dank des CA/B-Forums – der Regulierungsbehörde, die sich aus Zertifizierungsstellen und großen Webbrowser-Unternehmen zusammensetzt – bei den verschiedenen Zertifizierungsstellen einheitlich. Sie haben die folgenden grundlegenden Anforderungen festgelegt, die Antragsteller erfüllen müssen, um ein gültiges EV-Zertifikat zu erhalten:

  1. Einschreibeformulare: Sie müssen die notwendigen Formulare für den Zertifikatsantrag ausfüllen.
  2. Authentifizierung der Organisation: Die Legitimität Ihrer Organisation wird überprüft, um sicherzustellen, dass es sich um eine echte Geschäftseinheit handelt.
  3. Operatives Bestehen: Sie müssen nachweisen, dass Ihre Organisation seit mindestens drei Jahren registriert und aktiv tätig ist.
  4. Physische Adresse: Eine physische Geschäftsadresse wird zu Überprüfungszwecken benötigt.
  5. Telefonische Verifizierung: Die Kontaktnummer Ihrer Organisation wird durch die örtlichen Behörden oder öffentliche Datenbanken Dritter überprüft.
  6. Abschließendes Gespräch zur Überprüfung: Die zuständige Behörde ruft Sie an, um die Angaben zu bestätigen und Ihre Organisation zu validieren.

Diese Anforderungen zielen darauf ab, legitime Unternehmen von anderen zu unterscheiden und die Integrität des EV-Zertifikatssystems zu wahren. Wenn Sie ein echtes Unternehmen mit einem physischen Büro, Telefonanschlüssen und anderen grundlegenden Geschäftsfunktionen sind, werden Sie die Erweiterte Validierung problemlos bestehen.

1. Einschreibeformulare

Es stehen zwei Anmeldeformulare zur Verfügung, die nur grundlegende Informationen über Ihre Organisation und die Kontaktdaten der für den Zertifikatsantrag verantwortlichen Person, der so genannten Kontaktperson der Organisation, erfordern.

Um den Prozess zu straffen, können Sie Ihre Anmeldeformulare im Voraus vorbereiten, aber denken Sie daran, dass Sie die Bestellnummer Ihres Lieferanten benötigen, um die Formulare einzureichen. Sie können beide Formulare unten herunterladen:

Sobald Sie die Formulare ausgefüllt und alle erforderlichen Informationen gesammelt haben, können Sie sie einreichen. Sectigo bietet ein Validierungs-Ticketing-System, in das Sie diese hochladen können. Nach der Einreichung sollten Sie eine Fall-ID-Nummer erhalten, die Sie als Referenz verwenden können, wenn Sie das Support-Team kontaktieren müssen.

Organisatorischer Kontakt

Während des gesamten Prozesses der erweiterten Validierung werden Sie als organisatorischer Ansprechpartner bezeichnet. Das bedeutet einfach, dass Sie während des Zertifizierungsprozesses der Ansprechpartner für Ihr Unternehmen sind.

EV Code Signing-Zertifikate ermöglichen es Ihrer Software, Sicherheitswarnungen zu umgehen und unnötige Eingabeaufforderungen während der Installation zu vermeiden, was zu einer reibungsloseren und nahtloseren Benutzererfahrung führt. Das Anmeldeformular dient als erster Schritt, um zu bestätigen, dass Sie als organisatorische Kontaktperson befugt sind, im Namen Ihrer Organisation zu handeln.

Das mag zwar streng klingen, ist aber letztlich zum Vorteil Ihres Unternehmens. Solange Sie ein berechtigter Mitarbeiter sind, brauchen Sie sich keine Sorgen zu machen. Diese Maßnahme verhindert, dass sich Personen als Mitarbeiter ausgeben und Zertifikate für betrügerische Software beantragen. Sowohl Ihr Unternehmen als auch die Zertifizierungsstelle möchten solche Vorfälle vermeiden.

Welche Angaben sind im Anmeldeformular zu machen?

Die Anmeldeformulare konzentrieren sich auf die Erfassung von Details über Ihre Organisation und den organisatorischen Ansprechpartner. Sie müssen den Namen der Organisation, den vollständigen Namen des Ansprechpartners in der Organisation, seine offizielle Berufsbezeichnung und die handschriftliche Unterschrift mit Datum und Ort der Unterzeichnung angeben.

  • Name Ihrer Organisation
  • Der offizielle Titel der Kontaktperson Ihrer Organisation
  • Vollständiger Name der Kontaktperson in Ihrer Organisation
  • Unterschrift des Ansprechpartners in der Organisation
  • Datum und Ort der Unterzeichnung
  • Kontaktdaten der Personalabteilung Ihres Unternehmens, um zu überprüfen, ob es sich bei der Person, die den Kauf eines EV Code Signing-Zertifikats beantragt hat, um einen Vollzeitmitarbeiter des Unternehmens handelt

Bitte beachten Sie, dass digitale oder gestempelte Unterschriften nicht akzeptiert werden. Daher müssen Sie das Formular ausdrucken, manuell unterschreiben und dann entweder einscannen oder per Fax an die Zertifizierungsstelle zurückschicken. Der Versand per Post ist zwar möglich, wir raten jedoch dringend davon ab, da sich die Ausstellung Ihres Zertifikats dadurch erheblich verzögert.

2. Authentifizierung der Organisation

Das Ziel der Organisationsauthentifizierung ist die Überprüfung der rechtlichen Registrierung Ihres Unternehmens. Wenn Ihr Unternehmen unter Handelsnamen, angenommenen Namen oder einer DBA (Doing Business As) tätig ist, stellen Sie sicher, dass alle Informationen korrekt und aktuell sind.

Normalerweise stützen sich CAs auf Online-Datenbanken von Behörden, um Ihre Organisation zu authentifizieren. Sie überprüfen die offizielle Website Ihres Landes oder Staates, auf der der Status der Unternehmenseintragung angezeigt wird. Die Angaben in diesen Datenbanken müssen mit den Angaben auf dem Anmeldeformular übereinstimmen. Etwaige Unstimmigkeiten können zu Verzögerungen bei der Ausstellung des Zertifikats führen.

Wenn jedoch die Online-Ressourcen für die Authentifizierung der Organisation nicht ausreichen, stehen alternative Methoden zur Verfügung:

  1. Offizielle Registrierungsdokumente: Sie können der zuständigen Behörde die von Ihrer Gemeindeverwaltung ausgestellten offiziellen Registrierungsunterlagen vorlegen. Dazu gehören Gründungsurkunden, Gründungslizenzen oder DBA-Erklärungen. Diese Dokumente dienen als Nachweis dafür, dass Ihre Organisation eine echte und anerkannte Wirtschaftseinheit ist.
  2. Legal Opinion Letter (POL): Eine weitere Möglichkeit ist die Einholung eines Legal Opinion Letter, auch bekannt als Professional Opinion Letter. Dieser Ansatz ist besonders praktisch, wenn Ihr Unternehmen über eigenes juristisches Fachwissen verfügt. Ein POL, das von einem zugelassenen Rechtsanwalt oder Wirtschaftsprüfer ausgestellt wird, bürgt für die Legitimität Ihres Unternehmens und erfüllt alle EV-Zertifikatsanforderungen mit Ausnahme des Anmeldeformulars. Weitere Informationen und Muster für POLs finden Sie in den Leitlinien von Sectigo.

Vermeiden Sie häufige Fallstricke wie veraltete oder abgelaufene Registrierungsangaben, ungenaue Auflistung mehrerer Firmennamen oder unvollständige Angaben auf der Bescheinigung oder der Anmeldung, um einen reibungslosen und schnellen Ablauf zu gewährleisten.

3. Operatives Bestehen

Durch den Nachweis der betrieblichen Existenz wird sichergestellt, dass Ihr Unternehmen seit mindestens drei Jahren aktiv ist. Wenn Ihr Unternehmen die Dreijahresmarke noch nicht erreicht hat, gibt es alternative Methoden, um Ihre betriebliche Existenz nachzuweisen.

Die Zertifizierungsstelle (CA) kann die Existenz etablierter Unternehmen überprüfen, indem sie zuverlässige staatliche Online-Datenbanken mit dem Gründungsdatum abfragt. Wenn Ihre Gemeinde, Ihr Staat oder Ihr Land umfassende Aufzeichnungen führt, erfüllen Sie diese Anforderung ohne Papierkram.

Wenn Ihr Unternehmen jedoch an einem Standort tätig ist, an dem es nur wenige Online-Aufzeichnungen gibt, oder wenn es jünger als drei Jahre ist, sollten Sie eine der vier alternativen Möglichkeiten nutzen, um das Bestehen Ihres Unternehmens nachzuweisen:

  1. Offizielle Registrierungsdokumente: Wenn Ihr Unternehmen seit mehr als drei Jahren tätig ist, können Sie verschiedene Dokumente einreichen, die von Ihrer lokalen Regierung ausgestellt wurden, wie z. B. die Gründungsurkunde, eine Charter-Lizenz oder eine DBA-Erklärung.
  2. Dun & Bradstreet: Dun & Bradstreet ist ein seriöses Unternehmen, das Kreditauskünfte erteilt. Unabhängig vom Alter Ihres Unternehmens können die zuständigen Behörden, wenn eine Kreditauskunft von Dun & Bradstreet vorliegt, diese nutzen, um Ihre betriebliche Existenz zu überprüfen.
  3. Bestätigungsschreiben der Bank: Ein aktives Girokonto bei einem örtlichen Finanzinstitut ist ein ausreichender Nachweis für das Bestehen Ihres Unternehmens, unabhängig davon, wie lange es bereits besteht. Sie können ein Schreiben der Bank einholen, das diese Angaben bestätigt, und es der zuständigen Behörde vorlegen.
  4. Professional Opinion Letter (POL): Ein notariell beglaubigtes Schreiben eines Rechtsanwalts oder Wirtschaftsprüfers, das die Rechtmäßigkeit Ihres Unternehmens bestätigt, kann als Nachweis für die Existenz Ihres Unternehmens verwendet werden (Professional Opinion Letter).

Durch die Verwendung einer dieser Optionen können Sie die Anforderung der betrieblichen Existenz erfüllen und dem Erhalt eines Extended Validation Code Signing-Zertifikats näher kommen.

4. Physische Adresse

Die Zertifizierungsstelle (CA) überprüft die Adresse, den Ort, das Bundesland und das Land Ihres Unternehmens mit verschiedenen Methoden. Zunächst sucht die Zertifizierungsstelle in staatlichen Online-Datenbanken nach der öffentlich gelisteten Adresse Ihres Unternehmens, die mit den Angaben auf Ihrem Zertifikat und dem Anmeldeformular übereinstimmt. Postfächer und Anmeldungen aus dem Ausland werden nicht akzeptiert. Wenn die staatlichen Datenbanken jedoch nicht die erforderlichen Informationen enthalten, gibt es die folgenden alternativen Überprüfungsmethoden:

  1. Offizielle Registrierungsdokumente: Sie können offizielle Registrierungsdokumente einreichen, die von der lokalen Regierung ausgestellt wurden, wie z. B. die Gründungsurkunde, die Gründungslizenz oder die DBA-Erklärung.
  2. Dun & Bradstreet: Eine Kreditauskunft eines Drittanbieters wie Dun & Bradstreet ist ebenfalls akzeptabel, um die physische Adresse Ihres Unternehmens zu überprüfen. Die Zertifizierungsstellen halten DUNS-Berichte für sehr zuverlässig bei der Überprüfung von Organisationen.
  3. Legal Opinion Letter (POL): Holen Sie ein unterzeichnetes Rechtsgutachten (Legal Opinion Letter), auch bekannt als Professional Opinion Letter, von einem Rechtsanwalt oder Wirtschaftsprüfer ein. Obwohl der Erwerb eines POL ohne interne rechtliche oder buchhalterische Unterstützung mehr Aufwand bedeutet, erfüllt es alle Anforderungen des Extended Validation Code Signing-Prozesses mit Ausnahme des Anmeldeformulars.

Wenn die Online-Suche in der staatlichen Datenbank der Zertifizierungsstelle fehlschlägt, können alternative Methoden die physische Adresse Ihres Unternehmens nachweisen und die Ausstellung Ihres Extended Validation Code Signing-Zertifikats erleichtern.

5. Telefonische Verifizierung

Ihre Organisation muss eine aktive Telefonnummer in einem akzeptablen Verzeichnis haben, die mit den Angaben auf Ihrem Zertifikat und dem Anmeldeformular übereinstimmt.

Zunächst versucht die Behörde, die Telefonnummer mit Hilfe von staatlichen Online-Datenbanken zu überprüfen. Wenn dies nicht gelingt, können Sie zwei alternative Methoden zur Überprüfung Ihrer Telefonnummer verwenden:

  1. Dun & Bradstreet: Eine Kreditauskunft von Dun & Bradstreet ist zulässig. Die Zertifizierungsstellen halten die von Dun & Bradstreet im Rahmen des erweiterten Validierungsverfahrens zusammengestellten Informationen für zuverlässig. DUNS Credit Reports dienen auch zur Überprüfung der physischen Adresse und der betrieblichen Existenz.
  2. Legal Opinion Letter (POL): Wenn die Telefonnummer Ihres Unternehmens nicht öffentlich bekannt ist, kann ein Legal Opinion Letter, auch bekannt als Professional Opinion Letter (POL), verwendet werden. Dieses von einem Rechtsanwalt oder Wirtschaftsprüfer unterzeichnete Dokument bestätigt die Legitimität Ihres Unternehmens. Ein POL erfüllt alle Anforderungen mit Ausnahme der Einschreibeformulare.

Mit diesen alternativen Methoden können Sie den telefonischen Verifizierungsprozess für ein Extended Validation Code Signing-Zertifikat abschließen, selbst wenn die Online-Datenbanken der Behörden die erforderlichen Informationen nicht enthalten.

6. Aufruf zur abschließenden Verifizierung

Jetzt bleibt nur noch ein kurzes Gespräch, um die Angaben zu überprüfen. Auch wenn der Überprüfungsanruf in der Regel problemlos verläuft, kann es doch zu einigen Problemen kommen.

So kann es beispielsweise sein, dass die verifizierte Telefonnummer Ihres Unternehmens nicht direkt mit Ihrem Arbeitsplatz verbunden ist, da sie oft für allgemeine Anfragen angegeben wird. Keine Sorge, die zuständige Behörde kann Sie leicht erreichen, indem sie Ihre Durchwahl eingibt oder ein interaktives Sprachdialogsystem (IVR) verwendet.

Darüber hinaus kann die zuständige Behörde die Telefonistin oder den Telefonisten Ihres Unternehmens um Hilfe bitten, um den Anruf an Ihren Anschluss weiterzuleiten. Die Zertifizierungsstelle könnte sich sogar an einen Kollegen wenden, um Ihre Kontaktdaten zu erhalten und den Anruf über die verifizierte Telefonnummer einzuleiten.

Sie wird sich bemühen, Sie zu erreichen, um einen reibungslosen Ablauf zu gewährleisten. Alles, was Sie tun müssen, ist, den Anruf sofort anzunehmen und zu vermeiden, dass er auf die Mailbox geht. Eine Verzögerung des Verifizierungsaufrufs würde die Ausstellung Ihres EV Code Signing-Zertifikats nur hinauszögern, und wir wissen, dass das niemand wünscht.

Wenn Sie genaue Angaben machen und rechtzeitig am Verifizierungsgespräch teilnehmen, sind Sie dem Erhalt Ihres EV Code Signing-Zertifikats einen Schritt näher gekommen.

Was ist der nächste Schritt?

Sobald Sie alle Schritte des erweiterten Validierungsprozesses abgeschlossen haben, wird die Zertifizierungsstelle Ihre Bestellung bearbeiten und das USB-Gerät an Ihre Geschäftsadresse senden. Sie erhalten eine Versandbestätigung per E-Mail, sobald die Sendung unterwegs ist.

Individuelle Validierung (IV)

Die individuelle Validierung unterscheidet sich von der organisatorischen Validierung dadurch, dass sie die Identität eines einzelnen Entwicklers und nicht die eines Unternehmens überprüft. Um ein Code-Singing-Zertifikat als Einzelperson zu erhalten, müssen Sie der Zertifizierungsstelle einen Nachweis Ihrer Identität vorlegen. Sie können dies auf zwei Arten tun:

Foto-ID

Für diese Option müssen Sie der Zertifizierungsstelle zwei Dokumente vorlegen:

  1. Eine Kopie eines amtlichen Lichtbildausweises, wie z. B. Führerschein, Reisepass, Personalausweis oder Militärausweis. Der Ausweis sollte Ihren Namen und Ihre Adresse enthalten und muss mit den Angaben auf Ihrem Zertifikatsantrag übereinstimmen.
  2. Ein Foto von Ihnen (ein “Selfie”) mit Ihrem Lichtbildausweis. Ihr Gesicht und die Angaben auf dem Ausweis sollten zum Vergleich mit der Kopie des Ausweises sichtbar sein.

Sie können ein Ticket beim Validierungs-Support von Sectigo eröffnen und diese Dokumente einreichen. Wählen Sie als Fallart “Validation Support” und wählen Sie den entsprechenden Grund für den Fall. Fügen Sie die erforderlichen Unterlagen bei und füllen Sie das Formular aus. Sie erhalten eine Antwort mit einer Fallnummer, auf die Sie sich bei allen künftigen Mitteilungen beziehen können.

Von Angesicht zu Angesicht

Wenn Ihr Lichtbildausweis keine Adresse enthält oder wenn die Adresse nicht mit Ihrer Bestellung übereinstimmt, ist diese Methode der Validierung geeignet. Dazu sind zusätzliche Unterlagen erforderlich, und Sie müssen einen zugelassenen Notar in Ihrer Nähe aufsuchen, um die Dokumente zu unterzeichnen und zu beglaubigen. Die folgenden notariell beglaubigten Dokumente sind erforderlich:

  • Ein staatlicher Lichtbildausweis, wie z. B. ein Führerschein, Reisepass oder ein Militärausweis.
  • Ein auf Ihren Namen lautendes Finanzdokument, z. B. eine gültige Kredit- oder Debitkarte, eine Hypothekenabrechnung oder ein Kontoauszug.
  • Ein nicht-finanzielles Dokument auf Ihren Namen mit einer Adresse, z. B. eine Festnetztelefonrechnung (keine Mobilfunkrechnung), eine aktuelle Rechnung eines Versorgungsunternehmens, eine Abrechnung der Mietzahlungen, eine Geburtsurkunde, eine Steuerrechnung oder eine gerichtliche Verfügung.
  • Das Formular “Persönliche Erklärung”. (Zugang zum Download-Link).

Sobald Sie die erforderlichen Unterlagen vorbereitet haben, reichen Sie alle Formulare direkt beim Validierungsteam der Zertifizierungsstelle ein, indem Sie ein Ticket eröffnen. Wählen Sie als Fallart “Validation Support” und wählen Sie den entsprechenden Grund für den Fall. Fügen Sie die erforderlichen Unterlagen bei und füllen Sie das Formular aus. Sie erhalten eine Antwort mit einer Fallnummer für spätere Nachfragen.

Nach der Validierung: Sobald Sie Ihre Unterlagen an das Validierungsteam der Zertifizierungsstelle übermittelt haben, werden diese überprüft und Sie per E-Mail für den weiteren Schriftverkehr kontaktiert. Sobald das Zertifikat genehmigt und ausgestellt ist, erhalten Sie eine E-Mail mit Versandinformationen.

Schlussfolgerung

Die Beantragung von Sectigo/Comodo Code Signing-Zertifikaten erfordert ein gründliches Prüfverfahren, um die Legitimität und Authentizität der antragstellenden Organisation oder Person zu verifizieren.

Für die Organisationsvalidierung sind die Authentifizierung der Identität und der Organisation, die Anwesenheit vor Ort, die telefonische Bestätigung und ein abschließender Verifizierungsanruf erforderlich. Für die erweiterte Validierung sind Anmeldeformulare, die Authentifizierung des Unternehmens, das Vorhandensein eines Betriebs, der Nachweis einer physischen Adresse, eine telefonische Überprüfung und ein abschließender Bestätigungsanruf erforderlich.

Für die individuelle Validierung ist ein Identitätsnachweis durch einen amtlichen Lichtbildausweis und ein Selfie oder ein notarielles Dokument erforderlich. Sobald alle Schritte abgeschlossen sind, stellt die CA das Code Signing-Zertifikat aus.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

Jetzt 10 % sparen!
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.

Tutorials