bg-tutorials

Wie man Sectigo/Comodo Code Signing Zertifikate validiert

Sectigo/Comodo Code-Signing-Zertifikate folgen demselben Prüfprozess. Je nach der von Ihnen beantragten Validierungsstufe müssen Sie die erforderlichen Unterlagen einreichen, wie z. B. von Behörden ausgestellte Ausweise und offizielle Registrierungsdokumente, um die Identität und Existenz Ihrer Organisation zeitnah zu bestätigen.

Sectigo/Comodo Code-Signing-Zertifikate werden für ein Jahr ausgestellt und auf sicherer Hardware gespeichert. Sie können ein von Sectigo bereitgestelltes Token wählen oder das Zertifikat auf Ihrem eigenen unterstützten Hardwaregerät (HSM) installieren.

Mehrjahrespläne (bis zu drei Jahre) sind nur bei Verwendung Ihres eigenen Hardwaregeräts verfügbar.

Dieser Leitfaden behandelt Organization Validation, Extended Validation und Individual Validation für Code-Signing-Zertifikate. Verwenden Sie die Ankerlinks unten, um zwischen den Abschnitten zu navigieren.

Organization Validation (OV)

Organization Validation (OV) verifiziert die Rechtmäßigkeit und Authentizität eines Unternehmens oder einer Organisation, die ein Code-Signing-Zertifikat beantragt. Es stellt sicher, dass der Antragsteller rechtlich registriert ist und unter einer anerkannten Gerichtsbarkeit tätig ist.

Die Zertifizierungsstelle (CA) stellt den Status des Antragstellers fest, indem sie Prüfungen anhand offizieller Datenbanken und Dokumente durchführt, um den Namen, die Adresse und die rechtliche Existenz der Organisation zu bestätigen.

Durch die Validierung der Organisation geben Code-Signing-Zertifikate den Benutzern die Gewissheit, dass die Software, die sie herunterladen oder ausführen, von einer seriösen und verifizierten Quelle stammt, was die Warnung „Unbekannter Herausgeber“ verhindert und das Risiko von Malware oder unbefugter Manipulation verringert.

Das Bestehen der Organization Validation für ein Code-Signing-Zertifikat erfordert folgendes:

  • Identitätsauthentifizierung
  • Organisationsauthentifizierung
  • Ortsansässigkeit
  • Telefonverifizierung
  • Abschließender Verifizierungsanruf

So vervollständigen Sie jeden Schritt:

1. Identitätsauthentifizierung

Sectigo (dasselbe gilt für Comodo Code-Signing-Zertifikate) implementiert eine Identitätsverifizierung, um sicherzustellen, dass die behauptete Identität des Antragstellers legitim ist. Es erfordert die Einreichung eines amtlichen Lichtbildausweises, wie z. B. eines Reisepasses, Führerscheins, Personalausweises oder Militärausweises, bei Sectigo zur gründlichen Prüfung.

Um mit der Identitätsverifizierung fortzufahren, öffnen Sie ein Ticket bei Sectigo und fügen Sie den Lichtbildausweis mit der Bestellnummer zur Validierung bei.

2. Organisationsauthentifizierung

Die Sicherstellung der Legitimität und des aktiven Status Ihrer Organisation ist die Hauptanforderung für den Erhalt eines Organization Validated Code-Signing-Zertifikats. Dieser Prozess, bekannt als Organisationsauthentifizierung, beinhaltet, dass die Zertifizierungsstelle (CA) verifiziert, dass Ihr Unternehmen eine rechtlich registrierte Einheit an seinem bezeichneten Standort ist.

In den meisten Fällen versucht die CA, den Status Ihres Unternehmens über eine Online-Regierungsdatenbank zu verifizieren. Sie gleicht die von Ihnen bereitgestellten Informationen mit der offiziellen Website Ihrer lokalen Gemeinde, Ihres Bundeslandes oder Ihres Landes ab, auf der die Registrierungsdetails von Geschäftseinheiten angezeigt werden.

Die in der Regierungsdatenbank aufgeführten Informationen müssen identisch mit den Details sein, die Sie bei der CA eingereicht haben, um Verzögerungen bei der Zertifikatsausstellung zu vermeiden. Wenn eine Online-Regierungsdatenbank nicht verfügbar ist oder keine aktuellen Einträge enthält, verwendet die CA eine der folgenden alternativen Methoden:

Offizielle Registrierungsdokumente

Sie können offizielle Registrierungsdokumente einreichen, die die rechtliche Existenz Ihrer Organisation belegen. Diese Dokumente können Gründungsurkunden, eine Konzessionslizenz oder DBA-Erklärungen (Doing Business As) umfassen, die von Ihrer lokalen Regierung ausgestellt wurden.

Dun & Bradstreet

Eine weitere Möglichkeit ist Dun & Bradstreet, ein Unternehmen, das auf Finanzberichte über Organisationen spezialisiert ist. Die CA kann einen umfassenden DUNS-Kreditbericht akzeptieren, um spezifische Details im Zusammenhang mit Ihrem Unternehmen zu verifizieren und damit die Anforderung der Organisationsauthentifizierung zu erfüllen.

Rechtsgutachten

Sie haben auch die Möglichkeit, ein Rechtsgutachten einzuholen. Dieses Dokument beinhaltet, dass ein Anwalt oder Buchhalter für die Authentizität und Legitimität Ihrer Organisation bürgt. Obwohl das Einholen eines Rechtsgutachtens einigen Aufwand erfordern kann, ist es in manchen Fällen die einzige Möglichkeit, die Identität nachzuweisen. Sectigo bietet Musterbriefe für Rechtsgutachten an, um den Prozess zu beschleunigen (durch Klicken auf die Links unten werden die Musterformulare in Ihren Standard-Download-Ordner heruntergeladen):

Die Organisationsauthentifizierung ist unkompliziert, wenn Sie genaue und aktuelle Details angeben. Wenn die Versuche, die Online-Regierungsdatenbank zu nutzen, scheitern, decken die alternativen Methoden jede Gerichtsbarkeit ab, in der die CA tätig ist.

3. Ortsansässigkeit

Eine weitere Voraussetzung für den Erhalt eines Organization Validated Code-Signing-Zertifikats ist der Nachweis der Ortsansässigkeit. Dies bestätigt, dass Ihr Unternehmen eine physische Präsenz an seinem registrierten Standort hat.

Was ist Ortsansässigkeit?

Die Ortsansässigkeit ermöglicht es der Zertifizierungsstelle (CA) zu verifizieren, dass Ihre juristische Person (Organisation) physisch in ihrem registrierten Land oder Bundesland existiert. Die CA bestätigt den Ort (Stadt, Bundesland, Provinz usw.), der in Ihrer Adresse angegeben ist, und nicht die spezifische Straßenadresse.

Typischerweise führt die CA diese Verifizierung durch, indem sie eine Online-Regierungsdatenbank konsultiert und die Registrierungsdetails, wie z. B. die Stadt/das Bundesland in Ihrer Adresse, mit den Informationen vergleicht, die Sie während des Antragsprozesses angegeben haben. Wenn die Details übereinstimmen, haben Sie diese Anforderung erfolgreich erfüllt.

Ähnlich wie bei der Organisationsauthentifizierung stehen mehrere alternative Methoden zur Verfügung, wenn die Online-Regierungsdatenbank keine Option ist oder eine Diskrepanz in den bereitgestellten Informationen besteht:

Offizielle Registrierungsdokumente

Sie können der CA Dokumentation von Ihrer lokalen Regierung einreichen. Diese Dokumente, wie z. B. Gründungsurkunden, Konzessionslizenzen oder DBA-Erklärungen, dienen als offizielle Bestätigung der von Ihnen bereitgestellten Informationen.

Dun & Bradstreet

Dun & Bradstreet stellt Finanzberichte über Unternehmen bereit. Die CA betrachtet die in ihren Berichten enthaltenen Informationen als sehr zuverlässig. Durch die Vorlage eines umfassenden DUNS-Kreditberichts ermöglichen Sie der CA, die physische Adresse Ihrer Organisation zu validieren.

Rechtsgutachten

Ein Rechtsgutachten, manchmal auch als professionelles Gutachten oder POL bezeichnet, ist ein Dokument, in dem ein Anwalt oder Buchhalter für die Legitimität Ihres Unternehmens bürgt. Obwohl das Einholen solcher Briefe schwierig und möglicherweise kostspielig sein kann, dienen sie als gültiger Nachweis Ihrer physischen Adresse.

Jede alternative Methode funktioniert, wenn die Versuche der CA, die Ortsansässigkeit über Online-Regierungsdatenbanken zu verifizieren, erfolglos bleiben.

4. Telefonverifizierung

Die Telefonverifizierung erfordert eine aktive und eingetragene Telefonnummer, die mit Ihrer Organisation verbunden ist.

Was ist Telefonverifizierung?

Die Zertifizierungsstelle (CA) muss sicherstellen, dass Sie eine überprüfbare Telefonnummer in einem akzeptablen Telefonverzeichnis besitzen. Sie sollte mit den Informationen übereinstimmen, die Sie bei der Registrierung angegeben haben, einschließlich des verifizierten Unternehmensnamens und der physischen Adresse. CAs können Ihre Telefonnummer über folgende Methoden verifizieren:

Offizielle Registrierungsdokumente

Zur Verifizierung prüft die CA zunächst die Online-Regierungsdatenbanken in Ihrer lokalen Gemeinde, Ihrem Bundesland oder Ihrem Land. Sie bestätigt, ob die aufgeführte Telefonnummer mit dem zugehörigen Namen und der Adresse übereinstimmt. Wenn alles genau übereinstimmt, haben Sie diese Anforderung erfolgreich erfüllt.

Da die meisten Regierungsdatenbanken jedoch keine Telefonnummern anzeigen, können alternative Methoden eingesetzt werden, um diese Informationen bei der CA zu verifizieren.

Ein Drittanbieterverzeichnis

Die CA akzeptiert andere Verzeichnisse zur Verifizierung Ihrer Telefonnummer. Typischerweise bezieht sich die CA auf seriöse Quellen wie Dun and Bradstreet Kreditberichte, aber einige Einträge sind möglicherweise nicht zulässig.

Wenn Sectigo Ihnen mitteilt, dass Ihr DUNS-Eintrag keine Telefonnummer enthält, müssen Sie Dun & Bradstreet kontaktieren und sie bitten, „die Telefonnummer Ihres Unternehmens zu ihrem Unternehmensverzeichnis und dem Bericht hinzuzufügen“.

Rechtsgutachten

Wenn die beiden oben genannten Optionen für Sie nicht funktionieren, ist die dritte und letzte Möglichkeit zur Validierung Ihrer Telefonnummer, einen CPA (Certified Public Accountant), einen lateinischen Notar oder einen Anwalt (Rechtsanwalt) zu bitten, einen Brief zu schreiben, zu unterzeichnen und an Sectigo zu senden, in dem diese Ihren Unternehmensnamen, Ihre Adresse und Ihre Telefonnummer bestätigen.

5. Abschließender Verifizierungsanruf

Der letzte Schritt im Organization-Validation-Prozess ist unkompliziert. Die Zertifizierungsstelle (CA) wird einen Verifizierungsanruf mit Ihnen oder dem benannten Antragsteller, typischerweise einem Website-Administrator, einleiten, um die Bestelldetails zu validieren.

Der abschließende Verifizierungsanruf bestätigt die Bestellinformationen und beschleunigt die Ausstellung Ihres Zertifikats. Dazu wird die CA Sie oder den angegebenen Antragsteller über die verifizierte Telefonnummer kontaktieren, die mit Ihrer Organisation verbunden ist. Seien Sie versichert, der Prozess ist einfach. Stellen Sie sicher, dass Sie erreichbar sind, da der Anruf nur wenige Minuten dauern sollte.

Wenn die angegebene Telefonnummer nicht direkt mit Ihrem Schreibtisch verbunden ist, wird die CA alternative Methoden einsetzen, um Sie zu erreichen.

Alternative Methoden

  1. Interactive Voice Response (IVR)-System: Die CA wird versuchen, Sie über das IVR zu verbinden. Seien Sie versichert; ein Mensch wird auf der anderen Seite der Leitung sein. Wenn Ihre Durchwahl aufgeführt ist oder Sie diese angegeben haben, oder wenn Ihr Telefon über das IVR erreichbar ist, sind Sie bestens versorgt.
  2. Weiterleitung oder alternative Nummer: Wenn keine Durchwahlen oder IVR vorhanden sind, kann die CA den Telefonisten (oder die Person, die die Telefonleitung Ihres Unternehmens beantwortet) bitten, den Anruf weiterzuleiten oder Ihre direkte Nummer mitzuteilen. Jede Methode ist ausreichend und ermöglicht es der CA, Sie oder den benannten Antragsteller zu kontaktieren.

Sobald Sie verbunden sind, beantworten Sie deren Fragen und Sie haben den letzten Validierungsschritt abgeschlossen.
Jetzt muss die CA nur noch Ihr Code-Signing-Zertifikat ausstellen. Sie erhalten weitere Anweisungen per E-Mail, einschließlich Sendungsverfolgungsinformationen und etwaiger zusätzlicher Schritte, die für die Einrichtung Ihres Zertifikat-Tokens erforderlich sind.


Extended Validation (EV)

Herzlichen Glückwunsch zum Erwerb eines Extended Validation Code-Signing-Zertifikats! Obwohl der Prozess einschüchternd wirken mag, ist er unkompliziert. Wir unterstützen Sie bei jedem Schritt und sorgen für eine reibungslose und schnelle Genehmigung.

Lassen Sie uns nun die Anforderungen für den Erhalt eines Extended Validation (EV)-Zertifikats besprechen. Diese Anforderungen sind bei verschiedenen Zertifizierungsstellen konsistent, dank des CA/B-Forums – des Regulierungsgremiums, das aus Zertifizierungsstellen und großen Webbrowser-Unternehmen besteht. Sie haben die folgenden grundlegenden Anforderungen festgelegt, die Antragsteller erfüllen müssen, um ein gültiges EV-Zertifikat zu erhalten:

  1. Antragsformulare: Sie müssen die notwendigen Formulare für den Zertifikatsantrag ausfüllen.
  2. Organisationsauthentifizierung: Die Legitimität Ihrer Organisation wird verifiziert, um sicherzustellen, dass es sich um eine echte Geschäftseinheit handelt.
  3. Betriebliche Existenz: Sie müssen nachweisen, dass Ihre Organisation seit mindestens drei Jahren registriert ist und aktiv betrieben wird.
  4. Physische Adresse: Eine physische Geschäftsadresse wird zu Verifizierungszwecken benötigt.
  5. Telefonverifizierung: Die Kontaktnummer Ihrer Organisation wird über lokale Regierungs- oder öffentliche Drittanbieterdatenbanken verifiziert.
  6. Abschließender Verifizierungsanruf: Die CA wird Sie anrufen, um die Details zu bestätigen und Ihre Organisation zu validieren.

Diese Anforderungen zielen darauf ab, legitime Unternehmen von anderen zu unterscheiden und die Integrität des EV-Zertifikatsystems aufrechtzuerhalten. Wenn Sie ein echtes Unternehmen mit einem physischen Büro, Telefonleitungen und anderen geschäftlichen Grundvoraussetzungen sind, werden Sie die Extended Validation problemlos bestehen.

1. Antragsformulare

Um den EV Code-Signing-Prozess mit Sectigo zu starten, müssen Sie zwei Antragsformulare einreichen: das EV-Zertifikatsantragsformular und die EV-Abonnentenvereinbarung.

Diese Formulare bestätigen Ihre Berechtigung, das Zertifikat im Namen Ihrer Organisation zu beantragen. Sectigo stellt diese Formulare zur Verfügung, nachdem Sie ein Validierungs-Support-Ticket geöffnet haben.

So gehen Sie vor:

  1. Öffnen Sie die Support-Ticket-Seite von Sectigo.
  2. Wählen Sie aus dem Dropdown-Menü „Please select a case type?“ die Option Validation Support aus.
  3. Wählen Sie aus dem Dropdown-Menü „Please select a case reason“ die Option EV Code Singing Certificate aus.
  4. Geben Sie Ihre Daten ein, einschließlich des Unternehmensnamens und der Bestellnummer (diese erhalten Sie von Ihrem Anbieter).
  5. Reichen Sie das Ticket ein.

Danach sendet Sectigo Ihnen die korrekten Formulare basierend auf Ihrer Bestellung. Sie müssen diese ausdrucken, handschriftlich unterzeichnen (keine digitalen Signaturen erlaubt) und dann einscannen und über das Ticketsystem hochladen.

Nach dem Hochladen erhalten Sie eine Case ID – bewahren Sie diese auf, falls Sie Ihre Anfrage nachverfolgen oder referenzieren müssen.

Organisationskontakt

Während des Extended-Validation-Prozesses werden Sie als Organisationskontakt bezeichnet. Das bedeutet einfach, dass Sie der Ansprechpartner für Ihr Unternehmen während des Zertifizierungsprozesses sind.

EV Code-Signing-Zertifikate ermöglichen es Ihrer Software, Sicherheitswarnungen zu umgehen und unnötige Aufforderungen während der Installation zu eliminieren, was zu einer reibungsloseren und nahtloseren Benutzererfahrung führt. Das Antragsformular dient als erster Schritt zur Verifizierung, dass Sie als Organisationskontakt die Autorität haben, im Namen Ihrer Organisation zu handeln.

Obwohl dies streng klingen mag, dient es letztendlich dem Wohl Ihres Unternehmens. Solange Sie ein autorisierter Mitarbeiter sind, besteht kein Grund zur Sorge. Diese Maßnahme verhindert, dass Einzelpersonen Mitarbeiter imitieren und Zertifikate für irreführende Software beantragen. Sowohl Ihre Organisation als auch die Zertifizierungsstelle möchten solche Vorfälle vermeiden.

Welche Informationen sind im Antragsformular anzugeben?

Antragsformulare konzentrieren sich auf das Sammeln von Details über Ihre Organisation und den Organisationskontakt. Sie müssen den Namen der Organisation, den vollständigen Namen des Organisationskontakts, seinen offiziellen Jobtitel und die handschriftliche Unterschrift zusammen mit Datum und Ort der Unterzeichnung angeben.

  • Name Ihrer Organisation
  • Der offizielle Titel des Kontakts Ihrer Organisation
  • Vollständiger Name der Kontaktperson Ihrer Organisation
  • Unterschrift des Organisationskontakts
  • Datum & Ort der Unterzeichnung
  • Kontaktdaten der Personalabteilung Ihrer Organisation zur Verifizierung, dass die Person, die den Kauf eines EV Code-Signing-Zertifikats beantragt hat, ein Vollzeitmitarbeiter des Unternehmens ist

2. Organisationsauthentifizierung

Das Ziel der Organisationsauthentifizierung ist die Verifizierung der rechtlichen Registrierung Ihres Unternehmens. Wenn Ihr Unternehmen unter Handelsnamen, angenommenen Namen oder einem DBA (Doing Business As) tätig ist, stellen Sie sicher, dass alle Informationen korrekt und aktuell sind.

Typischerweise verlassen sich CAs auf Online-Regierungsdatenbanken, um Ihre Organisation zu authentifizieren. Sie überprüfen die offizielle Website in Ihrem Land oder Bundesland, auf der der Registrierungsstatus von Geschäftseinheiten angezeigt wird. Die in diesen Datenbanken aufgeführten Details müssen mit den Informationen übereinstimmen, die Sie im Antragsformular angeben. Abweichungen können zu Verzögerungen bei der Zertifikatsausstellung führen.

Wenn Online-Ressourcen für die Organisationsauthentifizierung nicht ausreichen, stehen jedoch alternative Methoden zur Verfügung:

  1. Offizielle Registrierungsdokumente: Sie können der CA offizielle Registrierungsdokumente vorlegen, die von Ihrer lokalen Regierung ausgestellt wurden. Dazu gehören Gründungsurkunden, Konzessionslizenzen oder DBA-Erklärungen. Solche Dokumente dienen als Nachweis, dass Ihre Organisation eine echte und anerkannte Geschäftseinheit ist.
  2. Rechtsgutachten (POL): Eine weitere Option ist das Einholen eines Rechtsgutachtens, auch bekannt als Professional Opinion Letter. Dieser Ansatz ist besonders praktisch, wenn Ihr Unternehmen über eigene Rechtsexpertise verfügt. Ein POL, ausgestellt von einem zugelassenen Anwalt oder professionellen Buchhalter, bürgt für die Legitimität Ihres Unternehmens und erfüllt alle EV-Zertifikatsanforderungen außer dem Antragsformular. Weitere Informationen und Muster von POLs finden Sie in Sectigos Richtlinien.

Vermeiden Sie häufige Fallstricke wie veraltete oder abgelaufene Registrierungsdetails, ungenaue Auflistung mehrerer Unternehmensnamen oder unvollständige Informationen im Zertifikat oder Antragsformular für einen reibungslosen und schnellen Prozess.

3. Betriebliche Existenz

Der Nachweis der betrieblichen Existenz stellt sicher, dass Ihr Unternehmen seit mindestens drei Jahren aktiv ist. Wenn Ihr Unternehmen die Drei-Jahres-Marke noch nicht erreicht hat, stehen alternative Methoden zur Verfügung, um Ihre betriebliche Existenz zu verifizieren.

Die Zertifizierungsstelle (CA) kann die Existenz etablierter Unternehmen durch Überprüfung zuverlässiger Online-Regierungsdatenbanken verifizieren, die das Gründungsdatum anzeigen. Wenn Ihre lokale Gemeinde, Ihr Bundesland oder Ihr Land umfassende Aufzeichnungen führt, erfüllen Sie diese Anforderung ohne jegliche Unterlagen.

Wenn Ihr Unternehmen jedoch an einem Standort mit begrenzten Online-Aufzeichnungen tätig ist oder jünger als drei Jahre ist, verwenden Sie eine der vier alternativen Möglichkeiten, um die betriebliche Existenz Ihres Unternehmens nachzuweisen:

  1. Offizielle Registrierungsdokumente: Wenn Ihr Unternehmen seit mehr als drei Jahren tätig ist, können Sie verschiedene Dokumente einreichen, die von Ihrer lokalen Regierung ausgestellt wurden, wie z. B. Gründungsurkunden, eine Konzessionslizenz oder eine DBA-Erklärung.
  2. Dun & Bradstreet: Dun & Bradstreet ist ein seriöses Unternehmen, das Kreditberichte erstellt. Unabhängig vom Alter Ihres Unternehmens können die CAs, wenn ein Dun & Bradstreet-Kreditbericht verfügbar ist, diesen nutzen, um Ihre betriebliche Existenz zu verifizieren.
  3. Bankbestätigungsschreiben: Ein aktives Girokonto bei einem lokalen Finanzinstitut ist ein ausreichender Nachweis der betrieblichen Existenz, unabhängig davon, wie lange Ihr Unternehmen bereits tätig ist. Sie können ein Schreiben von der Bank erhalten, das diese Informationen bestätigt, und es bei der CA einreichen.
  4. Professional Opinion Letter (POL): Ein notariell beglaubigter Brief eines Anwalts oder Buchhalters, der die Legitimität Ihres Unternehmens bestätigt, bekannt als Professional Opinion Letter, kann als Nachweis der betrieblichen Existenz verwendet werden.

Durch die Nutzung einer dieser Optionen können Sie die Anforderung der betrieblichen Existenz erfüllen und dem Erhalt eines Extended Validation Code-Signing-Zertifikats näher kommen.

4. Physische Adresse

Die Zertifizierungsstelle (CA) verifiziert die Straßenadresse, Stadt, das Bundesland und das Land Ihres Unternehmens durch verschiedene Methoden. Zunächst überprüft die CA Online-Regierungsdatenbanken auf die öffentlich aufgeführte Adresse Ihres Unternehmens und gleicht die Details auf Ihrem Zertifikat und Antragsformular ab. Postfächer und Offshore-Registrierungen werden nicht akzeptiert. Wenn Regierungsdatenbanken jedoch nicht die erforderlichen Informationen enthalten, stehen folgende alternative Verifizierungsmethoden zur Verfügung:

  1. Offizielle Registrierungsdokumente: Sie können offizielle Registrierungsdokumente einreichen, die von der lokalen Regierung ausgestellt wurden, wie z. B. Gründungsurkunden, Konzessionslizenzen oder DBA-Erklärungen.
  2. Dun & Bradstreet: Ein Drittanbieter-Kreditbericht wie Dun & Bradstreet ist ebenfalls akzeptabel, um die physische Adresse Ihres Unternehmens zu verifizieren. CAs betrachten DUNS-Berichte als sehr zuverlässig bei der Überprüfung von Organisationen.
  3. Rechtsgutachten (POL): Holen Sie sich ein unterzeichnetes Rechtsgutachten, auch bekannt als Professional Opinion Letter, von einem Anwalt oder Buchhalter ein. Obwohl das Einholen eines POL ohne interne Rechts- oder Buchhaltungsunterstützung mehr Aufwand erfordern kann, erfüllt es jede Anforderung im Extended Validation Code-Signing-Prozess außer dem Antragsformular.

Wenn die Online-Regierungsdatenbanksuche der CA scheitert, können alternative Methoden die physische Adresse Ihres Unternehmens nachweisen und die Ausstellung Ihres Extended Validation Code-Signing-Zertifikats erleichtern.

5. Telefonverifizierung

Ihre Organisation muss eine aktive Telefonnummer in einem akzeptablen Verzeichnis haben, die mit den Informationen auf Ihrem Zertifikat und Antragsformular übereinstimmt.

Zunächst versucht die CA, die Telefonnummer über Online-Regierungsdatenbanken zu verifizieren, und wenn dies nicht gelingt, können Sie zwei alternative Methoden zur Verifizierung Ihrer Telefonnummer verwenden:

  1. Dun & Bradstreet: Ein Dun & Bradstreet-Kreditbericht ist akzeptabel. CAs betrachten die von Dun & Bradstreet zusammengestellten Informationen während des Extended Validation Prüfprozesses als zuverlässig. DUNS-Kreditberichte dienen auch zur Verifizierung der physischen Adresse und betrieblichen Existenz.
  2. Rechtsgutachten (POL): Wenn die Telefonnummer Ihres Unternehmens nicht öffentlich aufgeführt ist, kann ein Rechtsgutachten, auch bekannt als Professional Opinion Letter (POL), verwendet werden. Dieses Dokument, unterzeichnet von einem Anwalt oder Buchhalter, bestätigt die Legitimität Ihres Unternehmens. Ein POL erfüllt alle Anforderungen außer den Antragsformularen.

Durch den Einsatz dieser alternativen Methoden können Sie den Telefonverifizierungsprozess für ein Extended Validation Code-Signing-Zertifikat abschließen, auch wenn Online-Regierungsdatenbanken nicht die erforderlichen Informationen enthalten.

6. Abschließender Verifizierungsanruf

Jetzt verbleibt nur noch ein kurzes Gespräch zur Verifizierung der bereitgestellten Informationen. Obwohl der Verifizierungsanruf im Allgemeinen problemlos ist, können einige potenzielle Herausforderungen auftreten.

Beispielsweise ist die verifizierte Telefonnummer Ihres Unternehmens möglicherweise nicht direkt mit Ihrem Schreibtisch verbunden, da sie häufig für allgemeine Anfragen aufgeführt ist. Keine Sorge; die CA kann Sie problemlos erreichen, indem sie Ihre Durchwahl eingibt oder Interactive Voice Response (IVR)-Systeme nutzt.

Zusätzlich kann die CA den Telefonisten oder Empfänger Ihres Unternehmens um Hilfe bitten, den Anruf an Ihre Leitung weiterzuleiten. Die CA könnte sogar einen Kollegen kontaktieren, um Ihre Kontaktdaten zu erhalten und den Anruf über die verifizierte Telefonnummer einzuleiten.

Es wird jede Anstrengung unternehmen, Sie zu erreichen und einen reibungslosen Prozess zu gewährleisten. Alles, was Sie tun müssen, ist, den Anruf prompt entgegenzunehmen und ihn nicht auf die Mailbox umzuleiten. Eine Verzögerung des Verifizierungsanrufs würde nur die Ausstellung Ihres EV Code-Signing-Zertifikats verlängern, und wir verstehen, dass das niemand wünscht.

Geben Sie genaue Informationen an und nehmen Sie den Verifizierungsanruf prompt entgegen, und Sie sind Ihrem EV Code-Signing-Zertifikat einen Schritt näher.

Was ist der nächste Schritt?

Sobald Sie alle Schritte im Extended-Validation-Prozess abgeschlossen haben, wird die CA Ihre Bestellung bearbeiten und das USB-Gerät an Ihre Geschäftsadresse versenden. Sie erhalten eine Versandbestätigungs-E-Mail, wenn es unterwegs ist.


Individual Validation (IV)

Individual Validation unterscheidet sich von der Organization Validation dadurch, dass sie die Identität eines einzelnen Entwicklers und nicht eines Unternehmens verifiziert. Um als Einzelperson ein Code-Signing-Zertifikat zu erhalten, müssen Sie der Zertifizierungsstelle einen Identitätsnachweis vorlegen. Dies können Sie auf zwei Arten tun:

Lichtbildausweis

Für diese Option müssen Sie der Zertifizierungsstelle zwei Dokumente vorlegen:

  1. Eine Kopie eines amtlichen Lichtbildausweises, wie z. B. eines Führerscheins, Reisepasses, Personalausweises oder Militärausweises. Der Ausweis sollte Ihren Namen und Ihre Adresse anzeigen, und seine Details müssen mit den Details Ihres Zertifikatsantrags übereinstimmen.
  2. Ein Foto von Ihnen (ein „Selfie“), auf dem Sie Ihren Lichtbildausweis halten. Ihr Gesicht und die Informationen auf dem Ausweis sollten für den Vergleich mit der Kopie des Ausweises sichtbar sein.

Sie können ein Ticket beim Validierungs-Support von Sectigo öffnen und diese Dokumente einreichen. Wählen Sie „Validation Support“ als Falltyp und wählen Sie den entsprechenden Grund für den Fall. Fügen Sie die erforderlichen Dateien bei und füllen Sie das Formular aus. Sie erhalten eine Antwort mit einer Fallnummer, auf die Sie in zukünftigen Kommunikationen verweisen können.

Persönliche Vorsprache

Wenn Ihr Lichtbildausweis keine Adresse enthält oder wenn die Adresse nicht mit Ihrer Bestellung übereinstimmt, ist diese Validierungsmethode geeignet. Sie erfordert zusätzliche Dokumentation und verlangt, dass Sie einen autorisierten Notar in Ihrer Nähe aufsuchen, um die Dokumente zu unterzeichnen und zu beglaubigen. Die folgenden notariell beglaubigten Dokumente sind erforderlich:

  • Ein amtlicher Lichtbildausweis, wie z. B. ein Führerschein, Reisepass oder Militärausweis.
  • Ein Finanzdokument auf Ihren Namen, wie z. B. eine gültige Kredit- oder Debitkarte, ein Hypothekenkontoauszug oder ein Kontoauszug.
  • Ein nicht-finanzielles Dokument auf Ihren Namen mit einer Adresse, wie z. B. eine Festnetzrechnung (keine Mobilfunkrechnung), eine aktuelle Stromrechnung, ein Mietzahlungsauszug, eine Geburtsurkunde, ein Steuerbescheid oder ein Gerichtsdokument.
  • Das Personal Statement Declaration-Formular. (Zugang zum Download-Link).

Sobald Sie die erforderliche Dokumentation vorbereitet haben, reichen Sie alle Formulare direkt beim Validierungsteam der Zertifizierungsstelle ein, indem Sie ein Ticket öffnen. Wählen Sie „Validation Support“ als Falltyp und wählen Sie den entsprechenden Grund für den Fall. Fügen Sie die notwendigen Dateien bei und füllen Sie das Formular aus. Sie erhalten eine Antwort mit einer Fallnummer für zukünftige Referenzen.

Nach der Validierung, sobald Sie Ihre Dokumentation beim Validierungsteam der Zertifizierungsstelle eingereicht haben, werden diese sie prüfen und sich per E-Mail für weitere Korrespondenz mit Ihnen in Verbindung setzen. Sobald das Zertifikat genehmigt und ausgestellt wurde, erhalten Sie eine E-Mail mit Versandinformationen.


Fazit

Der Erhalt von Sectigo/Comodo Code-Signing-Zertifikaten beinhaltet einen gründlichen Prüfprozess zur Verifizierung der Legitimität und Authentizität der beantragenden Organisation oder Einzelperson.

Für die Organization Validation sind Identitäts- und Organisationsauthentifizierung, Ortsansässigkeit, Telefonbestätigung und ein abschließender Verifizierungsanruf erforderlich. Extended Validation erfordert Antragsformulare, Organisationsauthentifizierung, betriebliche Existenz, Nachweis der physischen Adresse, Telefonverifizierung und einen abschließenden Bestätigungsanruf.

Individual Validation erfordert einen Identitätsnachweis durch einen amtlichen Lichtbildausweis und ein Selfie oder ein notariell beglaubigtes Dokument. Sobald alle Schritte abgeschlossen sind, stellt die CA das Code-Signing-Zertifikat aus.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.