Como validar os certificados de assinatura de código Sectigo/Comodo

Atualizado em por Dionisie Gitlan

Os certificados de assinatura de código Sectigo/Comodo seguem o mesmo processo de verificação. Dependendo do nível de validação solicitado, é necessário enviar a documentação necessária, como documentos de identidade emitidos pelo governo e documentos oficiais de registro, para validar a identidade e a existência da sua organização em pouco tempo. Este guia aborda a Validação da organização, a Validação estendida e a Validação individual para certificados de assinatura de código. Use os links de âncora abaixo para navegar entre as seções.

Validação da organização (OV)

A validação da organização (OV) verifica a legitimidade e a autenticidade de uma empresa ou organização que solicita um certificado de assinatura de código. Ele garante que o candidato esteja legalmente registrado e opere em uma jurisdição reconhecida.

A autoridade de certificação (CA) estabelece o status do solicitante realizando verificações em bancos de dados e documentos oficiais para confirmar o nome, o endereço e a existência legal da organização.

Ao validar a organização, os certificados de assinatura de código garantem aos usuários que o software que eles estão baixando ou executando é de uma fonte confiável e verificada, evitando o aviso “Unknown Publisher” e reduzindo o risco de malware ou adulteração não autorizada.

A aprovação na validação da organização para um certificado de assinatura de código exige o seguinte:

  • Autenticação de identidade
  • Autenticação da organização
  • Localidade Presença
  • Verificação telefônica
  • Chamada de verificação final

Veja a seguir como concluir cada etapa:

1. Autenticação de identidade

O Sectigo (o mesmo se aplica aos certificados de assinatura de código da Comodo) implementa a verificação de identidade para garantir que a identidade reivindicada pelo solicitante seja legítima. Exige o envio de um documento de identidade com foto emitido pelo governo, como passaporte, carteira de motorista, carteira de identidade pessoal ou identidade militar, à Sectigo para análise completa.

Para prosseguir com a verificação de identidade, abra um tíquete com a Sectigo, anexando o documento de identidade com foto e o número do pedido para validação.

2. Autenticação da organização

Garantir a legitimidade e o status ativo da sua organização é o principal requisito para obter um certificado de assinatura de código validado pela organização. Esse processo, conhecido como Autenticação da organização, envolve a Autoridade de certificação (CA) que verifica se a sua empresa é uma entidade legalmente registrada no local designado.

Na maioria dos casos, a CA tentará verificar o status da sua empresa usando um banco de dados on-line do governo. Eles cruzarão as informações que você forneceu com o site oficial da prefeitura, do estado ou do país, que exibe os detalhes de registro da entidade comercial.

As informações listadas no banco de dados do governo devem ser idênticas aos detalhes que você enviou à CA para evitar atrasos na emissão do certificado. Se um banco de dados on-line do governo não estiver disponível ou não tiver registros atualizados, a CA usará um dos seguintes métodos alternativos:

Documentos oficiais de registro

Você pode enviar documentos oficiais de registro que comprovem a existência legal da sua organização. Esses documentos podem incluir artigos de incorporação, uma licença de funcionamento ou declarações DBA (Doing Business As) emitidas pelo governo local.

Dun & Bradstreet

Outra forma é por meio da Dun & Bradstreet, uma empresa especializada em relatórios financeiros sobre organizações. A CA pode aceitar um relatório de crédito DUNS abrangente para verificar detalhes específicos associados à sua empresa, atendendo, assim, ao requisito de autenticação da organização.

Carta de opinião legal

Você também tem a opção de obter uma carta de parecer jurídico. Esse documento envolve um advogado ou contador que atesta a autenticidade e a legitimidade de sua organização. Embora a obtenção de uma carta de parecer jurídico possa exigir algum esforço, em alguns casos, essa é a única maneira de comprovar a identidade. O Sectigo oferece exemplos de cartas de opinião legal para acelerar o processo (clicar nos links abaixo fará o download dos formulários de exemplo para sua pasta de download padrão):

A autenticação da organização é simples se você fornecer detalhes precisos e atualizados. Se as tentativas de usar o Online Government Database falharem, os métodos alternativos abrangem qualquer jurisdição em que a AC opera.

3. Presença na localidade

Outro requisito para obter um certificado de assinatura de código validado pela organização é comprovar a presença da localidade. Ele confirma que sua empresa tem presença física no local registrado.

O que é Locality Presence?

A Locality Presence permite que a Autoridade de Certificação (CA) verifique se a sua entidade legal (organização) existe fisicamente no país ou estado registrado. A CA confirma a localidade (cidade, estado, província, etc.) mencionada em seu endereço, em vez do endereço específico da rua.

Normalmente, a AC realiza essa verificação consultando um banco de dados on-line do governo e comparando os detalhes do registro, como a cidade/estado do seu endereço, com as informações fornecidas durante o processo de solicitação. Se os detalhes coincidirem, você cumpriu esse requisito com êxito.

Da mesma forma que a autenticação da organização, se o banco de dados on-line do governo não for uma opção ou se houver uma discrepância nas informações fornecidas, há vários métodos alternativos disponíveis:

Documentos oficiais de registro

Você pode enviar a documentação do seu governo local para a CA. Esses documentos, como artigos de incorporação, licenças licenciadas ou declarações DBA, servem como verificação oficial das informações que você forneceu.

Dun & Bradstreet

A Dun & Bradstreet fornece relatórios financeiros sobre empresas. O CA considera as informações contidas em seus relatórios como altamente confiáveis. Ao apresentar um Relatório de Crédito DUNS abrangente, você permite que a AC valide o endereço físico associado à sua organização.

Carta de opinião legal

Uma carta de opinião legal, às vezes chamada de carta de opinião profissional ou POL, é um documento em que um advogado ou contador atesta a legitimidade de sua empresa. Embora a obtenção dessas cartas possa ser desafiadora e potencialmente cara, elas servem como prova válida de seu endereço físico.

Qualquer método alternativo funcionará se as tentativas da AC de verificar a presença da localidade por meio dos bancos de dados governamentais on-line não forem bem-sucedidas.

4. Verificação telefônica

A Verificação de telefone requer um número de telefone ativo e listado associado à sua organização.

O que é verificação telefônica?

A autoridade de certificação (CA) deve garantir que você tenha um número de telefone verificável em uma lista telefônica aceitável. Ele deve corresponder às informações fornecidas durante o registro, incluindo o nome comercial e o endereço físico verificados. As ACs podem verificar seu telefone pelos seguintes métodos:

Documentos oficiais de registro

Para verificar isso, a CA inicialmente verifica os bancos de dados governamentais on-line em seu município, estado ou país. Eles confirmam se o número de telefone listado corresponde ao nome e ao endereço associados. Se tudo se encaixar com precisão, você cumpriu esse requisito com êxito.

Entretanto, como a maioria dos bancos de dados governamentais não exibe números de telefone, métodos alternativos podem ser empregados para verificar essas informações com a AC.

Um diretório de terceiros

A CA aceita outros diretórios para verificar seu número de telefone. Normalmente, a CA se refere a fontes confiáveis, como os relatórios de crédito da Dun and Bradstreet, mas algumas listagens podem não ser elegíveis.

Se o Sectigo responder e disser que sua listagem DUNS não contém um número de telefone, será necessário entrar em contato com a Dun & Bradstreet e solicitar que “adicionem o número de telefone da sua empresa ao diretório de empresas e ao relatório”.

Carta de opinião legal

Se as duas opções acima não funcionarem para você, a terceira e última opção para validar seu número de telefone é pedir a um contador público certificado (CPA), a um tabelião latino ou a um advogado que escreva, assine e envie uma carta para a Sectigo confirmando o nome, o endereço e o número de telefone da sua empresa.

5. Chamada de verificação final

A última etapa do processo de validação da organização é simples. A Autoridade Certificadora (CA) iniciará uma chamada de verificação com você ou com o solicitante designado, normalmente um administrador do site, para validar os detalhes do pedido.

A chamada de verificação final confirma as informações do pedido e agiliza a emissão de seu certificado. Para isso, a CA entrará em contato com você ou com o candidato especificado usando o número de telefone verificado associado à sua organização. Fique tranquilo, o processo é fácil. Certifique-se de sua disponibilidade, pois a chamada deve levar apenas alguns minutos.

Se o número de telefone designado não se conectar diretamente à sua mesa, a CA usará métodos alternativos para entrar em contato com você.

Métodos alternativos

  1. Sistema de resposta interativa de voz (IVR): A CA tentará entrar em contato com você por meio do IVR. Fique tranquilo, pois um ser humano estará do outro lado da linha. Tudo estará pronto se o seu ramal estiver listado ou se você o tiver fornecido, ou se o seu telefone puder ser acessado por meio do IVR.
  2. Transferência ou número alternativo: na ausência de ramais ou de um IVR, a AC pode solicitar que o operador (ou a pessoa que atende a linha telefônica da sua empresa) transfira a chamada ou forneça o seu número direto. Qualquer um dos métodos será suficiente e permitirá que a CA entre em contato com você ou com o candidato designado.

Uma vez conectado, responda às perguntas e você terá concluído a etapa final de validação.
Agora, tudo o que resta é a CA emitir seu certificado de assinatura de código. Você receberá instruções adicionais por e-mail, incluindo informações de rastreamento da remessa e quaisquer etapas adicionais necessárias para configurar seu token de certificado.

Validação estendida (EV)

Parabéns por ter adquirido um certificado de assinatura de código com validação estendida! Embora o processo possa parecer intimidador, ele é simples. Nós o apoiamos em cada etapa do processo, garantindo uma aprovação tranquila e rápida.

Agora, vamos discutir os requisitos para obter um certificado de Validação Estendida (EV). Esses requisitos são consistentes em diferentes Autoridades de Certificação, graças ao Fórum CA/B, o órgão regulador que inclui Autoridades de Certificação e as principais empresas de navegadores da Web. Eles estabeleceram os seguintes requisitos básicos que os candidatos devem atender para obter um certificado de EV válido:

  1. Formulários de inscrição: Você precisará preencher os formulários necessários para a solicitação do certificado.
  2. Autenticação da organização: A legitimidade de sua organização será verificada para garantir que ela seja uma entidade comercial genuína.
  3. Existência operacional: É necessário demonstrar que sua organização está registrada e operando ativamente há pelo menos três anos.
  4. Endereço físico: Um endereço comercial físico será exigido para fins de verificação.
  5. Verificação telefônica: O número de contato da sua organização será verificado por meio de bancos de dados públicos do governo local ou de terceiros.
  6. Chamada de verificação final: A CA entrará em contato com você para confirmar os detalhes e validar sua organização.

Esses requisitos visam distinguir as empresas legítimas das demais e manter a integridade do sistema de certificados EV. Se você for uma empresa genuína com um escritório físico, linhas telefônicas e outros itens essenciais de negócios, será aprovado na Validação Estendida sem problemas.

1. Formulários de registro

Há dois formulários de inscrição disponíveis, que exigem apenas informações básicas sobre a sua organização e detalhes de contato da pessoa responsável pela solicitação do certificado, conhecida como contato organizacional.

Para agilizar o processo, você pode preparar seus Formulários de Inscrição com antecedência, mas lembre-se de que precisará do número de ID do pedido do fornecedor para enviar os formulários. Você pode fazer o download dos dois formulários abaixo:

Depois de preencher os formulários e reunir todas as informações necessárias, você estará pronto para enviá-los. O Sectigo fornece um sistema de tíquetes de validação no qual você pode carregá-los. Após o envio, você deve receber um número de ID do caso, que pode ser usado como referência se precisar entrar em contato com a equipe de suporte.

Contato da organização

Durante todo o processo de Validação Estendida, você será chamado de Contato Organizacional. Isso significa simplesmente que você é o ponto de contato da sua empresa durante o processo de certificação.

Os certificados EV Code Signing permitem que o seu software contorne avisos de segurança e elimine solicitações desnecessárias durante a instalação, resultando em uma experiência de usuário mais suave e perfeita. O formulário de inscrição serve como a primeira etapa para verificar se você, como Contato Organizacional, tem autoridade para agir em nome da sua organização.

Embora isso possa parecer rigoroso, em última análise, é para o benefício de sua empresa. Desde que você seja um funcionário autorizado, não há necessidade de se preocupar. Essa medida evita que indivíduos se façam passar por funcionários e busquem certificados para softwares enganosos. Tanto sua organização quanto a Autoridade Certificadora querem evitar esses incidentes.

Que informações devem ser incluídas no formulário de inscrição?

Os formulários de inscrição concentram-se na coleta de detalhes sobre a sua organização e o contato organizacional. Você precisará fornecer o nome da organização, o nome completo do contato organizacional, seu cargo oficial e a assinatura manuscrita, juntamente com a data e o local da assinatura.

  • Nome de sua organização
  • O título oficial do contato da sua organização
  • Nome completo da pessoa de contato da sua organização
  • Assinatura do contato da organização
  • Data e local da assinatura
  • Detalhes de contato do RH da sua organização para verificar se a pessoa que solicitou a compra de um certificado EV Code Signing é um funcionário em tempo integral da empresa

Observe que não são aceitas assinaturas digitais ou carimbadas. Portanto, você precisará imprimir o formulário, assiná-lo manualmente e, em seguida, digitalizá-lo ou enviá-lo por fax para a Autoridade de Certificação. Embora seja possível enviá-lo pelo correio, não recomendamos que o faça, pois isso atrasará significativamente a emissão do seu certificado.

2. Autenticação da organização

O objetivo da Autenticação da Organização é verificar o registro legal da sua empresa. Se a sua empresa opera com nomes comerciais, nomes presumidos ou um DBA (Doing Business As), certifique-se de que todas as informações sejam precisas e atualizadas.

Normalmente, as CAs dependem de bancos de dados governamentais on-line para autenticar sua organização. Eles verificarão o site oficial do seu país ou estado que exibe o status de registro da entidade comercial. Os detalhes listados nesses bancos de dados devem corresponder às informações fornecidas no Formulário de Inscrição. Qualquer discrepância pode causar atrasos na emissão do certificado.

No entanto, se os recursos on-line forem insuficientes para a autenticação da organização, há métodos alternativos disponíveis:

  1. Documentos oficiais de registro: Você pode fornecer à CA os documentos oficiais de registro emitidos pelo governo local. Isso inclui artigos de incorporação, licenças licenciadas ou declarações DBA. Esses documentos servem como prova de que sua organização é uma entidade comercial genuína e reconhecida.
  2. Carta de Opinião Jurídica (POL): Outra opção é obter uma Carta de Opinião Jurídica, também conhecida como Carta de Opinião Profissional. Essa abordagem é particularmente conveniente se sua empresa tiver conhecimento jurídico interno. Um POL, emitido por um advogado ou contador profissional licenciado, atesta a legitimidade de sua empresa e atende a todos os requisitos do certificado EV, exceto o Formulário de Inscrição. Para obter mais informações e amostras de POLs, consulte as diretrizes da Sectigo.

Evite armadilhas comuns, como detalhes de registro desatualizados ou expirados, listagem imprecisa de vários nomes de empresas ou informações incompletas no certificado ou na queda de inscrição para obter um processo tranquilo e rápido.

3. Existência operacional

A comprovação da existência operacional garante que sua empresa esteja ativa há pelo menos três anos. Se sua empresa ainda não atingiu a marca de três anos, há métodos alternativos disponíveis para verificar sua existência operacional.

A autoridade de certificação (CA) pode verificar a existência de empresas bem estabelecidas verificando bancos de dados governamentais on-line confiáveis que exibem a data de incorporação. Se a prefeitura, o estado ou o país mantiverem registros abrangentes, você atenderá a esse requisito sem nenhuma documentação.

No entanto, se a sua empresa opera em um local com registros on-line limitados ou tem menos de três anos, use uma das quatro maneiras alternativas de provar a existência operacional da sua empresa:

  1. Documentos oficiais de registro: Se a sua empresa estiver operando há mais de três anos, você poderá enviar vários documentos emitidos pelo governo local, como artigos de incorporação, uma licença de alvará ou uma declaração de DBA.
  2. Dun & Bradstreet: A Dun & Bradstreet é uma empresa respeitável que fornece relatórios de crédito. Independentemente da idade de sua empresa, se um relatório de crédito da Dun & Bradstreet estiver disponível, as ACs poderão utilizá-lo para verificar sua existência operacional.
  3. Carta de confirmação bancária: Uma conta corrente ativa em uma instituição financeira local é prova suficiente de existência operacional, independentemente do tempo de funcionamento da empresa. Você pode obter uma carta do banco verificando essas informações e enviá-la ao CA.
  4. Carta de Opinião Profissional (POL): Uma carta com firma reconhecida de um advogado ou contador afirmando a legitimidade de sua empresa, conhecida como Professional Opinion Letter, pode ser usada como prova de existência operacional.

Ao usar qualquer uma dessas opções, você pode atender ao requisito de Existência Operacional e se aproximar da obtenção de um Certificado de Assinatura de Código com Validação Estendida.

4. Endereço físico

A autoridade de certificação (CA) verifica o endereço, a cidade, o estado e o país de sua empresa por meio de vários métodos. Inicialmente, a AC verifica os bancos de dados governamentais on-line em busca do endereço da sua empresa listado publicamente, combinando com os detalhes do seu certificado e do formulário de inscrição. Caixas postais e registros offshore não são aceitos. No entanto, se os bancos de dados governamentais não incluírem as informações necessárias, existem os seguintes métodos alternativos de verificação:

  1. Documentos oficiais de registro: É possível enviar documentos oficiais de registro emitidos pelo governo local, como artigos de incorporação, licença de funcionamento ou declaração de DBA.
  2. Dun & Bradstreet: Um relatório de crédito de terceiros, como o da Dun & Bradstreet, também é aceitável para verificar o endereço físico de sua empresa. As ACs consideram os relatórios DUNS altamente confiáveis para a verificação de organizações.
  3. Carta de Opinião Jurídica (POL): Obtenha uma Carta de Opinião Jurídica assinada, também conhecida como Carta de Opinião Profissional, de um advogado ou contador. Embora a aquisição de uma POL possa exigir mais esforço sem suporte jurídico ou contábil interno, ela atende a todos os requisitos do processo de assinatura de código de validação estendida, exceto o formulário de inscrição.

Se a pesquisa no banco de dados governamental on-line da CA falhar, qualquer método alternativo poderá comprovar o endereço físico da sua empresa e facilitar a emissão do seu certificado de assinatura de código de validação estendida.

5. Verificação telefônica

Sua organização deve ter um número de telefone ativo em um diretório aceitável, que corresponda às informações do seu certificado e formulário de inscrição.

Inicialmente, a CA tenta verificar o número de telefone usando bancos de dados governamentais on-line e, se não conseguir, você pode usar dois métodos alternativos para verificar seu número de telefone:

  1. Dun & Bradstreet: Um relatório de crédito da Dun & Bradstreet é aceitável. As ACs consideram confiáveis as informações compiladas pela Dun & Bradstreet durante o processo de verificação da Validação Estendida. Os relatórios de crédito DUNS também servem para verificar o endereço físico e a existência operacional.
  2. Carta de Opinião Jurídica (POL): Se o número de telefone da sua empresa não estiver listado publicamente, uma Carta de Opinião Jurídica, também conhecida como Carta de Opinião Profissional (POL), poderá ser usada. Esse documento, assinado por um advogado ou contador, confirma a legitimidade de sua empresa. Um POL atende a todos os requisitos, exceto os formulários de inscrição.

Ao empregar esses métodos alternativos, é possível concluir o processo de verificação telefônica para um certificado de assinatura de código de validação estendida, mesmo que os bancos de dados governamentais on-line não contenham as informações necessárias.

6. Chamada de verificação final

Agora, tudo o que resta é uma breve conversa para verificar as informações fornecidas. Embora a chamada de verificação seja geralmente tranquila, podem surgir alguns desafios em potencial.

Por exemplo, o número de telefone verificado da sua empresa pode não se conectar diretamente à sua mesa, pois geralmente é listado para consultas gerais. Não se preocupe; a CA pode entrar em contato com você facilmente digitando seu ramal ou utilizando os sistemas de resposta interativa de voz (IVR).

Além disso, a AC pode pedir ajuda à recepcionista ou telefonista da sua empresa para transferir a chamada para a sua linha. A CA pode até entrar em contato com um colega para obter seus detalhes de contato e iniciar a chamada usando o número de telefone verificado.

Ele fará todos os esforços para entrar em contato com você, garantindo um processo tranquilo. Tudo o que você precisa fazer é atender prontamente a chamada e evitar que ela vá para o correio de voz. Atrasar a chamada de verificação apenas prolongaria a emissão do seu certificado de assinatura de código EV, e sabemos que isso não é algo que ninguém deseja.

Forneça informações precisas e atenda prontamente à chamada de verificação, e você estará um passo mais perto de obter seu certificado de assinatura de código EV.

Qual é a próxima etapa?

Depois que você concluir todas as etapas do processo de validação estendida, a CA processará seu pedido e enviará o dispositivo USB para o seu endereço comercial. Você receberá um e-mail de confirmação de envio quando ele estiver a caminho.

Validação individual (IV)

A validação individual é diferente da validação organizacional, pois verifica a identidade de um único desenvolvedor em vez de uma empresa. Para receber um certificado Code Singing como pessoa física, você deve fornecer prova de sua identidade à Autoridade de Certificação. Você pode fazer isso de duas maneiras:

Identificação com foto

Para essa opção, você precisa fornecer dois documentos à autoridade de certificação:

  1. Uma cópia de um documento de identidade com foto emitido pelo governo, como carteira de motorista, passaporte, identidade nacional ou identidade militar. A ID deve exibir seu nome e endereço, e seus detalhes devem corresponder aos detalhes da sua solicitação de certificado.
  2. Uma foto sua (uma “selfie”) segurando seu documento de identidade com foto. Seu rosto e as informações do documento de identidade devem estar visíveis para comparação com a cópia do documento.

Você pode abrir um tíquete com o suporte de validação da Sectigo e enviar esses documentos. Selecione “Validation Support” (Suporte de validação) como o tipo de caso e escolha o motivo apropriado para o caso. Anexe os arquivos necessários e preencha o formulário. Você receberá uma resposta com um número de caso, que poderá ser consultado em qualquer comunicação futura.

Cara a cara

Se o seu documento de identidade com foto não incluir um endereço ou se o endereço não corresponder ao seu pedido, esse método de validação é adequado. Envolve documentação adicional e exige que você vá a um cartório autorizado em sua área para assinar e reconhecer firma dos documentos. São necessários os seguintes documentos com firma reconhecida:

  • Um documento de identidade com foto emitido pelo governo, como carteira de motorista, passaporte ou identidade militar.
  • Um documento financeiro em seu nome, como um cartão de crédito ou débito válido, extrato de hipoteca ou extrato bancário.
  • Um documento não financeiro em seu nome com um endereço, como uma conta de telefone fixo (não uma conta de telefone celular), uma conta recente de serviços públicos, uma declaração de pagamento de aluguel, uma certidão de nascimento, uma conta de impostos ou um documento de ordem judicial.
  • O formulário de Declaração de Declaração Pessoal. (acesse o link para download).

Depois de preparar a documentação necessária, envie todos os formulários diretamente para a equipe de validação da autoridade de certificação, abrindo um tíquete. Escolha “Validation Support” (Suporte de validação) como o tipo de caso e selecione o motivo apropriado para o caso. Anexe os arquivos necessários e preencha o formulário. Você receberá uma resposta com um número de caso para referência futura.

Após a validação, depois de enviar a documentação para a equipe de validação da Autoridade de Certificação, ela a analisará e entrará em contato com você por e-mail para correspondência adicional. Depois que o certificado for aprovado e emitido, você receberá um e-mail com as informações de envio.

Conclusão

A obtenção de certificados de assinatura de código da Sectigo/Comodo envolve um processo de verificação minucioso para comprovar a legitimidade e a autenticidade da organização ou do indivíduo que está se candidatando.

Para a validação da organização, são necessárias a autenticação da identidade e da organização, a presença da localidade, a confirmação telefônica e uma chamada de verificação final. A validação estendida exige formulários de inscrição, autenticação da organização, existência operacional, comprovante de endereço físico, verificação telefônica e uma chamada de confirmação final.

A validação individual exige prova de identidade por meio de um documento de identidade com foto emitido pelo governo e uma selfie ou documento autenticado. Quando todas as etapas forem concluídas, a CA emitirá o certificado de assinatura de código.

Economize 10% em certificados SSL ao fazer seu pedido hoje!

Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10

Economize 10% agora!
Escrito por

Redator de conteúdo experiente, especializado em certificados SSL. Transformação de tópicos complexos de segurança cibernética em conteúdo claro e envolvente. Contribua para melhorar a segurança digital por meio de narrativas impactantes.

Tutoriais