Jak zainstalować certyfikat EV?

Aktualnie hostingi coraz częściej oferują w standardzie certyfikaty SSL zupełnie bezpłatnie. Są to najczęściej certyfikaty marki Let’s Encrypt lub Comodo. Są to w pełni poprawnie działające certyfikaty, rozpoznawane jako zaufane przez 99+% przeglądarek. Te certyfikaty są wystarczające dla większości użytkowników internetu – mają mocne szyfrowanie 256-bitowe i skutecznie chronią transmisję między komputerem klienta a stroną internetową. Można je zatem wykorzystywać do przesyłania danych osobowych (zgodnie z wymaganiami GIODO, a wkrótce również zgodnie z wymaganiami RODO). Tego typu podstawowe certyfikaty są najczęściej typu DV (Domain Validated). Co jeśli potrzebujemy czegoś więcej? Tutaj pojawia się Certyfikat EV.

Polecamy też sprawdzić czym różnią się darmowe certyfikaty od płatnych.

Być jak bank, czyli certyfikat EV

Niektóre firmy idą o krok dalej: oprócz ikony kłódki w pasku przeglądarki mogą mieć również wyświetlaną nazwę swojej firmy. Ta nazwa jest również zawarta w szczegółach certyfikatu. Dotychczas certyfikaty typu EV (Extended Validation) były głównie kojarzone z bankami, jednak coraz więcej firm decyduje się na ich wykorzystanie, aby podkreślić swoją wiarygodność.

Jak zarejestrować certyfikat EV?

Certyfikat „zwykły” DV jest prosty do rejestracji, stąd cały proces można łatwo zautomatyzować (wystarczy być tylko właścicielem domeny – ale to raczej oczywiste) a certyfikat jest wystawiany albo przez kliknięcie linku weryfikacyjnego (w przypadku płatnych certyfikatów DV), albo przez możliwość odczytania specjalnego pliku, który generuje się podczas generowania certyfikatów darmowych.

W przypadku certyfikatów EV, sprawa już z nazwy jest „extended”, czyli bardziej skomplikowana. Oficjalnie, wg dokumentów firmy Comodo (jednego z wystawców certyfikatów) jest weryfikowane:

A. Verify Legal Existence and Identity This entails verifying the organization registration directly with the incorporating or registration agency.

B. Verify Trade/Assumed Name as applicable. Only applicable if company does business under a name which is different from the official name of their corporation. Trade name must be registered and verifiable.

C. Verify Operational Existence This means that we must verify that the company is able to conduct business operations. Typically this means that the company has a current active demand deposit account with a regulated financial institution.

D. Verify Physical address and organization phone number.

E. Verify Domain ownership.

F. Verify the name, title, authority and signature of the person(s) involved in requesting the certificate and agreeing to the terms and conditions.

Jak w praktyce weryfikowane są certyfikaty SSL typu EV?

Po wypełnieniu wniosku o rejestrację certyfikat EV następuje ręczna weryfikacja ze strony wystawcy certyfikatu.

W pierwszej kolejności przychodzi e-mail z prośbą o akceptację zasad wystawienia certyfikatu, mail jest o treści:

In order to complete your request for an EV SSL Certificate, we require that you confirm the SSL Request and execute an SSL Subscriber Agreement. This can be done via click through by following the link below and filling in the required details:

Następnie następuje weryfikacja ręczna przez pracowników Comodo.

Warto w formularzu zgłoszeniowym podawać dane, które można łatwo zweryfikować w internecie. Np. podając w formularzu firmową komórkę prezesa (która nie jest nigdzie oficjalnie podana) możecie liczyć się z kolejnym mailem:

ACTION REQUIRED: We are unable to verify the telephone. Please update/register your business, including telephone number, with a third party independent source, including local/national registration agencies and reputable third party databases such as

https://www.upik.de/

https://www.dnbdirect.ca/

Or provide an opinion letter signed by an Attorney, Certified Public Accountant or Latin Notary (where legally recognized) verifying the telephone number.

Czyli telefon, który podajecie w formularzu powinien być wprost podany w ww. bazach (upik.de lub dnbdirect.ca), ale o bazach będzie dalej. Oczywiście możecie też wpisać u notariusza oświadczenie, że numer należy do Waszej firmy – nie testowaliśmy tego rozwiązania, ale obawiamy się, że kolejnym krokiem będzie jeszcze tłumaczenie przysięgłe na angielski 🙂

Uwaga: propozycja, żeby wysłać umowę z operatorem telefonicznym lub comiesięczną fakturę, która potwierdzi, że płacicie za podany numer telefonu nie przejdzie:

As per EV Guidelines we must be able to verify the applicant’s telephone number through a third party directory and phone bills are not acceptable to validate EV SSL certificate.

W tym momencie czasem można utknąć, bo wspomniane przez miłego Pana z Comodo „third party directory”, jest powtarzany jak mantra adres „upik.de”. Podobnie jak faktura za telefon nie przejdą w Comodo też inne bazy i rejestry, nawet te bardzo poważne jak rejestr RIPE (przydzielający operatorom adresację IP). Po prostu nie.

Co to jest ten numer D-U-N-S i bazy dnbdirect.ca i upik.de?

Już w samym początkowym formularzu, który trzeba wypełnić do rejestracji certyfikatu EV Comodo pyta o numer Dun & Bradstreet D-U-N-S Number. Jest to nic innego jak baza firm. Tylko taka „ogólnoświatowa”. Tak, na pewno Wasza firma też już u nich jest. To coś jak katalog. Jednak z tą bazą może być problem, bo być może nigdy się do tej bazy nie wpisywaliście, ani nawet o niej nie słyszeliście. I dane Waszej firmy tam są, ale mogą być np. niekompletne. U nas brakowało … numeru telefonu. A ten numer właśnie chciało weryfikować Comodo. Zatem dane trzeba zaktualizować, żeby Comodo potraktowało je jako wiarygodne. Niestety nie wiemy, dlaczego akurat ta konkretna baza jest traktowana jako wiarygodna, a nie inne. Tak sobie wymyśliło Comodo i pozostaje nam się do tego dostosować, albo … weryfikować np. numer telefonu przez notariusza i tłumacza przysięgłego. Wybierzcie łatwiejszą drogę 🙂

Aktualizacja danych w D-U-N-S.

Najprościej dla celów weryfikacji jest zrobić poprawkę w bazie D-U-N-S. Comodo proponuje wykonanie aktualizacji w niemieckim oddziale, czyli bazie upik.de.

Oczywiście można zrobić tak jak proszą, ale możecie spotkać się z odpowiedzią:

we have forwarded your eUpdate request to your local D&B office, They are allowed 30 working days time to fulfill the update.

After that it may take another approx. 1 week for the data to become visible on UPIK.

Co oznacza, że w zasadzie całość procedury poprawienia danych trwa 30 dni roboczych (!), co razem z czasem propagacji między ich systemami trwa prawie 2 miesiące … Jak nie chcemy czekać, trzeba przeczytać między wierszami, co należy zrobić – otóż istnieje polski oddział. Warto się z nimi skontaktować i przyspieszyć całą procedurę poprawienia danych.

Weryfikacja istnienia firmy

Spotkać się też możecie z prośbą o podanie informacji, gdzie można odszukać dane firmy na stronie oficjalnych urzędów (w Polsce CEIDG lub KRS).

Legal Verification: We need to verify the legal existence of your Company. Please get back to us where your company has been registered or please provide your business license or please provide us the direct government link which is listing the company name.

Niestety strona KRS nie jest po angielsku – zatem warto wpisać tam instrukcję dla rejestratora: kliknij na X, potem na Y a potem na „szukaj”. Całość korespondencji musi być po angielsku.

Hello, I’m calling from Comodo – czyli weryfikacja telefoniczna.

Jedną z form weryfikacji, czy firma, która ubiega się o certyfikat EV istnieje jest weryfikacja telefoniczna: ktoś z Comodo zadzwoni na podany wcześniej numer telefonu (ten, który podlegał weryfikacji) i będzie chciał rozmawiać z kimś, kto potwierdzi, że osoba wypełniająca formularz to jest właśnie ta osoba. Oczywiście Comodo zapowie się mailem:

Thank you for the kind response.We need to verify the (tutaj było imię i nazwisko zgodnie z wcześniejszym formularzem) role as Signer/Approver/Requester for the EV SSL through phone and we need to verify your job title with HR department,Secretary, President, CEO, CFO, COO, CIO, CSO, Director, etc.. or someone OTHER THAN THE SIGNER.

We will be contacting you to the telephone number : +48xxxxxxxxx

Kindly confirm us, whether the above mentioned telephone number is right and also please reply with your available time.

Miły Pan z Comodo zadzwonił. Przedstawił się po angielsku, że dzwonił z Comodo i … poprosił do telefonu osobę która była podana w formularzu. Uwaga, jeżeli tej osoby nie ma w biurze, to można podać w tej pierwszej rozmowie numer bezpośredni (np. komórkę) do tej osoby i wtedy dzwonią po raz kolejny już do konkretnej osoby np. prezesa (tej osoby, która była podana w formularzu). Czyli pierwsze połączenie musi być na numer podany w zgłoszeniu, ale potem w rozmowie można podać kolejny numer.

Rozmowa wyglądała mniej więcej tak:

Comodo: Hello I’m calling from Comodo

Ja: Hello, I’m X Y

Comodo: Could You confirm your company name and domain name ?

Ja: Comany is Smarthost Sp. z o.o. and domain is: „smarthost dot pi el”

Comodo: Do you accept therms of service?

Ja: Yes, I do accept.

Comodo: Ok, thank You, bye

Osoba która dzwoniła mówiła bardzo wolno i wyraźnie. I miała raczej egzotyczny akcent. Połączenie jest z numeru zastrzeżonego.

Telefon do firmy, był ostatnim punktem weryfikacji, po nim dostaliśmy potwierdzenie, że certyfikat EV zostanie wydany „today”. Czyli wystarczy poczekać, chyba, że … czytaj niżej.

Pamiętajcie o rekordzie CAA w systemie DNS

Jakiś czasem temu pojawił się w systemie DNS nowy rekord o nazwie CAA. Rekord ten odpowiada za informację, kto może wystawić certyfikat SSL dla naszej domeny. Rekord może mieć postać np. „DigiCert” dla certyfikatów marki RapidSSL. I teraz może się pojawić kłopot – gdy generujecie certyfikat marki Comodo, to … nawet po przejściu poprawnej weryfikacji certyfikatu nie dostaniecie, bo jego wydanie jest zablokowane w waszym systemie. Oczywiście być może rekordu CAA nie macie, albo macie ustawione właśnie na „Comodo”, ale jednak warto to sprawdzić. Warto jest mieć to na uwadze starając się o certyfikat EV.

Cieszymy się z możliwości wyświetlenia nazwy firmy obok ikony kłódki

Ufff i to koniec. Jak przyjdziecie poprawnie weryfikację, to po prostu firma wyśle Wam certyfikat e-mailem. Wtedy pozostaje go jedynie zainstalować na serwerze.

Kupując certyfikat EV (podobnie jak DV) dla domeny np. domena-klienta.pl dostaniecie też w standardzie certyfikat obejmujący też domenę z przedrostkiem www: www.domena-klienta.pl

Czy warto mieć certyfikat EV?

Wizerunek jest bezcenny. Cena certyfikatu SSL typu EV to koszt promocyjny: 499 zł netto rocznie (przedłużenie po roku kosztuje 999 zł netto). Trzeba się też lekko spocić przy pracy z weryfikacją. Ale czego nie robi się dla wizerunku 😉

Wojciech Babicz

Dodaj komentarz