EV-Zertifikate bieten die umfassendste Sicherheitsüberprüfung und gelten als die vertrauenswürdigsten Zertifikate für Websites. Dank der detaillierten Validierung ist für die Besucher einer Webseite sofort ersichtlich, dass eine sichere Verbindung besteht und welches Unternehmen hinter der Website steht.
Ausstellungsdauer: ca. 5–7 Tage
Besonderheiten bei Sectigo und seinen Subbrands (positiveSSL, instantSSL)
Bei der Beantragung eines OV- oder EV-Zertifikats von Sectigo ist es erforderlich, online dem Sectigo Certificate Subscriber Agreement zuzustimmen. Der administrative Kontakt erhält hierzu eine E-Mail mit einem entsprechenden Bestätigungslink.
Überprüfungen im Validierungsprozess
Die Ausstellung eines EV-Zertifikats umfasst mehrere Prüfungen:
- Verifizierung, ob der Antragsteller die Kontrolle über die Domain besitzt
- Bestätigung der rechtmäßigen Existenz des Unternehmens
- Prüfung, ob der Antragsteller berechtigt ist, das Zertifikat im Namen des Unternehmens zu beantragen
Im Vergleich zu OV-Zertifikaten erfolgt die Überprüfung deutlich strenger, um eine maximale Vertrauenswürdigkeit sicherzustellen.
Ablauf der Validierung
1. Nachweis der Domain-Inhaberschaft
Die CA überprüft anhand einer der folgenden Methoden, ob der Antragsteller die Domain kontrolliert:
- E-Mail-Verifizierung
- DNS-Eintrag
- Datei-Authentifizierung
2. Prüfung der Unternehmensregistrierung
Das Unternehmen wird anhand eines Handelsregistereintrags oder vergleichbarer Register überprüft. Hierbei müssen Firmenname und Adresse mit den Angaben im Zertifikatsantrag übereinstimmen.
Wichtig:
- Der Handelsregistereintrag muss zum Zeitpunkt der Prüfung aktuell sein.
- Falls die Unternehmensdaten im Zertifikatsantrag abweichen, kann die CA weitere Nachweise anfordern.
3. Telefonische Verifizierung (Verification Calls)
Ein wesentlicher Bestandteil der EV-Validierung ist eine dreistufige telefonische Überprüfung. Die CA verwendet hierfür eine in einem offiziellen Verzeichnis eingetragene Telefonnummer des Unternehmens.
Da häufig die zentrale Unternehmensnummer in Verzeichnissen gelistet ist, sollte die Telefonzentrale über die bevorstehenden Anrufe informiert sein. Die Gespräche erfolgen in der Regel auf Englisch und während der regulären Geschäftszeiten.
- Erster Anruf: Bestätigung, dass die im Antrag genannte Kontaktperson tatsächlich im Unternehmen tätig ist.
- Zweiter Anruf: Gespräch mit einem Vorgesetzten zur Verifizierung der Berechtigung des Antragstellers.
- Dritter Anruf: Letzte Bestätigung mit dem eigentlichen Ansprechpartner, um die Zertifikatsbestellung abzuschließen.
Falls der Ansprechpartner nicht erreichbar ist, versucht die CA mehrfach, Kontakt aufzunehmen. Sollte dies nicht gelingen, erhält der Antragsteller eine E-Mail mit weiteren Anweisungen.
Hinweis:
- Die im öffentlichen Telefonverzeichnis hinterlegte Nummer muss aktuell sein.
- Falls Abweichungen bestehen, kann die CA als zusätzlichen Nachweis eine Telefonrechnung anfordern.
- Unternehmensadressen müssen physisch existieren – Postfachadressen sind nicht zulässig.
Option zur Terminvereinbarung für den Verifikationsanruf
DigiCert bietet die Möglichkeit, einen festen Termin für die telefonische Überprüfung zu vereinbaren.
So buchst du einen Termin:
- Besuche DigiCerts Buchungsseite.
- Wähle einen passenden Termin.
- Registriere dich mit deinem Namen und der bei der Bestellung verwendeten E-Mail-Adresse.
- Falls möglich, gib die Order-ID an (zu finden im SSL-Manager oder in der Bestätigungs-E-Mail der CA).
Einschränkungen für EV-Zertifikate
EV-Zertifikate werden nicht für folgende Antragsteller ausgestellt:
- Privatpersonen
- Eingetragene Kaufleute (e.K.)
- Gesellschaften bürgerlichen Rechts (GbR)
- Ärzte und Anwälte
Zusätzliche Anforderungen:
- Unternehmen, die weniger als drei Jahre existieren, benötigen unter Umständen eine Bankbestätigung.
- Öffentliche Einrichtungen (z. B. Städte, Behörden, Schulen) müssen möglicherweise eine schriftliche Bestätigung mit offiziellem Briefkopf und Stempel einreichen.