Verifiointi

Varmenteisiin liittyvä verifiointi

Varmenteen ostamisen jälkeen käynnistyy verifiointiprosessi, joka tehdään meillä Wesentralla Suomesta. Verifiointispesialistimme tekevät varmennetta varten tarvittavat tarkastukset julkisista tietolähteistä ja soittavat varmistukseen tarvittavat puhelut työaikaan ja suomenkielellä.

Kun varmenne on ostettu ja asiakastiedot kirjattu, lähettää Entrust asiakkaalle sähköpostia. Kun kyseessä on esimerkiksi uusi asiakas ja uusi domain, saa Authorizing Contactiksi kirjattu henkilö sähköpostia, jossa on linkki hyväksyttäviin Subscription Agreement ja Consent Form -lomakkeisiin.

Me Wesentralla jatkamme tästä eteenpäin ja suoritamme verifiointia varten tarvittavat tietojen tarkastukset. Tiedot tarkastetaan virallisista, hyväksytyistä tietolähteistä, esimerkiksi yrityksen omilta kotisivuilta löytyvät tiedot eivät ole riittäviä. Lue, mitä EV-varmenteiden, OV-varmenteiden ja domainin verifiointi käytännössä tarkoittaa!

OV-verifiointi ja sen vaiheet

Business check – yrityksen tietojen todentaminen. Etsimme yrityksen tai organisaation virallisen, laillisen nimen, rekisteröintitunnuksen (Y-tunnus), tilan (onko yritys aktiivinen, lopetettu/ei toiminnassa), osoitetiedot yms. Tällä varmistetaan se, että laillinen ja olemassaoleva organisaatio on hakemuksen takana. Nämä tiedot tyypillisesti löytyvät Suomessa Yritys- ja yhteisötietojärjestelmästä (YTJ). Yrityksen nimen tulee virallinen, rekisteröity toiminimi.

Domain check – tarkastamme kyseisen domainin omistussuhteen sekä rekisteröintitiedot. Näiden omistajuuden on oltava todennettavissa jollain kolmesta vaihtoehdosta: Email, Web Server tai DNS.

Authorizing Contact check – tarkastamme, että henkilö, joka on nimetty Authorization Contactiksi, on yrityksen/organisaation palveluksessa. Soitamme tälle henkilölle käyttäen kolmannen osapuolen numeroa ja varmistamme puhelimitse, että hän on hyväksynyt online subscription agreement ja consent form -lomakkeet sekä vahvistaa, että tekniset yhteyshenkilöt voivat toimia rooleissaan.

Tämä tarkastus voidaan tehdä myös sähköpostitse, jos Authorization Contact -henkilön sähköpostiosoitteen domain-osa on sama kuin esim. YTJ:n tiedoissa olevat www-sivun osoite.

EV-verifiointi ja sen vaiheet

EV-varmenteen osalta verifiointi on laajempi kokonaisuus. Siinä tehdään OV-varmenteen verifiointivaiheiden lisäksi Higher Authority employment check, eli tarkastetaan, että Higher Authorityksi ilmoitettu henkilö on ko. organisaation palveluksessa ja hänellä on oikeus valtuuttaa EV-hakemuksessa ilmoitetut henkilöt hoitamaan heille määriteltyä tehtävää varmenteiden hallinnassa. Tämä tieto haetaan käyttäen virallisia yritysrekistereitä tai soittamalla kolmannen osapuolen kautta löydettyyn keskuksen numeroon tai henkilöstöhallintoon, josta suullisesti varmistetaan em. henkilön asema organisaatiossa. Wesentra käyttää kolmannen osapuolen rekisterin mukaista puhelinnumeroa (YTJ, Hoovers, D&B) ja soittaa Higher Authority -roolissa olevalle henkilölle ja varmistaa puhelimitse, että Contract Signer/ Authorization Contact rooleihin nimetyt henkilöt ovat oikeutettuja toimimaan kyseisissä rooleissa sekä heidän yhteystietojensa oikeellisuuden.

Tämän lisäksi tehdään Contract Signer/ Authorization Contact employment check, missä varmistetaan, että Higher Authorityn valtuuttama henkilö (Contract Signer/ Authorization Contact), on vastaanottanut ja hyväksynyt hänelle lähetetyn hyväksymislomakkeen (Subscription Agreement ja Online Consent Form). Samalla varmistetaan, että hän valtuuttaa hakemuksessa määritellyn henkilön hallinnoimaan/hakemaan varmenteita organisaation puolesta (Certificate Requester) ja toimimaan hänelle määritellyssä roolissa varmenteiden hallinnassa.

Kun verifiointi on tehty meillä Wesentralla, toimitamme tarvittavat dokumentit Entrustille, missä tiedot auditoidaan ja verifiointi hyväksytään. Tämän jälkeen varmenteita päästään tekemään.

Domainin verifiointi

1. Email
Domainin hyväksymiseksi lähetetään automaattinen sähköposti lisättävän domainin administrator@, admin@, postmaster@, hostmaster@, tai webmaster@ – sähköpostiosoitteeseen. Jonkun em. vastaanottajista on avattava sähköpostissa oleva hyväksymislinkki ja hyväksyttävä domain. Tämän jälkeen domain on Portaalissa välittömästi käytettävissä.

2. Web Server
Domainin hyväksymiseksi Portaalista lähetetään pieni tiedosto ja ohjeet sen sijoittamiseksi web serverille kyseisen domainin osoitteen alle. Tiedoston olemassaoloa ja sisältöä tarkastetaan automaattisesti n. 20 minuutin välein ja kun se havaitaan ja sisältö on oikea, niin domain hyväksytään ja se on heti käytettävissä Portaalissa. Kokemukseen perustuen hyväksymiseen voi mennä n. 1-2 tuntia nimipalvelulisäyksen jälkeen.

  • Huom! Vaikutukset 1.12.2021 alkaen domaineihin, jotka on verifioitu käyttäen Web Server metodia:

    • Domaineille ei voida myöntää Wildcard-varmenteita (*.esimerkki.com)
    • Domainin alidomaineille ei voida myöntää lainkaan SSL/TLS-varmenteita

    Luethan aiheesta lisää blogistamme.

3. DNS
Domainin hyväksymiseksi saat Portaalista teksti-/numerosarjan, joka on lisättävä domainin DNS:n TXT-tietueeseen. DNS-tietuetta pollataan n. 60 minuutin välein ja kun oikea teksti-/numerosarja löytyy, domain hyväksytään ja on Portaalissa välittömästi käytettävissä. HUOM! random-arvo laitetaan osoitteelle _pki-validation.

4. DNS TXT CONTACT
Voit lisätä halutun sähköpostiosoitteen DNS TXT tietueelle domainin verifiointia varten. TXT-tietueelle lisättävän sähköpostiosoitteen tulee olla muodossa:

  • _validation-contactemail.example.com domainowner@example.com
    • ’_validation-contactemail’ tulee olla lisättynä TXT-tietueelle
  • DNS tietueen sähköpostiosoitteet eivät ole automaattisesti käytössä portaalissa. Jos haluat nämä tavat käyttöön, niin laita meille sähköpostia osoitteeseen verification (at) wesentra.com ja pyyntö lisätä tämä ominaisuus portaaliin.
  • DNS verifiointimetodiin verrattuna tämä tapa on helpompi, koska sinun tarvitsee lisätä osoite DNS tietoihin ainoastaan yhden kerran ja voit jättää tiedon sinne. Jatkossa domainin verifiointi sähköpostitse onnistuu tuon kerran lisätyn sähköpostiosoitteen kautta.

5. DNS CAA Contact
Sähköposti CAA kontaktitiedolle -verfiointitapa tarkoittaa sitä, että domainin DNS CAA tietueelle lisätään tarvittava sähköpostiosoite, jota voidaan jatkossa käyttää domainin verifiointiin.

  • CAA-tietueelle lisättävän sähköpostiosoitteen tulee olla esimerkiksi muodossa:
    CAA 0 contactemail domainowner@example.com

    • ’contactemail’ tulee olla lisättynä CAA-tietueelle
  • DNS tietueen sähköpostiosoitteet eivät ole automaattisesti käytössä portaalissa. Jos haluat nämä tavat käyttöön, niin laita meille sähköpostia osoitteeseen verification (at) wesentra.com ja pyyntö lisätä tämä ominaisuus portaaliin.
  • DNS verifiointimetodiin verrattuna tämä tapa on helpompi, koska sinun tarvitsee lisätä osoite DNS tietoihin ainoastaan yhden kerran ja voit jättää tiedon sinne. Jatkossa domainin verifiointi sähköpostitse onnistuu tuon kerran lisätyn sähköpostiosoitteen kautta.