Varmenteisiin liittyvä verifiointi
Varmenteen ostamisen jälkeen käynnistyy verifiointiprosessi, joka tehdään meillä Wesentralla Suomesta. Verifiointispesialistimme tekevät varmennetta varten tarvittavat tarkastukset julkisista tietolähteistä ja soittavat varmistukseen tarvittavat puhelut työaikaan ja suomenkielellä.
Kun varmenne on ostettu ja asiakastiedot kirjattu, lähettää Entrust asiakkaalle sähköpostia. Kun kyseessä on esimerkiksi uusi asiakas ja uusi domain, saa Authorizing Contactiksi kirjattu henkilö sähköpostia, jossa on linkki hyväksyttäviin Subscription Agreement ja Consent Form -lomakkeisiin.
Me Wesentralla jatkamme tästä eteenpäin ja suoritamme verifiointia varten tarvittavat tietojen tarkastukset. Tiedot tarkastetaan virallisista, hyväksytyistä tietolähteistä, esimerkiksi yrityksen omilta kotisivuilta löytyvät tiedot eivät ole riittäviä. Lue, mitä EV-varmenteiden, OV-varmenteiden ja domainin verifiointi käytännössä tarkoittaa!
OV-verifiointi ja sen vaiheet
Business check – yrityksen tietojen todentaminen. Etsimme yrityksen tai organisaation virallisen, laillisen nimen, rekisteröintitunnuksen (Y-tunnus), tilan (onko yritys aktiivinen, lopetettu/ei toiminnassa), osoitetiedot yms. Tällä varmistetaan se, että laillinen ja olemassaoleva organisaatio on hakemuksen takana. Nämä tiedot tyypillisesti löytyvät Suomessa Yritys- ja yhteisötietojärjestelmästä (YTJ). Yrityksen nimen tulee virallinen, rekisteröity toiminimi.
Domain check – tarkastamme kyseisen domainin omistussuhteen sekä rekisteröintitiedot. Näiden omistajuuden on oltava todennettavissa jollain kolmesta vaihtoehdosta: Email, Web Server tai DNS.
Authorizing Contact check – tarkastamme, että henkilö, joka on nimetty Authorization Contactiksi, on yrityksen/organisaation palveluksessa. Soitamme tälle henkilölle käyttäen kolmannen osapuolen numeroa ja varmistamme puhelimitse, että hän on hyväksynyt online subscription agreement ja consent form -lomakkeet sekä vahvistaa, että tekniset yhteyshenkilöt voivat toimia rooleissaan.
Tämä tarkastus voidaan tehdä myös sähköpostitse, jos Authorization Contact -henkilön sähköpostiosoitteen domain-osa on sama kuin esim. YTJ:n tiedoissa olevat www-sivun osoite.
EV-verifiointi ja sen vaiheet
EV-varmenteen osalta verifiointi on laajempi kokonaisuus. Siinä tehdään OV-varmenteen verifiointivaiheiden lisäksi Higher Authority employment check, eli tarkastetaan, että Higher Authorityksi ilmoitettu henkilö on ko. organisaation palveluksessa ja hänellä on oikeus valtuuttaa EV-hakemuksessa ilmoitetut henkilöt hoitamaan heille määriteltyä tehtävää varmenteiden hallinnassa. Tämä tieto haetaan käyttäen virallisia yritysrekistereitä tai soittamalla kolmannen osapuolen kautta löydettyyn keskuksen numeroon tai henkilöstöhallintoon, josta suullisesti varmistetaan em. henkilön asema organisaatiossa. Wesentra käyttää kolmannen osapuolen rekisterin mukaista puhelinnumeroa (YTJ, Hoovers, D&B) ja soittaa Higher Authority -roolissa olevalle henkilölle ja varmistaa puhelimitse, että Contract Signer/ Authorization Contact rooleihin nimetyt henkilöt ovat oikeutettuja toimimaan kyseisissä rooleissa sekä heidän yhteystietojensa oikeellisuuden.
Tämän lisäksi tehdään Contract Signer/ Authorization Contact employment check, missä varmistetaan, että Higher Authorityn valtuuttama henkilö (Contract Signer/ Authorization Contact), on vastaanottanut ja hyväksynyt hänelle lähetetyn hyväksymislomakkeen (Subscription Agreement ja Online Consent Form). Samalla varmistetaan, että hän valtuuttaa hakemuksessa määritellyn henkilön hallinnoimaan/hakemaan varmenteita organisaation puolesta (Certificate Requester) ja toimimaan hänelle määritellyssä roolissa varmenteiden hallinnassa.
Kun verifiointi on tehty meillä Wesentralla, toimitamme tarvittavat dokumentit Entrustille, missä tiedot auditoidaan ja verifiointi hyväksytään. Tämän jälkeen varmenteita päästään tekemään.
Domainin verifiointi
1. Email
Domainin hyväksymiseksi lähetetään automaattinen sähköposti lisättävän domainin administrator@, admin@, postmaster@, hostmaster@, tai webmaster@ – sähköpostiosoitteeseen. Jonkun em. vastaanottajista on avattava sähköpostissa oleva hyväksymislinkki ja hyväksyttävä domain. Tämän jälkeen domain on Portaalissa välittömästi käytettävissä.
2. Web Server
Domainin hyväksymiseksi Portaalista lähetetään pieni tiedosto ja ohjeet sen sijoittamiseksi web serverille kyseisen domainin osoitteen alle. Tiedoston olemassaoloa ja sisältöä tarkastetaan automaattisesti n. 20 minuutin välein ja kun se havaitaan ja sisältö on oikea, niin domain hyväksytään ja se on heti käytettävissä Portaalissa. Kokemukseen perustuen hyväksymiseen voi mennä n. 1-2 tuntia nimipalvelulisäyksen jälkeen.
- Huom! Vaikutukset 1.12.2021 alkaen domaineihin, jotka on verifioitu käyttäen Web Server metodia:
- Domaineille ei voida myöntää Wildcard-varmenteita (*.esimerkki.com)
- Domainin alidomaineille ei voida myöntää lainkaan SSL/TLS-varmenteita
Luethan aiheesta lisää blogistamme.
3. DNS
Domainin hyväksymiseksi saat Portaalista teksti-/numerosarjan, joka on lisättävä domainin DNS:n TXT-tietueeseen. DNS-tietuetta pollataan n. 60 minuutin välein ja kun oikea teksti-/numerosarja löytyy, domain hyväksytään ja on Portaalissa välittömästi käytettävissä. HUOM! random-arvo laitetaan osoitteelle _pki-validation.
4. DNS TXT CONTACT
Voit lisätä halutun sähköpostiosoitteen DNS TXT tietueelle domainin verifiointia varten. TXT-tietueelle lisättävän sähköpostiosoitteen tulee olla muodossa:
- _validation-contactemail.example.com domainowner@example.com
- ’_validation-contactemail’ tulee olla lisättynä TXT-tietueelle
- DNS tietueen sähköpostiosoitteet eivät ole automaattisesti käytössä portaalissa. Jos haluat nämä tavat käyttöön, niin laita meille sähköpostia osoitteeseen verification (at) wesentra.com ja pyyntö lisätä tämä ominaisuus portaaliin.
- DNS verifiointimetodiin verrattuna tämä tapa on helpompi, koska sinun tarvitsee lisätä osoite DNS tietoihin ainoastaan yhden kerran ja voit jättää tiedon sinne. Jatkossa domainin verifiointi sähköpostitse onnistuu tuon kerran lisätyn sähköpostiosoitteen kautta.
5. DNS CAA Contact
Sähköposti CAA kontaktitiedolle -verfiointitapa tarkoittaa sitä, että domainin DNS CAA tietueelle lisätään tarvittava sähköpostiosoite, jota voidaan jatkossa käyttää domainin verifiointiin.
- CAA-tietueelle lisättävän sähköpostiosoitteen tulee olla esimerkiksi muodossa:
CAA 0 contactemail domainowner@example.com- ’contactemail’ tulee olla lisättynä CAA-tietueelle
- DNS tietueen sähköpostiosoitteet eivät ole automaattisesti käytössä portaalissa. Jos haluat nämä tavat käyttöön, niin laita meille sähköpostia osoitteeseen verification (at) wesentra.com ja pyyntö lisätä tämä ominaisuus portaaliin.
- DNS verifiointimetodiin verrattuna tämä tapa on helpompi, koska sinun tarvitsee lisätä osoite DNS tietoihin ainoastaan yhden kerran ja voit jättää tiedon sinne. Jatkossa domainin verifiointi sähköpostitse onnistuu tuon kerran lisätyn sähköpostiosoitteen kautta.
Varmenteet
Oikeanlaisen varmenteen valintaan kannattaa kiinnittää huomiota. Mitä eroa eri varmennetyypeillä on?
Lue lisääTietoa meistä
Wesentra on ketterä, luotettava ja asiantunteva tietoturvatalo, jonka missiona on pitää yritykset ja ihmiset turvassa digitaalisessa maailmassa. Lue lisää siitä, mitä teemme ja mistä kaikki lähti!
Lue lisääSaatat olla kiinnostunut myös näistä:
Muutos domainien Web Server -verifiointimetodiin 12/2021
Helena Puttonen
Domainien verifioinnissa on käytössä neljä eri CA/Browser foorumin standardeja noudattavaa metodia (Email, Web Server, DNS sekä Manual). Tässä blogikirjoituksessa keskitymme Web Server-verifiointimetodiin ja siihen liittyviin muutoksiin. Lue lisää Helenan blogikirjoituksesta!
Jatka lukemistaMuutoksia Domainien verifioinnissa
Harri Tuuva
Olemme tiedottaneet alkukevään aikana asiakkaitamme muutoksesta verifioinnissa. Tässä myös aiheeseen liittyvä kooste blogikirjoituksen muodossa. Tausta – CA/Browser Forumin päätös Kaikkia varmentajia säätelevä CA/Browser Forum on […]
Jatka lukemistaMitä verifiointiasiantuntija tekee työkseen?
Aika usein ihmiset keskustelevat työelämästään ja työtilanteestaan. Näinä päivinä keskusteluun on varmasti tullut mukaan myös etätyökuvioista päivittely. Toimin kolmatta vuotta Wesentralla verifiointiasiantuntijan tehtävissä ja olenkin […]
Jatka lukemistaMuutoksia uudelleenverifiointiin ja varmenteiden voimassaoloaikoihin
Leena Kuuri
Nyt OV-tason SSL-varmenteita tehdään yleensä 1, 2 tai 3 vuodeksi. 1.3.2018 alkaen näitä voidaan tehdä vain 1 tai 2 vuodeksi. Alla olevassa artikkelissa on selitetty […]
Jatka lukemistaSSL/TLS Varmenne, mitä tarkoittaa verifiointi?
Markku Helli
Salaus, siitä lähtee verkkoliikenteen turvaaminen Kun surffaamme internetin ihmeellisessä maailmassa sivustoilta toisille, törmäämme väistämättä sivustoihin joista löytyy lukon kuva. Tämä lukko kertoo Sinulle, että olet […]
Jatka lukemistaUudet domainien verifiointitavat käyttöön
Leena Kuuri
Vuonna 2018 poistettiin käytöstä Suomessa yleisesti käytetty verifiointimetodi, joka perustui whois-tietoihin kirjattuun domainin omistajaan. Samaan aikaan GDPR aiheutti sen, että whois-tietoihin kirjatut yhteystiedot eivät ole […]
Jatka lukemista