EV
Extended Validation
Spezifikation durch das CA/Browser Forum
Das CA/Browser Forum spezifiziert EV SSL Zertifikate mit 2 primären Zielen. Neben den primären Zielen gibt es 3 sekundäre Ziele.
primäre Verwendungszwecke
- Dem Nutzer eines Browsers soll das Zertifikat eine begründete Zusicherung liefern, dass die Webseite, die er besucht, von dem im Zertifikat genannten Unternehmen betrieben wird. Das Zertifikat enthält zu diesem Zweck Namen, Adresse, Gerichtsstand oder Registeramt/Amtsgericht und Registernummer des Unternehmens, gegebenenfalls werden noch weitere Informationen zum Unternehmen genannt.
- Das Zertifikat soll der Verschlüsselung der Kommunikation mit der Webseite dienen.
sekundäre Verwendungszwecke
EV Zertifikate und die mit ihrer Ausstellung verbundene zuverlässig Prüfung der Unternehmensinformationen durch eine dritte Partei, sollen Identitätsbetrug erschweren. Daraus ergeben sich die folgenden Ziele:
- das Aufsitzen eines Phishing und Identitätsbetrug erschweren.
- Unterstützung von Unternehmen, die Ziel von Phishing oder Identitätbetrugs Attacken sein könnten, sich selbst gegen Nutzern besser ausweisen zu können.
- Unterstützung der Polizeibehörden bei der Untersuchung eben solcher Attacken.
Ausgeschlossene Verwendungszwecke
EV Zertifikate fokussieren sich nur auf die Identifikation des im Zertifikat genannten Subjekts. Ein bestimmtes einzuhaltendes Verhalten ist nicht Ausweiszweck des Zertifikats. Daher liefern EV Zertifikate keine Versicherung und Zusicherung:
- dass die in den Zertifikaten genannten Unternehmen aktiv Geschäfte betreiben
- dass die Subjekte im Betreff geltendes Recht erfüllen
- dass die im Subjekt genannten Unternehmen vertrauenswürdig, ehrlich oder seriös den eigenen Geschäften nachgehen
- dass es "sicher" ist, mit den genannten Subjekten Handel zu treiben.
Voraussetzungen für die Ausstellung
Für eine erfolgreiche Ausstellung müssen verschiedene Voraussetzungen erfüllt werden:
- Das Unternehmen muss im Handelsregister oder einem vergleichbaren Index aufgeführt werden. Im Falle von Vereinen, Parteien oder Anstalten des öffentlichen Rechts genügt auch ein Auszug des jeweiligen Registers bzw. die Übermittlung des jeweiligen Vertrags mit den Ländern. Hier kann es gegebenenfalls auch zu einer verzögerten Prüfung kommen, da diese Unterlagen für viele CAs aufwändig zu prüfen sind.
- Vom Antragsteller muss eine entsprechend bevollmächtigte Person benannt werden, die die endgültige Ausstellung bestätigen darf.
- Das Unternehmen und der Ansprechpartner müssen über eine Telefonnummer erreichbar sein, die in Registern zu finden sind wie: das-oertliche.de, firmenwissen.de, upik.de oder auch www.dnb.com.
- Die zu integrierende(n) Domain(s) müssen dem Unternehmen gehören (Whois-Abgleich mit den Unternehmensdaten) oder der Inhaber muss per Domain-Control-Validation (DCV) der Verwendung zustimmen.
Es kann vorkommen, dass die gewonnenen Informationen nicht aktuell genug, oder im Falle von Neugründungen noch nicht vorhanden sind. In solchen Fällen wird ein sogenannter Professional Opinion Letter angefordert, in dem notariell oder von anderer Stelle die Existenz des Unternehmens und die Richtigkeit der Daten bestätigt wird. Andere Unternehmen fordern alternativ auch Kontoauszüge, Abrechnungen des Energieanbieter oder einer Telefongesellschaft an.