authentifizierungsleitfaden

Transcription

Website-Sicherheitslösungen
AUTHENTIFIZIERUNGSLEITFADEN
Inhaltsverzeichnis
Einleitung....................................................................................................................................................................... 3
Zertifikatstypen ............................................................................................................................................................ 4
Authentifizierungsprodukte im Überblick................................................................................................................... 5
Sperrlisten von US-Regierungsbehörden.................................................................................................................... 6
Unternehmensauthentifizierung...............................................................................................................................7-8
Gerichtsbezirk
Rechtsnachweis mit Beispielen
Domänenauthentifizierung..................................................................................................................................... 9-10
WHOIS-Abfragen
Anforderungen in Bezug auf die Domäne
Alternative Genehmigungsmethoden
Überprüfung der Organisationseinheit / Bestätigung der Betriebsexistenz..........................................................11
Adressüberprüfung......................................................................................................................................................12
Aus einer Drittquelle bezogene Telefonnummer................................................................................................. 13-14
Anforderungen in Bezug auf den Ansprechpartner..................................................................................................15
Bestätigung des Angestelltenverhältnisses und der Befugnisse bei EV.................................................................16
Verifizierungsanruf/Zustimmungsvereinbarung................................................................................................. 17-18
Zertifikate mit Domänenvalidierung..........................................................................................................................19
Symantec Safe Site......................................................................................................................................................20
Gutachten.....................................................................................................................................................................21
Bewährte Verfahren.....................................................................................................................................................22
Informationsquellen für Partner................................................................................................................................23
Kontaktangaben...........................................................................................................................................................24
Einleitung
Bei Symantec arbeiten wir unablässig an der Entwicklung von
Innovationen und Technologien zum Schutz weltweit genutzter
Informationen vor immer neuen Bedrohungen. Im Rahmen
unserer Förderung von Innovationen ist Authentifizierung ein
wichtiger Bestandteil unseres Portfolios.
Symantec hat die Mindestanforderungen des CertificationAuthority-Browser-Forums (CA/B-Forums) vorangetrieben und
umgesetzt. Damit wird die Sicherheit rund um SSL-Vorgänge
und Authentifizierungsvorgänge weiter gestärkt – für größeren
Schutz und größeres Vertrauen bei Online-Transaktionen. Mit den
Mindestanforderungen des CA/B-Forums, die zur Minimierung
des Risikos und zur Steigerung des Nutzervertrauens beitragen,
werden die Standards ebenso wie die Authentifizierungssicherheit
bei allen Zertifizierungsstellen angehoben.
Unsere bewährten Authentifizierungs- und
Autorisierungsverfahren helfen Händlern beim Ausbau
ihres Online-Geschäfts, denn durch die Verifizierung sinkt
das Betrugsrisiko, und das führt zu einer Steigerung des
Kundenvertrauens. Die Verfahren sind das Ergebnis des
jahrelangen Betriebs einer vertrauenswürdigen InternetInfrastruktur und der Authentifizierung von über einer halben
Million Unternehmen.
Als geschätzter autorisierter Partner im Partnerprogramm für
Website-Sicherheit sollten Sie unsere Authentifizierungsverfahren
genau verstehen. Sie sichern damit Ihre Geschäftskontinuität
und Ihren Verkaufserfolg. Symantec hat diesen Leitfaden zu
Website-Sicherheitslösungen zusammengestellt, damit Sie die
Leistungsstärke und Vertrauenswürdigkeit des Verfahrens erkennen
und leichter mit dem Authentifizierungsvorgang umgehen können.
Einzelpersonen und Unternehmen leiten die Authentifizierung ein,
indem sie beim Online-Registrierungsvorgang Informationen an
Symantec übermitteln. Je nach dem angeforderten Zertifikatstyp
vergewissert sich Symantec gegebenenfalls, dass bestimmte der
folgenden Aspekte zutreffen:
• Das Unternehmen und die administrativen Ansprechpartner
sind nicht auf Sperrlisten von US-Regierungsbehörden
eingetragen (beispielsweise Denied Countries List, Denied
Persons List, Denied Entities List, US Treasury Department List)
und unterliegen keinerlei Embargos, Sanktionen oder anderen
Beschränkungen.
• Das Unternehmen verfügt über amtliche Bescheinigungen,
beispielsweise eine Gründungsurkunde oder Geschäftslizenz.
• Das Unternehmen ist Inhaber des Domänennamens, für den das
Zertifikat ausgestellt wird, ODER hat vom Inhaber der Domäne
einen Rechtsanspruch auf die Nutzung des Domänennamens
erworben.
• Bei den Ansprechpartnern im Unternehmen kann durch eine
aus einer Drittquelle bezogene Telefonnummer der Status als
Angestellte des Unternehmens, von dem das Zertifikat anfordert
wird, bestätigt werden.
• Das Unternehmen hat seinen Geschäftssitz an einer bestätigten
physischen Adresse.
• Darüber hinaus führt Symantec bei allen Auftragsdaten, die
nicht mit den übermittelten Informationen übereinstimmen,
eine sorgfältige Überprüfung durch.
Dieser umfassende Leitfaden bietet Ihnen ausführliche,
übersichtliche Informationen zum gesamten Ablauf von der
Registrierung bis zur Zertifikatsausstellung.
<< Zurück 3 Weiter >>
Vertrauliche und urheberrechtlich geschützte Informationen von Symantec
Die Richtlinien unterliegen einer laufenden Beurteilung durch Symantec und können jederzeit ohne Vorankündigung geändert werden.
Zurück zum Inhaltsverzeichnis
Zertifikatstypen
Über das Symantec-Partnerprogramm für WebsiteSicherheit haben Sie Zugriff auf hochgradig anerkannte
Sicherheitslösungen. Das Partnerprogramm bietet Ihnen
branchenführende Produkte im Bereich Website-Sicherheit
und SSL. Dabei stehen Premiummarken ebenso wie
preisgünstige Marken zur Verfügung.
In diesem Leitfaden werden die im Partnerprogramm für
Website-Sicherheit angebotenen Produkte in fünf Kategorien
unterteilt beschrieben:
3. Bei SSL-Zertifikaten mit erweiterter Validierung (EV)
kommt eine striktere Authentifizierung mit dem höchsten
aktuell in der Branche verfügbaren Sicherheitsstandard
zum Einsatz.
Angebotene Produkte mit erweiterter Validierung:
• Symantec Secure Site mit EV
• Symantec Secure Site Pro mit EV
• Thawte SSL-Webserver mit EV
• GeoTrust True Business ID mit EV
1. Bei SSL-Zertifikaten mit Domänenvalidierung
(DV) kommt Verschlüsselung mit ausschließlicher
Authentifizierung der Domäne zum Einsatz; es wird
überprüft, ob der Anforderer Nutzungsrechte für die
Domäne hat.
Angebotene SSL-Produkte mit Domänenvalidierung:
• Thawte SSL123
• GeoTrust QuickSSL Premium
• RapidSSL
2. Bei SSL-Zertifikaten mit Organisationsvalidierung
(OV) kommt eine vollständige Authentifizierung des
Unternehmens zum Einsatz; dabei werden die Identität
des Unternehmens und die Domäneninhaberschaft
geprüft.
Angebotene SSL-Produkte mit Organisationsvalidierung:
• Symantec Secure Site
• Symantec Secure Site Pro
• Symantec Secure Site Wildcard
• GeoTrust True Business ID
• GeoTrust True Business ID Wildcard
• Thawte SSL-Webserver
• Thawte SGC SuperCert
• Thawte Wildcard SSL
4. Bei Code-Signing-IDs kommt eine vollständige
Authentifizierung des Unternehmens zum Einsatz.
Mit der ID wird eine digitale Signatur für die
Authentifizierung der Code-Quelle und die Überprüfung
der Code-Integrität generiert.
Angebotene Code-Signing-Produkte:
• Symantec Code Signing für Unternehmen
• Thawte Code Signing für Unternehmen
• Symantec Code Signing für Einzelpersonen
• Thawte Code Signing für Einzelpersonen
Unser Partnerprogramm bietet
Ihnen branchenführende Produkte
im Bereich Website-Sicherheit und
SSL. Dabei stehen Premiummarken
ebenso wie preisgünstige Marken
zur Verfügung.
5. B
ei Symantec Safe Site wird die Identität überprüft,
und durch das Norton Secured Seal wird bestätigt, dass
der tägliche Malware-Scan für die Website erfolgreich
durchlaufen wurde. Symantec Safe Site bietet keine SSLVerschlüsselung.
Angebotene Produkte aus der Reihe Symantec Safe Site:
• Symantec Safe Site für Unternehmen
• Symantec Safe Site für Einzelpersonen
Safe
Site*
Code Signing
Erweiterte
Validierung
Organisationsvalidierung
Domänenvalidierung*
Thawte SSL123
•
•
•
GeoTrust QuickSSL Premium
•
•
•
RapidSSL
•
•
•
Zustimmungsvereinbarung
Überprüfung
der Ansprechpartner
Bestät. d. Angestelltenverh. u.
d. Befugn. d. Anspr.partn. b. EV
Bestätigung der Telefonnr.
durch eine Drittquelle
Bestätigung der
Geschäftsanschrift
Bestätigung der
Betriebsexistenz
Überprüfung der
Organisationseinheit
Domänenauthentifizierung
Produktname
Organisationsauthentifizierung
Der Authentifizierungsstandard ist je nach Zertifikatkategorie
und Produkttyp unterschiedlich. Wir haben einen
umfassenden Leitfaden zusammengestellt, um den Umfang
der Validierung bei den einzelnen Zertifikaten zu erläutern.
Im Überblick zu den Authentifizierungsprodukten sind die
verschiedenen Varianten der Authentifizierung aufgeführt.
Detaillierte Anleitungen zu den jeweiligen Schritten finden Sie
in den weiteren Abschnitten dieses Leitfadens.
Sperrlisten von
US-Regierungsbehörden
Authentifizierungsprodukte im Überblick
Symantec Secure Site
•
•
•
•
•
•
Symantec Secure Site Pro
•
•
•
•
•
•
Symantec Secure Site Wildcard
•
•
•
•
•
•
GeoTrust True Business ID
•
•
•
•
•
•
GeoTrust True Business ID Wildcard
•
•
•
•
•
•
Thawte SSL-Webserver
•
•
•
•
•
•
Thawte SGC SuperCert
•
•
•
•
•
•
Thawte Wildcard SSL
•
•
•
•
•
Symantec Secure Site mit EV
•
•
•
•
•
•
•
•
•
•
Symantec Secure Site Pro mit EV
•
•
•
•
•
•
•
•
•
•
Thawte SSL-Webserver mit EV
•
•
•
•
•
•
•
•
•
•
GeoTrust True Business ID mit EV
•
•
•
•
•
•
•
•
•
•
•
Symantec Code Signing für Unternehmen
•
•
•
•
•
Thawte Code Signing für Unternehmen
•
•
•
•
•
Symantec Code Signing für Einzelpersonen
•
•
•
•
Thawte Code Signing für Einzelpersonen
•
•
•
•
Symantec Safe Site für Unternehmen
•
Symantec Safe Site für Einzelpersonen
•
•
•
•
•
•
•
•
•
•
•
*Bei diesen Produkten werden spezialisierte Authentifizierungsverfahren angewendet. Wenn Sie weitere Informationen dazu wünschen, können Sie
über das Inhaltsverzeichnis die jeweiligen Abschnitte aufrufen.
Sperrlisten von US-Regierungsbehörden
US-Regierungsbehörden veröffentlichen und aktualisieren die
unten aufgeführten Sperrlisten. In diesen Listen werden – ohne
regionale Beschränkungen – Unternehmen und Einzelpersonen
aufgeführt, mit denen Symantec keine Geschäftstransaktionen
abwickeln darf. Symantec stellt keine Zertifikate für
Unternehmen aus, die als Gesamtorganisation oder vertreten
durch einen im Auftrag genannten Ansprechpartner auf einer
dieser Listen geführt wird. Hier einige Beispiele für Sperrlisten:
• Denied Persons List des Bureau of Industry and Security im
US Department of Commerce:
Die hier erfassten Personen bzw. Organisationen
haben gegen Exportauflagen verstoßen. Die Liste
enthält Angaben zu den Namen und Adressen von
Unternehmen und Einzelpersonen, die keinen Zugang
zu US-Waren erhalten sollen; auch die Gründe dafür
sind jeweils angegeben.
• Denied Entities List des Bureau of Industry and Security im
US Department of Commerce:
Bei den hier erfassten Personen, Ländern und
Organisationen liegt nach Einschätzung der USBehörden ein inakzeptables Risiko vor, dass
Massenvernichtungswaffen oder Flugkörper für den
Einsatz dieser Waffen entwickelt werden könnten.
ist. Die Liste soll die Öffentlichkeit bei der Einhaltung der
verschiedenen Sanktionsprogramme unterstützen, die von der
Exportkontrollbehörde OFAC (Office of Foreign Assets Control)
verwaltet werden.
Symantec wickelt außerdem keine Geschäftstransaktionen mit
Kunden aus abgelehnten Ländern (Denied Countries) ab, an die
US-Unternehmen sowie deren Auslandsniederlassungen gemäß
den Auflagen von US-Regierungsbehörden bestimmte Produkte
nicht liefern dürfen.
Die Liste dieser Länder kann jederzeit geändert werden; aktuell
umfasst sie die folgenden Einträge:
• Kuba
• Iran
• Syrien
• Sudan
• Nordkorea
• List of Specially Designated Nationals and Blocked Persons
des US Treasury Department:
Bei den hier erfassten Personen handelt es sich um
speziell genannte Staatsbürger und sonstige Personen,
deren Eigentum von US-Regierungsbehörden gesperrt
Unternehmensauthentifizierung
Im Rahmen des bei Symantec durchgeführten
Authentifizierungsvorgangs überprüfen wir den bei der Registrierung
angegebenen Unternehmensnamen, da dieser auf dem SSL-Zertifikat
vermerkt wird. Bei dem Unternehmen, das ein Zertifikat anfordert,
muss es sich um eine aktive Organisation handeln – bestätigt durch
die Regierungsbehörde, die für die Registrierung von Unternehmen in
dem bei der Zertifikatsanforderung angegebenen Gerichtsbezirk (Ort,
Bundesland/Kanton/Region, Land) zuständig ist.
Der Name des registrierten Unternehmens muss exakt mit dem
bestätigten Namen übereinstimmen. Falsche Schreibweisen, nicht
registrierte Akronyme oder Abkürzungen des Unternehmensnamens
sind unzulässig.
Wichtiger Hinweis: Bei Zertifikaten mit erweiterter Validierung
muss der Name des registrierten Unternehmens einschließlich
kennzeichnender Angaben (wie Inc, Corp, LLC, Ltd, Pty Ltd, AG, KG,
GmbH usw.) exakt mit dem bestätigten Namen übereinstimmen.
Symantec hat weltweit Zugang zu zahlreichen Behördenressourcen.
In den meisten Fällen findet Symantec in einem der Archive von
staatlichen Stellen oder in den Datenbanken privater Anbieter ein als
Rechtsnachweis taugliches Dokument.
Hier einige Beispiele für Regierungsbehörden, auf deren
Datenbestände zugegriffen werden kann:
• California Secretary of State (Innenminister des US-Bundesstaats
Kalifornien; Angaben zu US-Unternehmen, die in Kalifornien
registriert sind)
• City of Chicago (Stadtverwaltung von Chicago im US-Bundesstaat
Illinois; Daten zu den in Chicago ausgestellten Geschäftslizenzen)
• National Credit Union Administration (USFinanzaufsichtsbehörde)
• UK Companies House (britische Handelsregisterbehörde)
• Kamer van Koophandel (niederländische
Handelsregisterbehörde; Angaben zu Unternehmen, die in den
Niederlanden registriert sind)
• New Zealand Companies Office (neuseeländische
Handelsregisterbehörde)
• Staatliche Behörde für Handel und Industrie der Volksrepublik
China
Sollte eine bestimmte Ressource nicht verfügbar sein bzw. Ihr
Unternehmen mit den verfügbaren Ressourcen nicht überprüfbar
sein, fordern wir unter Umständen eine aktuelle amtliche
Bescheinigung an, die auch als Rechtsnachweis bezeichnet wird. Der
Rechtsnachweis ist ein Dokument, das einem Unternehmen bzw. einer
Organisation das Recht verleiht, unter dem angegebenen Namen
einer Geschäftstätigkeit nachzugehen. Wenn für Ihr Unternehmen ein
Rechtsnachweisdokument erforderlich ist, setzen wir uns mit dem bei
der Registrierung angegebenen Ansprechpartner in Verbindung und
fordern die Kopie eines akzeptablen Rechtsnachweisdokuments an.
Hier einige Beispiele für akzeptable Dokumente:
•G
ründungsurkunde bzw. Gründungszertifikat
•U
nternehmens-, Verkaufs-, Wiederverkaufs- bzw. Handelslizenz
•S
tatuten oder Partnerschaftspapiere
•N
achweis der Registrierung des Handelsnamens oder
angenommenen Namens bzw. der Firma; Bescheinigung über
einen fiktiven Namen
•H
andelsregisterauszug
Nachdem wir ein akzeptables Rechtsnachweisdokument vom Kunden
erhalten haben, müssen wir den Wortlaut bei der ausstellenden
Behörde überprüfen. Wenn die Gültigkeit des Dokuments von der
ausstellenden Behörde nicht bestätigt werden kann, wenden wir uns
eventuell an einen Dritten, um die Existenz des Unternehmens zu
überprüfen.
Beachten Sie bitte, dass es bei erforderlichen Belegen für einen
Auftrag zu einer verzögerten Ausstellung des Zertifikats kommen
kann. Zertifikate können erst ausgestellt werden, wenn alle
erforderlichen Belege korrekt vorliegen und bei der ausstellenden
Behörde geprüft wurden. Aus diesem Grund ist es wichtig, Belege
rechtzeitig einzureichen.
Unternehmensauthentifizierung
Wie auf der vorherigen Seite
ausgeführt, werden bei der
entsprechenden Regierungsbehörde
die folgenden Aspekte überprüft:
1. Der bei der Registrierung
angegebene Unternehmensname
muss exakt mit den Angaben im
Handelsregister übereinstimmen.
2.Der Gerichtsbezirk (Land,
Bundesland/Kanton/Region
und Ort, sofern relevant)
muss mit den entsprechenden
Registrierungsangaben
übereinstimmen.
3.Der Unternehmensstatus muss
der einer aktiven Organisation
sein. Inaktive bzw. ruhende
Unternehmen oder Unternehmen
mit ähnlichem Status können
kein SSL-Zertifikat erhalten;
in einem solchen Fall ist die
Aktualisierung des Status
erforderlich.
0
Unternehmen:
Symantec (UK) Limited
Land: GB
Bundesland/Kanton/Region:
Berkshire
Ort (Stadt): Reading
Unternehmen:
Symantec (UK) Limited
Land: USA
Kalifornien
Ort (Stadt):
Mountain View
0
x
0
Unternehmen:
Symantec Corporation
Land: USA
Kalifornien
Ort (Stadt):
Mountain View
x
0
Unternehmen:
SYMC LTD
Land: GB
Berkshire
Ort (Stadt):
Reading
x
Zur Überprüfung des Domänennamens Ihrer Website
bei Symantec benötigen wir entweder einen Beleg
darüber, dass Sie der Inhaber des Domänennamens sind,
den Sie absichern möchten, oder einen Beleg darüber,
dass Sie einen Rechtsanspruch auf die Nutzung dieses
Domänennamens erworben haben. Wenn Sie der Inhaber des
Domänennamens sind, prüfen wir Online-Datenbanken, in
denen die rechtmäßigen Inhaber aller von uns abgesicherten
Domänennamen aufgeführt sind. Die meisten Domain-NameRegistrare bieten einen WHOIS-Bericht an, in dem Angaben
zum Inhaber (Registrant) der Domäne sowie die zugehörigen
Kontaktangaben enthalten sind.
Zum Ermitteln des Inhabers der Domäne Symantec.com
könnten wir beispielsweise folgende Schritte ausführen:
1. Einleiten einer WHOIS-Abfrage
2. Eingeben der betreffenden Domäne (Symantec.com)
und Prüfen der Suchergebnisse
3. Ergebnis: Der Registrant (Inhaber) der Domäne ist die
Symantec Corporation.
Je nach Ihrer Domänenerweiterung werden bei Symantec
unterschiedliche WHOIS-Datenbanken verwendet, um den
Domäneninhaber (Registrant) zu ermitteln.
Wichtiger Hinweis: Gängige Intranetnamen (die keinen vollständig
qualifizierten Domänennamen enthalten) sind gemäß den
Branchenrichtlinien (CA/Browser Forum) nicht mehr gestattet.
Wir müssen außerdem überprüfen, ob die bei der
Zertifikatsregistrierung angegebenen Domänen bei einem
Domain-Name-Registrar eingetragen sind, der von einer der
folgenden Organisationen akkreditiert ist:
• ICANN (Internet Corporation for Assigned Names and
Numbers) bei nicht länderbezogenen Top-Level-Domains
(.com, .net, .org, .biz usw.) sowie bei internationalen
länderspezifischen Top-Level-Domänenerweiterungen
(.de, .uk, .au, .cn usw.)
•IANA (Internet Assigned Numbers Authority) bei
internationalen länderspezifischen Top-LevelDomänenerweiterungen (.de, .uk, .au, .cn usw.)
Was geschieht, wenn die Domäne nicht für das Unternehmen angemeldet
ist, das bei der Zertifikatsregistrierung genannt wird?
Beispiel: Bei der Registrierung für www.symantec.com könnten wir
eine E-Mail an die Adresse [email protected] senden.
• Wenn der im Auftrag angegebene Name vom Registranten (Inhaber)
der Domäne nicht mit dem juristisch korrekten (und bei der
Unternehmensauthentifizierung überprüften) Unternehmensnamen
übereinstimmt, fordern wir beim Registrar der Domäne eventuell
eine Aktualisierung der Informationen zum Registranten
an, um die Angabe des vollständigen, juristisch korrekten
Unternehmensnamens zu erhalten.
•Ein Gutachten wird übermittelt, das von einem zugelassenen
Rechtsanwalt oder zertifizierten Wirtschaftsprüfer (Certified
Public Accountant) im Land des Unternehmens unterzeichnet und
beglaubigt ist. (Weitere Informationen dazu sind im Abschnitt zu
Gutachten aufgeführt.)
• Wenn eine Domäne vertraulich registriert wurde, sodass die
wahre Identität des Registranten nicht öffentlich bekannt
gegeben wird, fordern wir die zumindest kurze Herausgabe der
Identitätsinformationen an, um die Inhaberschaft prüfen zu können.
Alternativ geben wir die Bestätigung zu der Domäne, wenn die
folgenden Umstände vorliegen:
• Die Domäne ist für eine verifizierte Mutter- bzw. Tochtergesellschaft
oder für ein anderweitig juristisch verbundenes Unternehmen
eingetragen.
• Der (im WHOIS-Bericht genannte) Domänen-Administrator erteilt
eine Autorisierung dahingehend, dass das Unternehmen die
ausschließliche Kontrolle über die Domäne hat. Dies ist durch eine
der folgenden Methoden möglich:
– Mündliche Bestätigung. Wir nehmen mithilfe der Telefonnummer
aus den WHOIS-Angaben Kontakt zum Administrator auf.
– Schriftliche Bestätigung. Wir senden gemäß den WHOIS-Angaben
eine E-Mail an den Administrator (Antworten darauf müssen
dann von derselben E-Mail-Adresse kommen) oder wir senden die
Anfrage an die folgenden vorab genehmigten Alias-Adressen für
die Domäne:
• admin@
• administrator@
• webmaster@
• hostmaster@
• postmaster@
•Der Kunde kann eine praktische Demonstration der
Domänenkontrolle abschließen. Dazu veröffentlicht der Kunde
auf seiner Website vorübergehend einen Sicherheitscode, der von
unseren Authentifizierungsmitarbeitern bereitgestellt wird.
– Unsere Authentifizierungsmitarbeiter müssen den administrative
Ansprechpartner über eine verifizierte, aus einer Drittquelle
bezogene Telefonnummer erreichen können, die für das
Unternehmen eingetragen ist.
– Wenn der administrative oder technische Ansprechpartner im
Unternehmen die praktische Demonstration nicht unmittelbar
abschließen kann, ist die Hinzuziehung eines weiteren Mitarbeiters
per Konferenzschaltung möglich, um die entsprechenden
Demonstrationsanforderungen zu erfüllen. Der administrative oder
technische Ansprechpartner im Unternehmen muss jedoch in der
Leitung bleiben.
– Nachdem unser Authentifizierungsmitarbeiter den Sicherheitscode
und die Domänenkontrolle bestätigt hat, kann der Code von der
Website entfernt werden.
Wenn für eine bestimmte Top-Level-Domain (z. B. für Domänen mit
der Erweiterung .zm) keine WHOIS-Angaben verfügbar sind, muss der
Registrant direkt von dem Registrar bestätigt werden, der laut IANA
für die jeweilige Top-Level-Domain zuständig ist.
Überprüfung der Organisationseinheit / Bestätigung
der Betriebsexistenz
Gemäß den für SSL-Zertifikate geltenden
Mindestanforderungen des CA/B-Forums muss die bei
der Registrierung in die Zertifikatsignierungsanforderung
(Certificate Signing Request, CSR) eingetragene
Organisationseinheit überprüft werden.
In das Feld für die Organisationseinheit dürfen KEINE der
folgenden Elemente eingetragen werden:
• Nicht verifizierte Rechtsformbezeichnungen (wie „Corp“,
„Ltd.“, „GmbH“ usw.)
• Nicht verifizierte Handelsnamen (wie „geschäftstätig als“)
• Nicht verifizierte Markenkennzeichnungen (wie „(tm)“)
• Nicht verifizierte Personennamen (etwa „Markus Müller“)
• Domänennamen und IP-Adressen
Folgende Elemente dürfen im Feld für die Organisationseinheit
vermerkt werden:
• Namen von Abteilungen
• Servernamen (sofern es sich nicht um einen
Domänennamen handelt)
• Allgemeine Begriffe und Ausdrücke
Sie können das Feld für die Organisationseinheit leer lassen
oder alternativ eine oder mehrere der oben beschriebenen
zulässigen Angaben eintragen.
Alle in das Feld für die Organisationseinheit eingetragenen
Informationen müssen überprüft werden. Wenn wir die
Informationen nicht verifizieren können und die Angaben nicht
zulässig sind, müssen unsere Authentifizierungsmitarbeiter
die betreffenden Daten im Abschnitt der Zertifikatsignierungsanforderung aktualisieren oder löschen, bevor das
Zertifikat ausgestellt werden kann.
Die vom CA/B-Forum ausgegebenen Richtlinien für die
erweiterte Validierung legen fest, dass bei Unternehmen,
die eine erweiterte Validierung anfordern, zunächst die
Betriebsexistenz bestätigt werden muss.
Symantec muss überprüfen, ob das Unternehmen, das die
Registrierung durchführt, zur Geschäftstätigkeit fähig ist. Die
Betriebsexistenz gilt als belegt, wenn das Unternehmen seit
mindestens drei Jahren besteht und eingetragen ist und diese
Tatsache durch die bei der Unternehmensauthentifizierung
herangezogene Quelle bestätigt wird.
Wenn das Unternehmen seit weniger als drei Jahren
eingetragen ist, können wir die Betriebsexistenz wie folgt
bestätigen:
• Heranziehung eines Berichts der Wirtschaftsauskunftei
Dun & Bradstreet
• Überprüfung, ob das Unternehmen über ein
Kontokorrentkonto (Girokonto) verfügt; dies ist auf eine
der folgenden Weisen möglich:
– Durch ein von einem regulierten Finanzinstitut
ausgestelltes Dokument, aus dem hervorgeht, dass
der Zertifikatanforderer ein aktives, laufendes
Kontokorrentkonto bei dem Institut führt. Die
Information muss direkt vom Finanzinstitut (über
eine aus einer Drittquelle bezogene Telefonnummer)
zwingend mündlich bestätigt werden.
–G
utachten
Adressüberprüfung
Je nach Produkttyp führt Symantec eventuell eine
Überprüfung der in der Zertifikatsregistrierung angegebenen
Adresse durch. Abhängig vom Produkttyp gelten
unterschiedliche Anforderungen auch in Bezug auf die
Datenüberprüfung; jegliche Abweichungen müssen jedoch vor
der Zertifikatsausstellung behoben werden.
Safe Site (spezifisch)
Dieser Schritt ist bei Produkten erforderlich, bei denen eine
Adresse im Zertifikatssiegel erfasst ist.
Die physische Adresse muss durch eine der folgenden
Drittquellen bestätigt werden:
• Behördenressource, die zur
Unternehmensauthentifizierung genutzt wird
• Von Symantec genehmigte Telefonnummerndatenbank
einer Drittquelle
• Gültiger Bericht von Dun & Bradstreet
• WHOIS-Bericht
• Mündliche Bestätigung beim Verifizierungsanruf
Wenn die Adresse nicht über mindestens eine der oben
genannten Ressourcen verifiziert werden kann, fordern wir
eines der folgenden Dokumente an, auf denen der Name und
die Anschrift des Unternehmens vermerkt sind:
• Bankauszug oder Versicherungsdatenauszug
• Rechnung eines Versorgungsbetriebs
• Telefonrechnung
Erweiterte Validierung
Die bei der Registrierung angegebene Adresse muss eine
Hausanschrift sein, keine Postfach-Adresse; es muss sich
außerdem um eine verifizierte, gültige Geschäftsanschrift
für das Unternehmen oder dessen verifizierte Mutter- bzw.
Tochtergesellschaft handeln.
• Die Mutter- bzw. Tochtergesellschaft muss ihren Sitz im
selben Land haben wie das Unternehmen.
• Tochtergesellschaften müssen im Mehrheitsbesitz des
Unternehmens sein.
Die Verifizierung der Adresse kann über EINE der folgenden
Quellen erfolgen:
• Behördenressource, die zur
Unternehmensauthentifizierung genutzt wird
• Gültiger Bericht von Dun & Bradstreet
• Globaler Authentifizierungs- und Verifizierungsbericht
• Gutachten
Wenn keine Adressübereinstimmung festgestellt wird,
kann der administrative Ansprechpartner gebeten werden,
eine andere, verifizierbare Adresse für das Unternehmen
anzugeben. Der Auftrag muss entsprechend aktualisiert
werden, damit die verifizierte Adresse aufgeführt wird.
Bestätigung der aus einer Drittquelle bezogenen
Telefonnummer
Symantec muss in der Lage sein, das Unternehmen des Kunden
zu kontaktieren. Es muss bestätigt werden können, dass der
administrative Ansprechpartner ein in Vollzeit beschäftigter
Angestellter des in der Registrierung angegebenen Unternehmens
ist. Um diesen Vorgang einzuleiten, versuchen unsere
Authentifizierungsmitarbeiter, eine unabhängig (von einem Dritten)
verifizierte Telefonnummer für das Unternehmen zu erhalten.
Bei der Registrierung für SSL-Zertifikate mit Organisationsvalidierung
(OV) muss bestätigt werden können, dass der technische
Ansprechpartner ein in Vollzeit beschäftigter Angestellter des
Unternehmens ist.
Organisationsvalidierung und Safe Site (spezifisch)
Die Telefonnummer muss für den Namen des Unternehmens (oder
für einen verifizierten eingetragenen Handelsnamen oder für den
Namen eines juristisch verbundenen Unternehmens) in dem in der
Zertifikatsanforderung angegebenen Land eingetragen sein.
Die Telefonnummer muss aus einer von Symantec genehmigten
Drittquelle bezogen werden. Einige Beispiele dafür:
• Genehmigtes Online-Verzeichnis (Gelbe Seiten)
• Telefonauskunft
• Behördenressource, die zur Unternehmensauthentifizierung genutzt wird
• Bericht von Dun & Bradstreet
Wenn wir keine aus einer Drittquelle bezogene Telefonnummer
für das Unternehmen erhalten können, senden wir eine E-Mail
an den administrativen Ansprechpartner und bieten die
folgenden Alternativoptionen:
• SSL-Gutachten mit Angabe einer qualifizierten
Telefonnummer, das von einem zugelassenen Rechtsanwalt
oder zertifizierten Wirtschaftsprüfer (Certified Public
Accountant) im Land des Unternehmens unterzeichnet und
beglaubigt ist
•A
uf den Namen des Unternehmens ausgestellte
Telefonrechnung mit Rechnungsanschrift und Angabe der
Telefonnummer, auf die sich die Rechnung bezieht
–(Symantec muss die Angaben dann mündlich von der
Telefongesellschaft bestätigen lassen und dabei eine
aus einer Drittquelle bezogene Telefonnummer für
die Telefongesellschaft verwenden.)
• Beglaubigte Kopie einer Versorgungsrechnung, eines
Bankauszugs, Leasingvertrags oder einer Telefonrechnung,
ausgestellt auf den Namen des Unternehmens und mit
Angabe der Rechnungsanschrift und der Telefonnummer,
auf die sich die Rechnung bezieht
– Diese Dokumente müssen durch eine der folgenden
Stellen im Gerichtsbezirk des Kunden beglaubigt sein:
• Notar
• Behördenmitarbeiter
• Zugelassener Rechtsanwalt
• Zertifizierter Wirtschaftsprüfer
Die beglaubigende Stelle wird im entsprechenden
Gerichtsbezirk verifiziert (bei der zuständigen Anwaltskammer/
Wirtschaftsprüferkammer/Notarkammer/Behörde). Wenn
wir die beglaubigende Stelle nicht verifizieren können, ist ein
Schreiben dieser Stelle für uns nicht akzeptabel.
Hinweis: Wir akzeptieren keine Rechnungen von virtuellen
Telefongesellschaften, virtuellen Bürodienstleistern bzw.
Anrufweiterleitungsdiensten oder Voice-over-IP-Diensten, die
auf der Rechnung keine Telefonnummern angeben.
Unsere
Authentifizierungsmitarbeiter
versuchen, eine unabhängig
(von einem Dritten) verifizierte
Telefonnummer für das
Unternehmen zur erhalten.
Bestätigung der aus einer Drittquelle bezogenen
Telefonnummer
Safe Site und Code Signing für Unternehmen (spezifisch)
Das bei Safe Site und Code Signing für Unternehmen angewendete
Verfahren zum Abrufen einer aus einer Drittquelle bezogenen
Telefonnummer entspricht dem Verfahren bei einem Zertifikat mit
Organisationsvalidierung; allerdings steht bei Safe Site und Code
Signing für Unternehmen eine zusätzliche Alternativoption zur
Verfügung:
• Notarschreiben, unterzeichnet vom administrativen
Ansprechpartner sowie notariell beglaubigt.
– Dieses Schreiben muss beglaubigt sein von einem Notar
bzw. dem entsprechenden Funktionsträger im Land des
Zertifikatanforderers oder im Gerichtsbezirk, in dem der
Zertifikatanforderer einen bestätigten Unternehmenssitz
oder eine physische Betriebsstätte betreibt.
– Der Notar bzw. der entsprechende Funktionsträger muss
Angaben zu seiner Zulassung beifügen, da wir überprüfen,
ob ein aktiver Status gegeben ist.
Ein akzeptables Notarschreiben kann den abschließenden
Verifizierungsanruf ersetzen.
Code Signing für Einzelpersonen
Zur Validierung wird ein ID-Formular an den Zertifikatanforderer
gesendet. Der Zertifikatanforderer wird gebeten, eine Kopie seines
Personalausweises bzw. Reisepasses und eine Bestätigung seiner
Telefonnummer zu übermitteln.
Wenn kein Personalausweis bzw. Reisepass verfügbar ist, werden
zwei gültige Formen eines Identitätsnachweises akzeptiert:
• Von einer Behörde ausgestelltes Dokument, das den
vollständigen Namen und ein Foto enthält:
– Führerschein
– Landes- oder bundeslandspezifischer Ausweis
– Militärausweis
Das ID-Formular muss beglaubigt sein von einem Notar bzw. dem
entsprechenden Funktionsträger im Land des Zertifikatanforderers
oder im Gerichtsbezirk, in dem der Zertifikatanforderer einen
bestätigten Unternehmenssitz oder eine physische Betriebsstätte
betreibt.
Um bei der Anforderung eines Zertifikats mit erweiterter Validierung
eine Telefonnummer abzurufen bzw. zu bestätigen, muss die
Telefonnummer für den Namen des Unternehmens (oder für
einen verifizierten eingetragenen Handelsnamen oder für den
Namen eines juristisch verbundenen Unternehmens) eingetragen
sein; zusätzlich muss die gesamte verifizierte Geschäftsanschrift
angegeben sein.
Die Telefonnummer muss aus einer von Symantec genehmigten
Drittquelle bezogen werden. Einige Beispiele dafür:
• Genehmigtes Online-Verzeichnis (Gelbe Seiten)
• Telefonauskunft
• Behördenressource, die zur Unternehmensauthentifizierung
genutzt wird
• Bericht von Dun & Bradstreet
Wenn wir keine aus einer Drittquelle bezogene Telefonnummer
für das Unternehmen erhalten können, senden wir eine E-Mail
an den administrativen Ansprechpartner und bieten die folgende
Alternativoption:
• EV-Gutachten mit Angabe einer qualifizierten Telefonnummer,
das von einem zugelassenen Rechtsanwalt oder zertifizierten
Wirtschaftsprüfer (Certified Public Accountant) im Land des
Unternehmens unterzeichnet und beglaubigt ist
• Zweitausweis, auf dem der vollständige Name vermerkt ist:
– Krankenversicherungskarte
– Firmenausweis
– Rechnung eines Versorgungsbetriebs
– Sozialversicherungskarte
– Altersnachweiskarte
– Studentenausweis
Erweiterte
Validierung
N
J
N
J
Nichtübereinstimmung von persönlicher E-MailAdresse und Name des Ansprechpartners
(z B. [email protected] als Adresse von Julia
Schmidt) zulässig?
N
N
N
N
N
Postfachangabe im Adressfeld zulässig?
J
J
J
N
J
Muss der administrative Ansprechpartner ein
Angestellter des Unternehmens sein, das die
Registrierung durchführt?
J
J
J
J
J
Darf der administrative Ansprechpartner auch ohne
Namen, mit der reinen Funktionsbezeichnung
(wie Netzwerkadministrator, IT-Abteilung)
angegeben werden?
J
N
J
N
N
Muss der technische Ansprechpartner ein
Angestellter des Unternehmens sein, das die
Registrierung durchführt?
N
J
N
N
N
Darf der administrative Ansprechpartner auch ohne
Namen, mit der reinen Funktionsbezeichnung
(wie Netzwerkadministrator, IT-Abteilung)
angegeben werden?
J
N
J
N
J
Allgemeine Regeln
(alle Ansprechpartner)
Technischer
Ansprechpartner
Kostenlose E-Mail-Adresse
(z. B. Yahoo, Gmail, Hotmail) zulässig?
Symantec
Safe Site
Domänenvalidierung
J
(nicht
empfohlen)
Anforderungen in Bezug auf den Ansprechpartner
Administrativer
Ansprechpartner
Sorgen Sie bitte dafür, dass alle Beteiligten über die
Zertifikatsregistrierung informiert sind und rechtzeitig auf
alle Kontaktversuche reagieren. Anderenfalls kann es bei der
Zertifikatsausstellung zu Verzögerungen kommen.
Code Signing
Symantec überprüft die bei einer Zertifikatsregistrierung
aufgeführten Kontaktangaben. Abhängig von Produkttyp und
Marke gelten unterschiedliche Anforderungen auch in Bezug
auf die Datenüberprüfung; jegliche Abweichungen müssen
jedoch vor der Zertifikatsausstellung behoben werden.
Anforderungen in Bezug auf den Ansprechpartner
Wichtiger Hinweis: Die Angaben zur Rechnungsanschrift werden basierend auf den Informationen aus dem
Partnercenter-Konto vorab eingetragen; für diese Angaben ist keine weitere Authentifizierung erforderlich.
Bestätigung des Angestelltenverhältnisses und der
Befugnisse bei EV
Bei Zertifikaten mit erweiterter Validierung muss Symantec
in der Lage sein, das Unternehmen zu kontaktieren. Es
muss bestätigt werden können, dass der administrative
Ansprechpartner, der das Zertifikat anfordert, ein Angestellter
des in der Zertifikatsanforderung aufgeführten Unternehmens
ist. Dieser Mitarbeiter muss außerdem befugt sein, das
Zertifikat im Namen des Unternehmens zu erwerben.
Bestätigung des Angestelltenverhältnisses des
administrativen Ansprechpartners
Das Angestelltenverhältnis des administrativen
Ansprechpartners kann auf unterschiedliche Weise bestätigt
werden:
• Angabe des administrativen Ansprechpartners als
Führungskraft des Unternehmens in den folgenden
Unterlagen:
– Handelsregisterauszug, der bei der
Unternehmensauthentifizierung verwendet wurde
– Gültiger Bericht von Dun & Bradstreet
– Globaler Authentifizierungs- und Verifizierungsbericht
• Bestätigung der Personalabteilung des Unternehmens
– Symantec nimmt über die aus einer Drittquelle
bezogene Telefonnummer Kontakt auf (siehe
„Bestätigung der aus einer Drittquelle bezogenen
Telefonnummer“)
• Gutachten
Bestätigung der Befugnisse des administrativen
Ansprechpartners
Relevant sind in diesem Zusammenhang die Befugnisse
des administrativen Ansprechpartners für den Erwerb
des Zertifikats mit erweiterter Validierung im Namen des
Unternehmens. Die Befugnisse können auf unterschiedliche
Weise ermittelt werden:
• Bestätigung der Befugnisse durch Angabe des
administrativen Ansprechpartners als Führungskraft des
Unternehmens in den folgenden Unterlagen:
– Handelsregisterauszug, der bei der
Unternehmensauthentifizierung verwendet wurde
– Gültiger Bericht von Dun & Bradstreet
– Globaler Authentifizierungs- und Verifizierungsbericht
• Bestätigung der Befugnisse durch die Personalabteilung
dahingehend, dass die Position des administrativen
Ansprechpartners mit entsprechenden Befugnissen
ausgestattet ist
– Bei der Position „Director“ (Geschäftsführer) sowie bei
höheren Positionen (Vice President, Officer, CEO, CIO usw.)
wird von entsprechenden Befugnissen ausgegangen.
• Bestätigung der Befugnisse durch eine unterzeichnete
Wenn der administrative Ansprechpartner keine Position mit
entsprechenden Befugnissen innehat, kann die Bestätigung
der Befugnisse durch eine Person von ausreichend hohem
Rang erfolgen. Alternativ kann die Bestätigung durch die
Personalabteilung in ihrer Funktion als direkte Vorgesetzte
des administrative Ansprechpartners erfolgen.
Verifizierungsanruf/Zustimmungsvereinbarung
Der abschließende Schritt beim Validierungsvorgang ist
der Verifizierungsanruf bzw. die Verifizierungs-E-Mail.
Symantec verwendet die zuvor aus einer Drittquelle bezogene
Telefonnummer, um den administrativen oder den technischen
Ansprechpartner (sofern dieser direkt beim Unternehmen
beschäftigt ist) zu erreichen und die bei der Registrierung
gemachten Angaben zu verifizieren. In einigen Fällen können wir
das Zertifikat ausstellen, ohne direkt mit dem administrativen
oder dem technischen Ansprechpartner zu sprechen; in anderen
Fällen ist ein direkter Kontakt erforderlich.
In der Tabelle unten sind die akzeptablen Verifizierungsmethoden
für die einzelnen Produkte bzw. Kategorien dargestellt.
Produktkategorie/
Name
Verifiz.anruf
mit admin.
Ansprechpartner
Domänenvalidierung
• **
•
Erweiterte
Validierung
•
Code Signing
für Unternehmen
•
Code Signing für
Einzelpersonen
•
Safe Site für
Unternehmen
•
Safe Site für
Einzelpersonen
Verifiz.
anruf
mit techn.
Ansprechpartner
Bestätigung
der Verifiz.
per E-Mail
Bestätigung
durch
persönl.
Sprachmitteilung
Verifizierung
nicht
erforderlich
•
•*
•*
•
•
*Einsatz nur dann, wenn Angestelltenverhältnis und Kontaktangaben bestätigt wurden
**Erforderlich bei größeren Unternehmen, Finanzinstituten und bekannten Marken
Nach Abschluss einer Registrierung muss der administrative
Ansprechpartner bei der Zertifikatsregistrierung eine
Vereinbarung zur erweiterten Validierung eingehen (auch als
Zustimmungsvereinbarung bezeichnet). Dies ist online möglich;
alternativ kann aber auch das Formular unterschrieben und per
E-Mail oder Fax an uns zurückgesendet werden.
Zustimmungsvereinbarungsformular
Der in der Zertifikatsregistrierung aufgeführte administrative
Ansprechpartner erhält per E-Mail eine Kopie des
Zustimmungsvereinbarungsformulars.
Das Zustimmungsvereinbarungsformular ist in zwei separate
Abschnitte für erforderlichen und optionalen Inhalt unterteilt.
Erforderlicher Inhalt:
Zertifikatsanforderungsnummer: <Zertifikatsanforderungsnummer>
Ich, <administrativer Ansprechpartner>, habe die Vereinbarung zum Symantec SSL-Zertifikat gelesen und
bestätige meine Zustimmung dazu im Namen von <Name des Unternehmens>. Die Vereinbarung enthält
alle Bedingungen für die erweiterte Validierung. Eine Kopie der Vereinbarung steht auf der Webseite
https://www.symantec.com/about/profile/policies/repository.jsp?tab=Tab2#stn-cps zur Verfügung.
Durch die Anforderung dieses Zertifikats mit erweiterter Validierung und die Akzeptanz dieser
Vereinbarung im Namen meines Unternehmens bestätige ich, dass <Name des Unternehmens>
(Zertifikatanforderer) eine rechtsverbindliche und vollstreckungsfähige Vereinbarung eingeht, die dem
Zertifikatanforderer umfassende Pflichten auferlegt. Ich verstehe und bestätige, dass ein Zertifikat mit
erweiterter Validierung (EV-Zertifikat) als digitaler Identitätsnachweis für den Zertifikatanforderer dient
und dass der Verlust oder Missbrauch dieses Identitätsnachweises für den Zertifikatanforderer mit
großen Nachteilen verbunden sein kann. Durch das Unterzeichnen dieser Vereinbarung sichere ich
hiermit zu, die Befugnis zum Erwerb der digitalen Entsprechung eines Firmenstempels bzw. -siegels
oder (sofern zutreffend) einer Unterschrift von einer Führungskraft zum Nachweis der Authentizität
der Unternehmenswebsite zu haben. Ich sichere ferner zu, dass der Zertifikatanforderer für sämtliche
Einsätze seines EV-Zertifikats verantwortlich ist. Durch das Unterzeichnen dieser Vereinbarung
im Namen des Zertifikatanforderers sichere ich darüber hinaus Folgendes zu: (i) Ich handele als
autorisierter Vertreter des Zertifikatanforderers. (ii) Ich bin vom Zertifikatanforderer ausdrücklich dazu
autorisiert, Vereinbarungen dieser Art zu unterzeichnen und EV Zertifikatsanforderungen im Namen
des Zertifikatanforderers zu genehmigen. (iii) Ich habe das Exklusivrecht des Zertifikatanforderers auf
Verwendung der Domäne(n), die in die EV-Zertifikate einbezogen werden soll(en), bestätigt.
Vollständiger Name des administrativen Ansprechpartners: <Administrativer Ansprechpartner>
Unterschrift: _______________________________________
Position/Titel:__________________________________________
Datum:__________________________________________
Ort: __________________________________________
Das Formular muss unter Verwendung der Variablenfelder
(zum administrativen Ansprechpartner und zum
Unternehmen) korrekt ausgefüllt werden. Die Angaben
müssen mit der Registrierung übereinstimmen. Der übrige
Inhalt des Formulars darf nicht verändert werden.
Wichtiger Hinweis: Die Zustimmungsvereinbarung darf nur
vom administrativen Ansprechpartner unterzeichnet werden;
anderenfalls ist sie ungültig und kann von uns nicht akzeptiert
werden.
Optionaler Inhalt:
Weitere Informationen zum administrativen Ansprechpartner (optional)
Um das Bearbeiten der Zertifikatsanforderung zu vereinfachen, empfiehlt es sich, Symantec die unten
aufgeführten zusätzlichen Kontaktangaben zur Verfügung zu stellen. Wir empfehlen außerdem, die
betreffenden Personen darüber zu informieren, dass Sie in Kürze von Symantec kontaktiert werden, um
bestimmte Angaben zu Ihrer Anforderung eines Zertifikats mit erweiterter Validierung zu bestätigen.
Ansprechpartner in der Personalabteilung (Symantec setzt sich eventuell mit dieser Person in
Verbindung, um Ihr Angestelltenverhältnis und Ihre Position im Unternehmen zu überprüfen):
Online-Zustimmungsvereinbarung
Für alle drei SSL-Marken, bei denen im Rahmen des
Symantec-Partnerprogramms für Website-Sicherheit
Zertifikate mit erweiterter Validierung angeboten werden,
steht auch ein Online-Verfahren zum Abschließen der
Zustimmungsvereinbarung zur Verfügung. Im Rahmen der
abschließenden Verifizierung der Zertifikatsanforderung
kann mit den folgenden Schritten eine OnlineZustimmungsvereinbarung abgeschlossen werden:
Name _______________________________________________________
Telefonnummer___________________________
Durchwahl _____________
Der Ansprechpartner in der Personalabteilung wird
kontaktiert, um die Verifizierung des Mitarbeiters
abzuschließen. Um Verzögerungen zu vermeiden, empfiehlt es
sich, den Ansprechpartner in der Personalabteilung darüber
zu informieren, dass eine Kontaktaufnahme durch uns geplant
ist.
Es ist nicht für jede Registrierung ein neues
Zustimmungsvereinbarungsformular erforderlich, wenn
der administrative und der technische Ansprechpartner die
gleichen geblieben sind.
1. Ein Authentifizierungsmitarbeiter von Symantec stellt per
E-Mail einen personalisierten Link zur verifizierten E-MailAdresse des administrativen Ansprechpartners bereit
(die E-Mail-Adresse muss während der abschließenden
Verifizierung direkt vom Ansprechpartner oder über die
Personalabteilung verifiziert werden).
2. Der Authentifizierungsmitarbeiter von Symantec teilt dem
administrativen Ansprechpartner außerdem telefonisch
einen Sicherheitscode mit.
3. Der administrative Ansprechpartner klickt auf den Link
und prüft den Inhalt der Vereinbarung. Mit der Akzeptanz
der Bedingungen und der erfolgreichen Übermittlung des
zuvor bereitgestellten Sicherheitscodes ist das Verfahren
abgeschlossen.
Es ist nicht für jede Registrierung ein neues
Zustimmungsvereinbarungsformular erforderlich, wenn
der administrative und der technische Ansprechpartner die
gleichen geblieben sind.
Zertifikate mit Domänenvalidierung
Bei SSL-Zertifikaten mit Domänenvalidierung (DV) kommt
Verschlüsselung mit ausschließlicher Authentifizierung
der Domäne zum Einsatz. Diese Zertifikate umfassen keine
Authentifizierung der Geschäftsidentität, bestätigen jedoch,
dass der Anforderer Nutzungsrechte für die Domäne hat.
Die Authentifizierung erfolgt bei Produkten mit
Domänenvalidierung dadurch, dass die Registrierung des auf
der Zertifikatsanforderung angegebenen Domänennamens
sowie die Kontrolle des Domänengenehmigers über die
Domäne bestätigt wird.
Nach der Registrierung im Partnercenter kann eine E-Mail
zur Genehmigungsanforderung (auch als Genehmiger-E-Mail
bezeichnet) an die im Verlauf des Registrierungsvorgangs
ausgewählte E-Mail-Adresse gesendet werden. Beim
Registrierungsvorgang stehen die folgenden E-Mail-Optionen
zur Verfügung:
• E-Mail-Adresse aus den frei zugänglichen
Registrierungsdaten (WHOIS-Bericht)
• Eine der vorab festgelegten E-Mail-Alias-Adressen
aus der folgenden Liste (diese werden von
Domänenadministratoren häufig verwendet) in Kombination
mit der bei der Zertifikatsregistrierung angegebenen
Domäne.
– admin@
– administrator@
– hostmaster@
– webmaster@
– postmaster@
Beispiel: Wenn das Zertifikat unter der Bezeichnung
www.abc.com geführt wird, wäre „[email protected]“ eine
gültige Genehmiger-E-Mail-Adresse.
Nach Erhalt der Genehmiger-E-Mail muss der Empfänger
die Anforderung durch Klicken auf den bereitgestellten Link
genehmigen oder ablehnen. Mit diesem Verfahren wird
bestätigt, dass der Genehmiger Nutzungsrechte für die
Domäne hat.
Als Mitglied im Partnerprogramm für Website-Sicherheit
haben Sie in Ihrem Partnercenter die Möglichkeit, die
Genehmiger-E-Mail erneut zu versenden oder die GenehmigerE-Mail-Adresse abzuändern (in eine der zulässigen
Alias-Adressen, die oben aufgeführt sind). Eine genaue
Anleitung dazu finden Sie in den Lösungen in unserer
Supportdatenbank.
Wichtiger Hinweis: Wenn eine Anforderung für ein Zertifikat
mit Domänenvalidierung für ein großes Unternehmen,
eine bekannte Marke oder JEDWEDES Finanzinstitut
eingeht, MUSS der administrative Ansprechpartner ein
Angestellter des Unternehmens sein. Außerdem muss
Symantec den administrativen Ansprechpartner mit einem
Verifizierungsanruf kontaktieren und dabei eine aus einer
Drittquelle bezogene Telefonnummer verwenden.
(Bei einer Zertifikatsanforderung für www.visa.com müsste
beispielsweise ein Angestellter von Visa als administrativer
Ansprechpartner angegeben sein. Bei diesem Ansprechpartner
würde dann eine vollständige Verifizierung durchgeführt
werden.)
Symantec Safe Site
Symantec Safe Site belegt durch Einblendung des Norton
Secured Seal, dass Symantec Ihre Identität bestätigt hat und
dass der tägliche Malware-Scan bei Ihrer Website erfolgreich
durchlaufen wurde. Symantec Safe Site kann wahlweise für
Unternehmen oder für Einzelpersonen erworben werden,
allerdings ist damit keine SSL-Verschlüsselung verbunden.
Symantec Safe Site für Unternehmen
Die Authentifizierungsschritte bei Symantec Safe
Site für Unternehmen sind in der Darstellung
„Authentifizierungsprodukte im Überblick“ aufgeführt. Dabei
werden die folgenden Elemente eingesetzt:
• Sperrlisten von Regierungsbehörden
• Unternehmensauthentifizierung
• Domänenauthentifizierung
• Überprüfung der Organisationseinheit
• Verifizierung der Geschäftsadresse
• Bestätigung der aus einer Drittquelle bezogenen
Telefonnummer
• Verifizierung der Kontaktangaben
Symantec Safe Site für Einzelpersonen
Bei Anforderungen von Symantec Safe Site für Einzelpersonen
wird zum Zeitpunkt der Registrierung ein automatisierter
Validierungsvorgang mit Equifax durchgeführt. Dem
Zertifikatanforderer werden eine Reihe von Fragen
gestellt, um seine Identität zu überprüfen. Wenn der
Zertifikatanforderer die Validierung der Zertifikatsanforderung
erfolgreich durchläuft, folgt als nächster Schritt die
Domänenauthentifizierung.
Wenn der Zertifikatanforderer die Validierung nicht
erfolgreich durchläuft, muss er ein Formular zur beglaubigten
Bestätigung (für Einzelpersonen) ausfüllen und
zurücksenden. Dieses Formular wird 25 Monate lang archiviert
und behält in diesem Zeitraum seine Gültigkeit.
• Das Formular muss die Fotokopie eines behördlich
ausgestellten Lichtbildausweises enthalten, und dieser
Lichtbildausweis muss in demselben Land ausgestellt worden
sein, das auch bei der Registrierung angegeben wird.
• Wenn auf dem Ausweis keine Adresse angegeben ist, muss
sie handschriftlich in das Formular eingetragen werden.
Hinweis: Einzelunternehmer in Österreich, Deutschland,
Frankreich und der Schweiz müssen das Formular zur
beglaubigten Bestätigung (für Einzelpersonen) nicht ausfüllen,
wenn ein gültiger Handelsregisterauszug bereitgestellt wird.
Wenn die Validierung für die Einzelperson abgeschlossen
ist, wird eine Domänenauthentifizierung für die
Zertifikatsanforderung durchgeführt. Bei Symantec Safe
Site für Einzelpersonen muss der Name des Registranten
(Domäneninhabers) mit dem Namen übereinstimmen, der
auch in der Registrierung im WHOIS-Bericht angegeben ist.
Wichtiger Hinweis: Wenn die Domäne für eine andere
Person eingetragen wurde als für diejenige, die das Zertifikat
anfordert, muss die Domänenregistrierung aktualisiert
werden. Es gibt keine alternativen Methoden zur
Genehmigung einer Domäne bei dieser Art von
Zertifikatsanforderung.
Gutachten
Wenn bei einem der Validierungsschritte für die
Zertifikatsanforderung keine Bestätigung möglich ist, wird
eventuell ein Gutachten angefordert.
Das Gutachten dient zur Verifizierung von Zertifikats- und
Unternehmensangaben mithilfe eines einzelnen Dokuments.
Es kann angefordert werden, um einen oder mehrere der
folgenden Aspekte zu bestätigen:
• Authentizität von Rechtsnachweisen – Dokumente müssen
dem Gutachten beiliegen (nur bei OV)
• Angestelltenverhältnis und Befugnisse des administrativen
Ansprechpartners (nur bei EV)
• Geschäftsanschrift und Telefonnummer des Unternehmens
• Exklusivrecht des Unternehmens auf Nutzung der Domäne
• Betriebsexistenz des Unternehmens (durch Bestätigung
eines aktiven Kontokorrentkontos) (nur bei EV)
Ein Gutachten ist kein Ersatz für den Verifizierungsanruf.
Anforderungen an Gutachten
Das Gutachten muss von einer der folgenden Personen
angefertigt werden:
• Rechtsanwalt (Prozessanwalt, Verteidiger oder Ähnliches)
mit Zulassung im Land des Zertifikatanforderers bzw.
im Gerichtsbezirk, in dem der Zertifikatanforderer einen
bestätigten Unternehmenssitz oder eine physische
Betriebsstätte betreibt (bei EV und OV)
ALTERNATIV:
• Zertifizierter Wirtschaftsprüfer mit Zulassung im Land
des Zertifikatanforderers bzw. im Gerichtsbezirk, in dem
der Zertifikatanforderer einen Unternehmenssitz oder eine
physische Betriebsstätte betreibt (bei EV und OV)
ALTERNATIV:
• Qualifizierte Behördenmitarbeiter (gemäß den
Bestimmungen des jeweiligen Landes) im Land des
Zertifikatanforderers bzw. im Gerichtsbezirk, in dem der
Zertifikatanforderer einen Unternehmenssitz oder eine
physische Betriebsstätte betreibt (nur bei OV)
– Es kann sich dabei z. B. um Urkundsbeamte,
Gerichtsdiener, Rechtspfleger, Richter, Friedensrichter
und Polizeibeamte handeln.
– Notare (außerhalb der USA und Kanada) können das
Gutachten ggf. als Beamte bzw. Anwälte unterzeichnen.
Die beglaubigende Stelle wird im entsprechenden
Gerichtsbezirk (bei der zuständigen Anwaltskammer
bzw. Wirtschaftsprüferkammer) verifiziert. Wenn wir die
beglaubigende Stelle nicht verifizieren können, ist ein
Schreiben dieser Stelle für uns nicht akzeptabel.
Wichtiger Hinweis: Bei Anforderungen von Zertifikaten
mit erweiterter Validierung (EV) müssen alle im Gutachten
enthaltenen Informationen direkt vom Rechtsanwalt bzw.
Wirtschaftsprüfer bestätigt werden. Unter Verwendung
der Kontaktangaben, die bei der Anwaltskammer bzw.
Wirtschaftsprüferkammer im entsprechenden Gerichtsbezirk
hinterlegt sind, wird Verbindung zum Rechtsanwalt bzw.
Wirtschaftsprüfer aufgenommen. Sorgen Sie bitte dafür, dass
der Rechtsanwalt bzw. Wirtschaftsprüfer von unserer Absicht
zur Kontaktaufnahme zwecks Verifizierung der Informationen
Kenntnis erhält.
Bewährte Verfahren
Wir haben das Ziel, Ihre Zertifikatsanforderung so
schnell wie möglich für Sie zu bearbeiten und dabei die
Authentifizierungsauflagen strikt einzuhalten. Symantec darf
erst dann ein Zertifikat ausstellen, wenn alle Validierungsschritte
erfolgreich abgeschlossen sind; anderenfalls wäre die Integrität des
Zertifikats gefährdet.
• Um die Ausstellung Ihres Zertifikats zu beschleunigen, sollten
Sie darauf achten, dass die folgenden Bedingungen erfüllt sind:
– Die Registrierung wird für den rechtsgültigen Namen des
Unternehmens und für die korrekte Region durchgeführt.
– Das Unternehmen ist aktiv und verfügt über Bonität.
– Die Domäne ist auf den rechtsgültigen Namen des
Unternehmens (bzw. der Einzelperson) eingetragen, der auch
in der Registrierung vermerkt ist.
– Der administrative Ansprechpartner ist (sofern relevant) ein
Angestellter des registrierenden Unternehmens.
• Benachrichtigungen oder Informationsanforderungen
werden an den administrativen und/oder technischen
Ansprechpartner gerichtet, der in der Zertifikatsanforderung
genannt wird. Sorgen Sie bitte dafür, dass alle Beteiligten
über die Zertifikatsregistrierung informiert sind und
rechtzeitig auf Anfragen reagieren. Andernfalls kann es bei der
Zertifikatsausstellung zu Verzögerungen kommen.
• Als Partner können Sie, sofern Sie auf der
Zertifikatsanforderung nicht als Ansprechpartner aufgeführt
sind, im Partnercenter oder per API (Schnellsuche) den
Zertifikatsanforderungsstatus und Kommentare abrufen.
• Wenn ein Unternehmen im Zertifikat mit einem Handelsnamen
bzw. angenommenen Namen geführt werden möchte, kann
dieser Name nur unter folgenden Voraussetzungen im Feld für
den Unternehmensnamen eingetragen werden:
– Der Handelsname muss bei der zuständigen Behörde als
gültig und zum Unternehmen gehörend verifiziert werden.
– Der Name muss in Verbindung mit dem verifizierten
Unternehmensnamen (entsprechend dem
Handelsregistereintrag) angegeben werden.
Beispiel: Buchstabensuppe (ABC GmbH)
H
andelsname: Buchstabensuppe
U
nternehmensname: ABC GmbH
– Wenn der gesamte Unternehmensname in Kombination
mit dem Handelsnamen die Begrenzung von 64 Zeichen
überschreitet, darf nur der Unternehmensname verwendet
werden.
Code Signing
• Bei einer Code-Signing-Anforderung müssen der administrative
und technische Ansprechpartner dem Unternehmen
angehören, das die Registrierung durchführt. Partner
dürfen sich bei diesen Zertifikatsregistrierungen nicht selbst
eintragen.
• Das Code-Signing-Zertifikat muss mit demselben
Webbrowser heruntergeladen werden, mit dem die
Zertifikatsignierungsanforderung erstellt wurde.
Informationsquellen für Partner
Über diesen Authentifizierungsleitfaden hinaus stellen wir
Partnern weitere unterstützende Tools und Ressourcen zur
Verfügung. Partner erhalten damit eine schnelle Möglichkeit,
ihr Geschäft effektiver zu gestalten. Melden Sie sich gleich an.
• Partnercenter:
Symantec:
https://products.websecurity.symantec.com/geocenter/reseller/logon.do
Thawte: https://products.thawte.com/geocenter/reseller/logon.do
GeoTrust: https://products.geotrust.com/geocenter/reseller/logon.do
RapidSSL: https://products.geotrust.com/geocenter/reseller/logon.do
Weitere Informationsquellen:
Symantec-Supportdatenbank:
https://products.websecurity.symantec.com/geocenter/reseller/logon.do
Thawte-Supportdatenbank:
https://products.thawte.com/geocenter/reseller/logon.do
GeoTrust-Supportdatenbank:
https://products.geotrust.com/geocenter/reseller/logon.do
Eine Liste der häufig gestellten Fragen können Sie
im Partnercenter durch Suchen nach AR1648 in der
Supportdatenbank abrufen.
• PartnerNet: https://partnernet.symantec.com/Partnercontent/Login.jsp
PartnerNet wird exklusiv für unsere Partner-Community
angeboten – Sie erhalten bei PartnerNet alles, was Sie
brauchen, um sich neue Geschäftschancen zu erschließen
und die wachsenden Anforderungen Ihrer Kunden zu
erfüllen.
Im Partnercenter bzw. bei PartnerNet stehen Ihnen die
folgenden Ressourcen zur Verfügung:
• Authentifizierungsvideo
• Webcast-Schulungen nach Produktkategorie:
– Domänenvalidierung (DV)
– Organisationsvalidierung (OV)
– Erweiterte Validierung (EV)
– Code Signing
– Symantec Safe Site
• Road to Profitability – R2P (Der Weg zur Profitabilität):
www.roadtoprofitability.com
Begeben Sie sich mit unserem Partnerprogramm für
Website-Sicherheit auf die Reise. An jeder Zwischenstation
finden Sie wertvolle Informationen, die Ihnen helfen, jetzt
gleich und auch in Zukunft profitabler zu arbeiten.
Kontaktangaben
Website
http://go.symantec.com/wspp
Partner-Support
+1 866-893-6565 (Option 7) oder +1 650-426-3347 (Option 7)
E-Mail: [email protected]
(USA, Kanada und Lateinamerika)
(Europa und Afrika)
(Asien, Australien und Neuseeland)
Partner-Vertriebsteam in den USA
Live-Chat mit einem Vertriebsmitarbeiter: go.symantec.com/wspp
+1 866-893-6565 (Option 6) oder +1 650-426-3347 (Option 6)
Partner-Vertriebsteam außerhalb der USA
Live-Chat mit einem Vertriebsmitarbeiter: go.symantec.com/wspp
+49 69380789081 (Deutschland)
+33 157324268 (Frankreich)
+44 2034505486 (Großbritannien)
+27 21 819 2800 (Südafrika)
Informationen zur weiteren Niederlassungen in anderen
Ländern und die zugehörigen Kontaktangaben finden Sie auf
unserer Website.
Informationen zu Symantec
Als führender Anbieter von IT-Lösungen für Sicherheit, Backup
und Verfügbarkeit schützt Symantec Informationen in der digitalen Welt. Unsere innovativen Produkte und Dienstleistungen
schützen Personen und Informationen in jeder Umgebung –
angefangen bei Mobilgeräten über Rechenzentren bis hin zu
Cloud-basierten Systemen. Unser branchenführendes Expertenwissen über den Schutz von Daten, Identitätsinformationen
und Interaktionen gibt unseren Kunden das Vertrauen für
den Umgang mit der vernetzten Welt. Weitere Informationen
stehen auf der Website www.symantec.de zur Verfügung.
Hauptsitz von
Symantec
350 Ellis St.
Mountain View, CA 94043, USA
+1 650 527 8000
+1 800 721 3934
www.symantec.com
Hauptsitz von Symantec
350 Ellis St.
Mountain View, CA 94043, USA
+1 650 527 8000
+1 800 721 3934
www.symantec.com

authentifizierungsleitfaden

Transcription

Similar documents

Alles im Fluss - Union Investment Real Estate GmbH

Thawte Certificate Center

Online-Vermarktung Ihrer Bücher

Deutschen - Transatlantische Jahreswirtschaftskonferenz

Recht kompakt Singapur

Touch Display Link ver 2.0

Die Agilent OpenLAB CDS-Software

Poster auch als PDF

Spezielle Regel zur Umsetzung der DIN EN ISO/IEC 17025

Die 100 umsatzstärksten österreichischen Online-Shops

002 Die neue Rente

Verwenden des HP iPAQ

diktatorpuppe zerstört, schaden gering.

Business Intelligence für mehr Umsatz

Aktuelles Amtsblatt Juni 2016