Novo Procedimento de Validação dos certificados SSL

A partir de 1º de julho 2012, a Certisign adota o novo procedimento de validação dos Certificados Digitais SSL/TLS.

O novo procedimento é um movimento mundial que será adotado por todas as Autoridades certificadoras de acordo com a recomendação do CAB Fórum - Certification Authority / Browser Fórum.

O objetivo destas mudanças é reduzir a possibilidade de fraude no processo de validação dos Certificados Digitais SSL, garantindo a identificação inequívoca dos sites que utilizam essa tecnologia. O CAB Fórum é a entidade de autoregulamentação que padroniza e regula as melhores práticas de mercado para Autoridades Certificadoras e fabricantes de browser.

Desde 1996 a Certisign cumpre com os mais rigorosos padrões para a validação dos Certificados emitidos para seus clientes. Por isso incorpora os novos procedimentos reforçando seu compromisso com as melhores práticas de segurança.

Os produtos afetados com esta mudança são MPKI SSL/TLS, Certificado para Servidor Web - Site Seguro, Site Seguro Pro e Certificados EV SSL.

Como resultado da adoção da nova regulamentação, adequamos todos os procedimentos de autenticação e verificação de organizações e domínios utilizados no processo de emissão de Certificados Digitais em conformidade com a Declaração de Práticas de Certificação já atualizada.

Nossos clientes já conhecem os processos de emissão de Certificado Digital e notarão apenas algumas diferenças na forma de validar as informações de sua empresa.

CONFIRA O QUE MUDOU

As etapas do processo de emissão dos certificados SSL permanecem as mesmas. Entretanto, o procedimento de autenticação e verificação dos Certificados Digitais está mais criterioso.

Procedimento de Autenticação - Principais Mudanças:

  • Autenticação da Organização - O nome da Organização cadastrado na solicitação do produto deve ser igual ao cadastrado nas bases da Receita Federal. A ausência de identificadores da corporação ou abreviações não serão permitidas.
  • Autenticação do OU (Organization Unit) - Quando preenchido este campo que identifica departamentos de uma organização será checado pela equipe de Validação.
  • Autenticação da Localidade - Informações de estado e cidade da companhia que deseja emitir o Certificado serão verificadas pela equipe de Validação.
  • Autenticação do domínio - O processo permanece basicamente o mesmo. Foi criado um novo procedimento que deve ser usado quando não for possível validar a informação do domínio, utilizando informações obtidas por meio do registro.br ou whois. Neste procedimento, chamado Demonstração Prática, o cliente consegue por meio de uma mudança em sua página Web demonstrar que tem controle sobre o domínio.

Procedimento de Verificação - Principais Mudanças:

Carta de Opinião Profissional - POL - Esta carta foi inserida no processo de emissão de Certificado em substituição à Carta Notarial. A POL deve ser usada quando a equipe de Validação da Certisign não consegue chegar aos contatos da organização por meio de diretórios públicos - operadoras de telefonia. Neste caso, a Certisign enviará um modelo de carta a ser preenchido por um advogado da organização solicitante ou um contador independente.

Para mais informações sobre as orientações do fórum CA/Browser, consulte as diretrizes do CABF Requirements and Standards Changes Site.

Se o certificado digital está válido, preciso realizar um novo processo de emissão?

Organizações que possuem Certificados para servidor Web (Site Seguro, Site Seguro Pro e EV SSL) precisarão efetuar nova validação somente no momento da renovação ou novas emissões de Certificados. Cerificados válidos continuam operacionais e não precisam de ação.

Organizações que possuem MPKI SSL/TLS - Domínios integrantes de sua MPKI que já foram validados há mais de 39 meses - 3 anos e 3 meses- precisam ser revalidados até o dia 30 de junho para a utilização das licenças ainda não emitidas. Certificados já emitidos continuam válidos.

Para minimizar qualquer tipo de indisponibilidade dos nossos clientes, a Certisign já iniciou o processo de revalidação das informações necessárias de seus domínios e organizações.

A Certisign entrará em contato comigo?

Não necessariamente. Grande parte do trabalho de revalidação destas informações pode ser feito pelos analistas da Certisign acessando informações já disponíveis.

Somente quando houver divergência de informações o contato será efetuado pela equipe da Certisign.

De quanto em quanto tempo precisarei revalidar as informações de meu serviço MPKI SSL?

Até o dia 30 de junho, os domínios eram validados somente no momento de sua inserção no sistema. A partir de 1 de julho de 2012, haverá a necessidade de revalidação destas informações a cada 39 meses - 3 anos e 3 meses, desde que estas informações não sejam alteradas durante este período.