Wijzigingen in validatieprocedure SSL certificaten

Hierbij willen we u graag informeren over enkele wijzigingen die per 1 juli 2012 zullen ingaan. Dan worden de nieuwe richtlijnen van het CAB forum actief en als gevolg hiervan zal er een en ander wijzigen in de validatieprocedure voor SSL Certificaten.

Met ingang van 1 juli zullen de volgende wijzigingen bij alle leveranciers van kracht worden:

  1. Bij alle certificaten met bedrijfsgegevens dient er een telefonische validatie te worden uitgevoerd.
  2. De zogenaamde interne domeinen zoals .local zullen verdwijnen en zijn na 1 november 2015 niet meer toegestaan.

Telefonische validatie

De richtlijnen voor certificaten met bedrijfsgegevens zijn gewijzigd. Per 1 juli 2012 zal er voor alle certificaten met bedrijfsgegevens een telefonische validatie worden uitgevoerd. Deze telefonische validatie bestond reeds voor de zogenaamde EV certificaten met groene adresbalk, maar zal nu bij alle certificaten met bedrijfsgegevens moeten worden uitgevoerd.

Waarom is de telefonische validatie nodig?

De telefonische validatie wordt ingezet om zeker te zijn dat het certificaat aan de juiste organisatie wordt uitgegeven en er dus geen misbruik gemaakt kan worden van een verkeerd uitgegeven SSL certificaat.

Wat als ik geen telefonische validatie wil?

Het is na 1 juli niet meer mogelijk om certificaten te verkrijgen met bedrijfsgegevens en zonder telefonische validatie. De regels zijn industriebreed afgesproken en zullen door alle leveranciers van SSL certificaten gehandhaafd worden. De richtlijnen zijn opgesteld door het CA/Browser forum (http://www.cabforum.org/forum.html), waar alle grote CA’s aan deelnemen.

U kunt wel kiezen voor een certificaat zonder bedrijfsgegevens, waarbij alleen de Domein Validatie gedaan wordt.

Hoe werkt de telefonisch validatie?

Bij de telefonische validatie wordt er door de CA (of geautoriseerde partij namens de CA) telefonisch contact opgenomen met de klant. De klant wordt gebeld op een algemeen nummer van het bedrijf (zoals het telefoonnummer wat vermeld staat bij de Kamer van Koophandel) en op dat nummer wordt de klant gevraagd of hij akkoord gaat met de aanvraag.

De telefonische validatie voor de certificaten met Organisatie Validatie is overigens minder strikt dan de validatie voor de certificaten met uitgebreide validatie.

Welke stappen worden nu precies uitgevoerd bij de validatie van een certificaat?

Bij de validatie worden een aantal controles gedaan. Als eerste stap wordt er gekeken of alle gegevens goed zijn en als alle gegevens correct zijn wordt de telefonische validatie uitgevoerd. De domeinvalidatie is de allerlaatste stap, deze wordt uitgevoerd als de telefonische validatie succesvol is afgerond.

Voordat een SSL Certificaat wordt uitgegeven worden er een aantal controles uitgevoerd. Welke controles worden uitgevoerd is afhankelijk van het gekozen certificaat. In het onderstaande overzicht wordt weergegeven bij welke certificaat welke controles worden uitgevoerd.

Domein Validatie
(zonder bedrijfsgegevens)
Organisatie Validatie
(met bedrijfsgegevens)
Uitgebreide Validatie
(bedrijfsgegevens en groene adresbalk)
Domein Validatie Domein Validatie Domein Validatie
Whois Whois
KvK KvK
Telefonische validatie Telefonische validatie
EV formulier (overeenkomst)

Heeft de telefonische validatie invloed op de levertijd?

Tijdens kantoortijden wordt de telefonische validatie zo snel mogelijk uitgevoerd, maar helaas zijn de levertijden wel afhankelijk van de telefonische bereikbaarheid van het bedrijf. Buiten kantoortijden wordt de telefonische validatie alleen op verzoek uitgevoerd in zeer dringende situaties.

We raden u zoals altijd aan niet te lang te wachten met het verlengen van certificaten. Indien u certificaten enkele weken van te voren verlengt dan worden de dagen die u nog beschikbaar heeft op het oude certificaat overgenomen op het nieuwe certificaat.