Menu
picture of tbs certificates
picture of tbs certificates
Les certificats
Notre gamme
Partenaires
Support
Numéro vert
Focus


La procédure d'audit expliquée

L'un des rôles principal du certificat SSL consiste à identifier clairement le détenteur d'un certificat SSL via un audit plus ou moins poussé selon le type de produit (1-, 2-, 3-, 6-facteur : quelle différence ?). dans le cas d'un certificat standard, l'audit s'attache à vérifier 4 points :
  • l'existence de l'organisation détentrice
  • que le domaine appartient à l'organisation
  • que le numéro de téléphone de l'organisation se trouve à l'annuaire (Pages Jaunes ou 118 712 par exemple).
  • qu'un membre de l'organisation autorise la délivrance du certificat
À savoir : Peu importe l'autorité de certification choisie, le processus d'audit vise à vérifier le même type d'information, cependant les documents demandés ou les méthodes utilisées peuvent varier.

L'existence de l'organisation


Nous nous assurons de l'existence de l'organisation (le certificat est toujours délivré au nom du siège social) en demandant :
  • un numéro d'inscription au registre du commerce valide pour une entreprise
  • Un extrait de "situation au répertoire SIRENE" de l'INSEE pour les services publics et professions libérales
  • un récépissé de déclaration pour les associations
  • ...
En toute logique une structure n'existant plus ne peut prétendre à une authentification SSL.

L'appartenance du domaine


Lors de l'audit nous vérifions que le domaine destiné à être sécurisé appartient bien à l'organisation. Chaque autorité utilise sa méthode :
  • chez Symantec, Thawte et Geotrust : c'est le challenge DCV qui permet de s'assurer du contrôle du domaine
  • chez GlobalSign : consultation du WHOIS (informations d'enregistrement du domaine). Si le domaine n'appartient pas à l'organisation, vous pouvez créer une page sur le site à sécuriser (exemple : www.domain.com/globalsign.html) et y faire apparaitre un code de sécurité fournit par l'autorité.
  • Chez Comodo & TBS X509 : c'est le challenge DCV qui permet de s'assurer du contrôle du domaine

Comment mettre à jour les information du Whois chez OVH

Le téléphone


Nous devons nous assurer que le numéro de téléphone de l'organisation se trouve à l'annuaire (Pages Jaunes ou 118 712 par exemple). L'adresse et le nom de l'organisation affichées sur l'annuaire doivent être identiques aux informations apparaissant au Kbis. Si ce n'est pas le cas :
  • Pour les certificats Symantec, Thawte et Geotrust, nous demanderons une POL (Professional Opinion Letter signée le plus souvent par un expert comptable)

L'appel de vérification finale


Une fois l'audit terminé, nous demandons à une personne faisant partie de l'organisation l'autorisation de fabriquer le certificat et nous nous assurons que la demande émane bien de l'organisation. L'appel se fait sur une ligne ayant été certifiée lors de la précédente phase de l'audit.

La validation DCV


Chez Comodo et TBS X509 une vérification supplémentaire existe : le challenge DCV qui nous permet de nous assurer que le gestionnaire du domaine approuve la livraison du certificat. Il existe plusieurs méthodes de validation DCV : E-mail, HTTP ou DNS : En savoir plus

CAS DES CERTIFICATS EXTENDED VALIDATION


L'audit préalable à l'émission d'un certificat EV est beaucoup plus poussé et ne fait pas appel aux même types de documents même si nous vérifions le même type d'information.

Voir un tableau comparatif points d'audit en fonction du type de certificat



À NOTER : Cette procédure s'applique de manière identique à une nouvelle demande comme à un renouvellement de certificat pour lequel l'audit complet est de nouveau effectué. De même il vous appartient de nous signaler tout changement de nom, cessation d'activité ou cession à fin de révocation du certificat.

En bref : comment optimiser vos commandes ?

Lors du dépôt de votre demande :
  • Renseignez les informations concernant le siège social ( tel qu'enregistré au Kbis) de l'organisation détentrice
  • Assurez-vous que l'organisation est bien propriétaire du domaine auprès de votre prestataire
  • Vérifiez la justesse des informations présentes aux Pages Jaunes (ou 118 712) ou créez une fiche su l'un de ces annuaires : Comment s'inscrire sur 118 712
  • Enfin, faites en sorte que le contact administratif soit joignable via le standard téléphonique dans les jours qui suivent la commande afin que nous puissions effectuer la vérification finale.