La procédure d'audit expliquée
L'un des rôles principal du certificat SSL consiste à identifier clairement le détenteur d'un certificat SSL via un audit plus ou moins poussé selon le type de produit (1-, 2-, 3-, 6-facteur : quelle différence ?). dans le cas d'un certificat standard, l'audit s'attache à vérifier 4 points :
- l'existence de l'organisation détentrice
- que le demandeur dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser
- que le numéro de téléphone de l'organisation se trouve à l'annuaire (Pages Jaunes ou 118 712 par exemple).
- qu'un membre de l'organisation autorise la délivrance du certificat
À savoir : Peu importe l'autorité de certification choisie, le processus d'audit vise à vérifier le même type d'information, cependant les documents demandés ou les méthodes utilisées peuvent varier.
L'existence de l'organisation
Nous nous assurons de l'existence de l'organisation (le certificat est toujours délivré au nom du siège social) en demandant :
- un numéro d'inscription au registre du commerce valide pour une entreprise
- Un extrait de "situation au répertoire SIRENE" de l'INSEE pour les services publics et professions libérales
- un récépissé de déclaration pour les associations
- ...
En toute logique une structure n'existant plus ne peut prétendre à une authentification SSL.
L'appartenance du domaine
Lors de l'audit nous vérifions que le domaine destiné à être sécurisé appartient bien à l'organisation. Chaque autorité utilise sa méthode :
- chez DigiCert, Thawte et Geotrust : c'est le challenge DCV qui permet de s'assurer du contrôle du domaine
- chez GlobalSign : c'est le challenge DCV qui permet de s'assurer du contrôle du domaine
- Chez Sectigo & TBS X509 : c'est le challenge DCV qui permet de s'assurer du contrôle du domaine
Comment mettre à jour les information du Whois chez OVH
Le téléphone
Nous devons nous assurer que le numéro de téléphone de l'organisation se trouve à l'annuaire (Pages Jaunes ou 118 712 par exemple). L'adresse et le nom de l'organisation affichées sur l'annuaire doivent être identiques aux informations apparaissant au Kbis.
Si ce n'est pas le cas :
- Pour les certificats Sectigo, TBS X509 (non EV) : soit faire une demande de mise à jour des pages jaunes, 118 712 ou Base DUNS, soit l’autorité enverra une « lettre mot de passe » à l'organisation par voie postale.
- Pour les certificats DigiCert, Thawte et Geotrust : soit faire une demande de mise à jour des pages jaunes, 118 712 ou Base DUNS, soit l’autorité enverra une « lettre mot de passe » à l'organisation par voie postale, soit utiliser une POL (nous demander le modèle)
- Pour les certificats GlobalSign : soit faire une demande de mise à jour des pages jaunes, 118 712 ou Base DUNS, soit l’autorité enverra une « lettre mot de passe » à l'organisation par voie postale.
L'appel de vérification finale
Une fois l'audit terminé, nous demandons à une personne faisant partie de l'organisation l'autorisation de fabriquer le certificat et nous nous assurons que la demande émane bien de l'organisation. L'appel se fait sur une ligne ayant été certifiée lors de la précédente phase de l'audit.
La validation DCV
Le challenge DCV qui nous permet de nous assurer que le gestionnaire du domaine approuve la livraison du certificat. Voir :
- DigiCert : Qu'est ce que le challenge DCV ?
- Sectigo et TBS X509 : Qu'est ce que le challenge DCV ?
- GlobalSign : Qu'est ce que le challenge DCV ?
- Certigna : Qu'est ce que le challenge DCV ?
CAS DES CERTIFICATS EXTENDED VALIDATION
L'audit préalable à l'émission d'un certificat EV est beaucoup plus poussé et ne fait pas appel aux même types de documents même si nous vérifions le même type d'information.
Voir un tableau comparatif points d'audit en fonction du type de certificat
À NOTER : Cette procédure s'applique de manière identique à une nouvelle demande comme à un renouvellement de certificat pour lequel l'audit complet est de nouveau effectué. De même il vous appartient de nous signaler tout changement de nom, cessation d'activité ou cession à fin de révocation du certificat.
En bref : comment optimiser vos commandes ?
Lors du dépôt de votre demande :
- Renseignez les informations concernant le siège social ( tel qu'enregistré au Kbis) de l'organisation détentrice
- Assurez-vous que l'organisation dispose de l'accord de l'exploitant technique du nom de domaine qu'il veut sécuriser et qu'elle pourra valider le DCV
- Vérifiez la justesse des informations présentes aux Pages Jaunes (ou 118 712) ou créez une fiche sur l'un de ces annuaires : Comment s'inscrire sur 118 712
- Enfin, faites en sorte que le contact administratif soit joignable via le standard téléphonique dans les jours qui suivent la commande afin que nous puissions effectuer la vérification finale.
Obtenir un Kbis
MonIdenum vous permet d'obtenir un Kbis en temps réel et ce, gratuitement. N'hésitez pas à utiliser leurs services.