Procédure de validations de l'organisation certificat TLS

En quoi consiste la validation de l'organisation ? En quoi est-elle importante ?

Pour les commandes de certificats OV et EV, les normes en vigueur dans l’industrie exigent que DigiCert valide l'organisation incluse dans votre demande de certificat avant de pouvoir émettre votre certificat.

Ces vérifications sont destinées à s'assurer que vous êtes bien la personne que vous prétendez être, dans le but de vérifier l'existence légale de l'organisation et voir si une organisation est suffisamment digne de confiance pour obtenir un certificat TLS OV ou EV.

Pour finaliser la validation de votre organisation, DigiCert doit :

Comment nous validons votre organisation ?

Bien que nous ne puissions pas détailler ce qui se passe dans les coulisses du processus de validation de notre organisation, voici quelques éléments clés pour vous aider à comprendre la procédure à suivre après avoir passé une commande.

Afin de vérifier l'existence, le statut, etc. de votre organisation, nous examinons les registres des sociétés, tels que les registres des autorités locales, Dun & Bradstreet et Google Maps, ainsi que les bases de données antiterroriste, ou listant des pratiques de fraude ou d’hameçonnage, ou encore listant les entités sujettes à restrictions gouvernementales.

Par ailleurs, nous devons vérifier que l’organisation à l’origine de la demande de certificat est bien celle à qui le certificat sera délivré.

Ci-dessous, quelques éléments que nous vérifions :

  • Type d'organisation
    Vérification du type d'organisation à laquelle nous émettons, comme les banques, les universités, les entreprises, les organisations à but non lucratif, etc.
  • Statut de l'organisation
    Vérification du statut de l'organisation et si elle est toujours en activité
  • Adresse légale
    Vérification de l'adresse physique légale de l'organisation
  • Listes noires
    Vérification que l'organisation n'apparaît pas sur une liste "d'exclusion" pour les organisations ou pour le pays où l'organisation est située.
  • Listes en matière de fraude et d’hameçonnage
    Vérification que l'organisation ne figure pas sur les listes d'organisations "malveillantes"
  • Demande d'authenticité
    Confirmation de l'autorisation à commander un certificat pour votre organisation. Consultez la page Comment confirmons-nous votre autorisation ?

La majeure partie du travail de vérification sur l'organisation est réalisée par nos soins, nous ne sollicitons généralement que très peu d'aide de votre part. Il se peut cependant qu'un agent de validation DigiCert vous demande un document "acceptable" pour nous aider à confirmer que votre organisation est une organisation légalement et juridiquement constituée. Pour obtenir davantage d'informations concernant la documentation "acceptable" à fournir, veuillez consulter la page Processus de validation des certificats SSL.

Comment confirmons-nous votre autorisation ?

Afin de confirmer que vous êtes autorisé à commander un certificat pour l'organisation, nous devons préalablement obtenir un numéro de téléphone d'organisation vérifié et répertorié publiquement, et non pas un numéro de téléphone quelconque. Le numéro de téléphone de l'organisation doit provenir d'une tierce partie ou d'une liste indépendante.

Nous utilisons ensuite le numéro de téléphone vérifié pour nous entretenir avec une personne représentant l'organisation, que ce soit une personne-ressource de l'organisation ou un responsable technique, afin de vérifier que vous êtes autorisé à demander un certificat pour l'organisation. Nous pouvons également nous adresser directement à vous, le demandeur du certificat, si aucun autre représentant n'est disponible.

Nous vous recommandons de fait de faire apparaître votre nom dans l'annuaire de votre entreprise et de l'ajouter à votre boîte vocale pour nous aider à confirmer l'identité de la personne que nous recherchons.

Quel est votre rôle ?

  1. Répondez à notre appel téléphonique pour confirmer votre autorité (méthode préférée)*

    Après avoir passé votre commande de certificat, assurez-vous que la personne-ressource de l'organisation, le responsable technique et le réceptionniste de votre entreprise sont informés que vous avez commandé un certificat et que chacun d'entre eux est en mesure de répondre à notre appel.

    Informez-les de ce qui suit :

    • S'attendre à un appel téléphonique de DigiCert dans les 24 heures.
    • Être prêt à répondre à quelques questions sur vous et votre position dans l'entreprise.

    Nous ne pouvons pas émettre votre certificat tant que nous n'avons pas confirmé votre autorité.

  1. Répondre au message de consentement de l'organisation

    Si l'agent de validation DigiCert ne peut pas vous joindre personnellement ou une personne qui vous représente au numéro de téléphone de l'organisation vérifiée et répertoriée publiquement, nous vous laisserons un message indiquant un numéro de téléphone de rappel et un code de vérification.

    Veillez à ce que la personne-ressource de l'organisation, le responsable technique ou le réceptionniste réponde à ce message en fournissant le code de vérification.

  1. Programmer une heure pour l'appel

    Si l'agent de validation DigiCert ne peut pas joindre une personne qui vous représente au numéro de téléphone de l'organisation vérifiée et répertoriée publiquement, vous pourriez également recevoir un courrier électronique pour fixer un rendez-vous afin que nous puissions vous rappeler pour finaliser la vérification.

    Veuillez utiliser le lien suivant pour planifier une heure à laquelle vous serez disponible pour répondre à notre appel : https://digicert.simplybook.me/v2/#book. Les rendez-vous s'affichent à l'heure locale. Vous n'avez pas besoin de convertir l'heure.