Knowledge Base

Existem três formas principais de validação de certificados SSL. Validação de domínio, validação da organização e validação alargada / estendida (EV). Neste artigo vamos abordar em detalhe cada um dos tipos de validação mencionados e auxiliar a esclarecer o processo e timings envolvidos em cada um deles.

Qual a necessidade de existirem estas validações?

Estas validações, independentemente do tipo são utilizadas para a entidade emissora se certificar que a entidade que solicita determinado certificado é quem diz ser e / ou detentora / gestora do(s) endereço(s) que os certificados SSL irão certificar. É assim relevante que os dados que faculta, nomeadamente os endereços a certificar bem como informação da entidade que solicita os certificados, sejam fidedignos.

Certificados com validação de domínio (DV SSL)

Estes certificados são os que têm um processo de validação menos rigoroso. Para obter um certificado deste tipo apenas necessita de confirmar que detém o controlo do domínio que pretende certificar, através de uma das formas que indicamos de seguida. Nenhuma informação de identidade da entidade que solicitou o certificado (cliente) é verificada e nenhuma informação é exibida nos detalhes do certificado SSL, para além das informações respeitantes a criptografia e entidade emissora do certificado SSL. Neste caso existe a confirmação de que os dados transmitidos através de ligação validada pelo certificado SSL são de facto encriptados, no entanto não é possível obter informação sobre a entidade receptora desses dados.

As grandes vantagens deste tipo de certificados são o custo e a rapidez de emissão. São certificados para quem pretende uma solução mais em conta e para aplicação somente para obter um acesso seguro (https) certificado como blogs, portfolios, sites informativos ou pequenos negócios que não comercializem produtos online.

Como se realiza o processo de validação do domínio?

A validação de domínio poderá ser efetuada recorrendo aos seguintes métodos:

Envio de e-mail

Neste método é enviado um email para endereços pré-definidos pela entidade certificadora de entre os quais poderá optar. De referir que não é possível o envio para endereços de e-mail que saiam fora da tipologia dos apresentados.

admin@o_seu_DOMÍNIO
administrator@o_seu_DOMÍNIO
hostmaster@o_seu_DOMÍNIO
postmaster@o_seu_DOMÍNIO
webmaster@o_seu_DOMÍNIO

Nesse email terá acesso a um link que o reencaminhará para a plataforma da Entidade Certificadora, ao qual deverá aceder para proceder à validação e aprovação dos dados com respectivo código de segurança.

Através de registo DNS (registo CNAME ou TXT)

Neste método, é solicitada a criação de um registo de DNS, do tipo CNAME ou TXT, com valores determinados e indicados pela entidade certificadora aquando do processo de requisição do certificado SSL. Este registo segue por norma o seguinte formato:

_<MD5 hash>.oseudominio.com.     CNAME <SHA-256 hash>.[<uniqueValue>.]sectigo.com.

Exemplo:  

Host: _c7fbc2039e400c8ef74129ec7db1842c.yourdomain.com.
Tipo: CNAME
Valor: c9c863405fe7675a3988b97664ea6baf.442019e4e52fa335f406f7c5f26cf14f.sectigo.com.

Ou

Host: yourdomain.com.

Tipo: TXT

Valor: _entitycaa-domain-verification=NaygyAN9M8bSb6tf6d-6564HA-THsa7AS8

Se o domínio base do endereço a certificar estiver configurado com nameservers da WebHS, a criação / configuração do registo de DNS do tipo CNAME ou TXT necessário à validação poderá ser realizada pela equipa técnica da WebHS.

Através de ficheiro / Acesso HTTP ou HTTPS (não aplicável para validação de certificados Wildcard)

Recorrendo a este método é determinado e indicado pela entidade certificadora o conteúdo que deverá ser inserido num ficheiro com extensão .txt, com um nome igualmente indicado, e que deverá ser colocado num caminho / path específico (O acesso ao endereço com e sem 'www' é necessário) dentro do espaço de alojamento web acessível pelo endereço para o qual se encontra a gerar o certificado SSL.

Exemplo:

http://oseudominio.com/.well-known/pki-validation/nome_ficheiro.txt (O acesso ao endereço com e sem 'www' é necessário)

Há semelhança do indicado no método anterior, caso o endereço a certificar aponte para servidores WebHS, a criação / inserção do ficheiro na respectivo caminho / path poderá ser realizada pela equipa técnica da WebHS.

Certificados com validação de organização (OV SSL)

Este tipo de certificado SSL, de validação de organização, incrementa uma camada de validação face aos DV SSL. Para além da validação de domínio, descrita anteriormente e igualmente necessária, é realizada uma validação dos dados associados à organização que requisita o certificado SSL. Esta mesma informação irá passar a constar nos detalhes do certificado, para além das informações respeitantes a criptografia e entidade emissora do certificado SSL.

Estes certificados agregam algumas vantagens adicionais face aos DV SSL, nomeadamente um aumento da credibilidade e segurança transmitida ao visitante, uma vez que através da análise da informação do certificado SSL este último pode confirmar a existência de uma entidade real que prestou prova da sua existência. Para além do mencionado, estes certificados oferecem ainda, por norma, um valor mais elevado de garantia.

Em que consiste o processo de validação da organização?

A entidade certificadora, com vista a validar a informação da organização que requisita o certificado, recorre a diversas entidades / bases de dados (Trusted Sources ), fazendo posteriormente o ‘match’ com a informação cedida por quem requisita o certificado SSL. Neste processo de verificação de informação são consultadas pelas entidades certificadoras (CA), para validação de entidades portuguesas, os seguintes websites / plataformas:

https://www.infobel.com/en/portugal
https://pt.kompass.com/
http://www.118net.pt/
https://www.pai.pt/
https://www.einforma.pt/

Após validação da informação, é concluído o processo através de uma última verificação realizada por contacto telefónico. Este poderá ser automático com o fornecimento de um código de segurança para que possa completar a validação através de link, ou um contacto personalizado e realizado por um operador para validação verbal. O contacto telefónico é realizado para o nº de telefone disponível publicamente nos websites referidos anteriormente. O contacto para um nº de telefone distinto não será possível, a menos que se prove que o novo número pertence à organização/empresa, através do envio de documentação própria para o efeito. Esta validação através de contacto telefónico é realizada no idioma inglês por parte da entidade certificadora.

É assim de extrema importância que mantenha a informação respeitante à sua organização com dados fidedignos e actualizados.

Concluídas todas as validações acima referidas, inicia-se então a emissão do certificado SSL requisitado. De referir que todas as validações indicadas em cima serão repetidas aquando da renovação do mesmo certificado SSL pelo que é aconselhável que a renovação desde tipo de certificado SSL (OV SSL) seja realizada com algum tempo de antecedência face à data limite a fim de evitar a expiração do certificado SSL durante o processo de validação.

Certificados com validação alargada / estendida (EV SSL)

Os certificados de validação alargada / estendida (EV SSL) são os que compreendem uma maior complexidade no seu processo de validação. Para além dos processos de validação descritos anteriormente (validação de domínio e validação de organização) é incrementada uma validação da informação respeitante a pelo menos um dos responsáveis da entidade que solicita o certificado. Assim e no seguimento do indicado, as seguintes verificações serão realizadas:

É verificado se o domínio ao qual será aplicado o certificado SSL EV tem a sua informação de WHOIS coincidente com a da entidade que requisita o certificado.

É verificado se o requerente coincide com a entidade associada a quem solicitou o certificado.

O nome da entidade que solicita o certificado deve coincidir na íntegra com o nome da empresa que consta nos registos públicos disponíveis nas plataformas indicadas:

https://www.infobel.com/en/portugal
https://pt.kompass.com
http://www.118net.pt
https://www.pai.pt
https://www.einforma.pt

A morada indicada pelo requerente deve coincidir de igual forma na íntegra com a morada que consta nos registos públicos disponíveis nas plataformas indicadas acima. Caso seja diferente, poderá ser solicitado pela entidade certificadora registos que comprovem a existência da entidade requerente na morada indicada.

O contacto telefónico disponível publicamente nas plataformas indicadas anteriormente será também validado através da realização de uma chamada, com validação verbal e personalizada, realizada em inglês.

Certificados de validação alargada / estendida ajudam a prevenir ataques de phishing ao habilitar a barra de endereço verde no browser, o que transmite uma ainda maior segurança a todos os visitantes do(s) seu(s) website(s). Desta forma este é o tipo de certificado SSL aconselhado para websites que implicam transação de informação sensível.