En otras entradas, hemos hablado de los tipos de certificados que existen y como lo que se valida y el proceso de validación para cada uno de ellos es diferente. Resumo los tipos de certificados:
- DV o Validación de Dominio
- OV o Validación de Organización
- EV o Validación Extendida
El certificado de nivel más alto, incluye la validación requerida por el nivel anterior. Es decir, un certificado OV, requiere una validación de la organización pero también del dominio, y un EV, además de esa validación extendida, validará también la organización y el dominio. Por lo tanto, el proceso de validación de cualquier certificado antes de concederlo siempre será:
- Se valida el dominio para el que se solicita el certificado. Esto es necesario para los certificados DV, OV y EV y suficiente para un SSL de tipo DV.
- Se valida la organización para la que se solicita el certificado. Necesario para los certificados OV y EV y suficiente para un SSL de tipo OV
- Se realizan validaciones adicionales sobre el solicitante del certificado para los SSL de tipo EV.
¿Cómo valido un dominio?
Para validar el dominio, la Autoridad Certificadora (CA) debe asegurarse de que tenemos acceso a la gestión del dominio.
Hay 3 tipos de validaciones: DNS, FILE o EMAIL:
- Para la validación DNS tendrás que añadir una cadena concreta en un registro DNS.
- En el caso de FILE, es similar: hay que subir un archivo en una ruta concreta del dominio.
- Por EMAIL, se enviará un correo con un enlace a una dirección de email fija (admin@example.com…)
Lo normal es que todo este proceso sea transparente para ti si la gestión de las DNS y del certificado los tienes en el mismo hoster.
¿Cómo se valida la organización del certificado?
Al solicitar certificados OV y EV, se pide información completa de la organización y de un Contacto Administrativo dentro de la organziación que respodnerá por la validez de los datos. Con esa información la CA debe asegurarse que los datos son válidos y para ello utiliza la información de entidades y registros públicos, como puede ser el registro mercantil u otros registros similares (p.ej. Google Business o Páginas Amarillas).
Una vez la CA se ha asegurado de la existencia jurídica y operativa de la entidad se realiza una llamada telefónica al teléfono de contacto de la empresa para asegurarse de que todo es correcto.
Para validar una organización, entonces, lo que se se hace es:
- La CA comprueba que la empresa está registrada y operativa consultando información de autoridades competentes (registro mercantil, etc.)
- Se valida el domicilio fiscal de la organización
- Se localiza un teléfono de esa organización y se realiza una llamada de comprobación
- Se aseguran de que el dominio para el que se solicita el certificado pertenece a la organización
Aunque el proceso está automatizado en gran medida, la concesión del certificado no es inmediata (como puede ser la de un DV), y el proceso puede llevar varios días. Lo bueno es que no tendremos que pasar de nuevo por todo el proceso si solicitamos nuevos certificados para la misma organización: la organización se considera validada durante 27 meses.
Añado un par de enlaces para mostrar cómo hacen esta validación Digicert y Sectigo, dos de las mayores CA:
Y, ¿qué es eso de validación extendida? ¿Cómo se validan los EV?
Vale… me has pillado. Aquí simplemente se indica que las comprobaciones son «más exhaustivas» y yo me remito a lo que diga la guía de CA/Browser forum para la validación extendida (v 1.6.7), llámame cobarde si quieres.
¿Has dicho CA/Browser forum?
CA/Browser forum es el consorcio que agrupa a Autoridades Certificadoras, constructores de software (como Mozilla o Google) y otras entidades relacionadas con las certificaciones y que se encarga de emitir guías y requerimientos que son vinculantes para los miembros del foro.