Er bestaan drie soorten SSL-certificaten: Domain Validated (DV), Organization Validated (OV) en Extended Validation (EV). Het is goed om de verschillen te kennen en te weten hoe certificaten worden uitgegeven door certificeringsinstanties zoals DigiCert. Certificeringsinstanties zijn vertrouwde externe partijen die TLS/SSL-certificaten uitgeven na authenticatie van bepaalde gegevens van een website en de eigenaar ervan.
TLS/SSL-certificaten doen twee dingen. Ten eerste zorgen ze voor een veilige verbinding met een website door de gegevens te versleutelen die tussen de gebruikers en het domein worden uitgewisseld. Ten tweede verifiëren ze het eigendom en de identiteit van het bedrijf of de persoon die eigenaar is van de URL. Een digitaal certificaat verschilt niet van een certificaat in de fysieke wereld in die zin dat het bewijst dat het uw recht is een bedrijf of organisatie online te vertegenwoordigen.
De naam van een SSL-certificaat geeft de validatiestappen aan die voor de uitgifte van het certificaat hebben plaatsgevonden Een Domain Validated-certificaat verwijst naar een eenvoudige verificatie van de eigenaar van een URL, terwijl een Organization Validated-certificaat de domeineigenaar verifieert en de organisatie authenticeert die gekoppeld is aan de URL. Extended Validation-certificaten verifiëren niet alleen de domeineigenaar, maar ook de organisatie en de juridische entiteit van de organisatie, en bieden daarom een hoge mate van zekerheid.
Domeinvalidatie (DV) is een kort proces waarbij de koper slechts het eigendom van het domein of de URL hoeft aan te tonen. De certificeringsinstantie stuurt daartoe een e-mail naar de domeineigenaar die staat vermeld in de WHOIS-database. Deze enkelvoudige validatie is handig als je meteen een certificaat nodig hebt, maar is de laagste norm op internet en moet dan ook als dusdanig worden vertrouwd.
Voor een OV- of EV-certificaat daarentegen zijn extra beveiligingslagen en validatiestappen vereist. Behalve verificatie van de domeineigenaar moeten voor EV- en OV-certificaten ook diverse gegevens van de bijbehorende organisatie worden geverifieerd, zoals naam, soort, status en fysiek adres.
Voor een EV-certificaat zijn negen extra stappen vereist, waaronder de verificatie van een openbaar bedrijfstelefoonnummer, de vestigingsdatum van het bedrijf en het inschrijvingsnummer en rechtsgebied. Daarnaast vinden een domeinfraudecontrole en blacklistcontrole plaats en wordt er opgebeld om te controleren dat de aanvrager ook werkelijk bij het bedrijf werkt.
Hieronder vindt u informatie over de verschillende validatiemethodes
die u kunt gebruiken om uw merk adequaat te beveiligen op het internet.
Ieder TLS/SSL-certificaat vertelt de klant niet alleen in hoeverre de identiteit van uw organisatie is geauthenticeerd, maar ook dat de versleuteling van een website is gecertificeerd.
DV-certificaten zijn wat betreft identiteit de minst gevalideerde SSL-certificaten en kunnen snel en eenvoudig worden verkregen, zelfs door een kwaadwillende bot. Het zijn voordelige certificaten die slechts hoeven te valideren dat een bedrijf of persoon de controle heeft over het webdomein waarvoor het certificaat wordt aangevraagd.
Ter verkrijging van een DV-certificaat stuurt de certificeringsinstantie een bevestigende e-mail naar de website-eigenaar, op het e-mailadres dat staat vermeld in het WHOIS-record van het domein. DV-certificaten worden doorgaans gebruikt door websites zonder zakelijke transacties of creditcardbetalingen.
Soorten websites die DV-certificaten gebruiken:
Een OV-certificaat wordt geauthenticeerd met negen validatiecontroles en geldt als een bedrijfscertificaat van gemiddeld niveau. Bij een OV-certificaat authenticeert de certificeringsinstantie het eigendom van een domein, net als bij een DV-certificaat.
Daarnaast neemt de certificeringsinstantie extra stappen om te authenticeren dat de organisatie die gekoppeld is aan het certificaat (een bv, nv, stichting) rechtsgeldig is en een goede reputatie heeft.
Een OV-certificaat is het meest geschikt voor de volgende websites en -pagina's:
EV-certificaten worden door de certificeringsinstantie geauthenticeerd door middel van achttien validatiecontroles. Dankzij dit grondige controleproces is de identiteit van een merk met een EV-certificaat goed beschermd.
Naast alle stappen die vereist zijn voor DV en OV controleert de certificeringsinstantie het daadwerkelijke bestaan en fysieke adres van een organisatie, en vindt een telefoontje plaats om te controleren dat de aanvrager ook daadwerkelijk in dienst is bij het bedrijf.
Een OV-certificaat is het meest geschikt voor de volgende websites en -pagina's:
Het validatieteam van DigiCert wijst ieder jaar circa 3750 EV-certificaten af, onder andere op grond van het feit dat aanvragen frauduleus zijn.
De Europese Unie is een fervent voorstander van strengere online beveiligingsnormen ter vergroting van het gebruikersvertrouwen en de authenticiteit op internet. In 2015 nam de Europese Commissie de Tweede richtlijn betalingsdiensten (PSD2) aan om betalingstransacties te reguleren, een meer geïntegreerde Europese markt voor betaaldiensten te creëren en de consument te beschermen door betalingen veiliger te maken. De PSD2 is in januari 2018 van kracht geworden en verplicht banken en andere aanbieders van online betaaldiensten gekwalificeerde certificaten te gebruiken. Dit zijn wettelijk bindende elektronische handtekeningen, die nog moeilijker te verkrijgen zijn dan een EV-certificaat.
Aangezien internet zich ontwikkelt en online identiteitsnormen steeds vaker gecompromitteerd worden, maakt DigiCert zich in het Certification Authority Browser (CA/B) Forum sterk voor betere online identiteitsbeveiliging. Een authentieke identiteit zou online namelijk net zo belangrijk moeten zijn als in de fysieke wereld. We streven ernaar het vertrouwen van de consument in onze digitale wereld te vergroten, maar een slecht beschermde online identiteit heeft het tegenovergestelde effect.