Existem três tipos de certificados SSL: DV (Domain Validated), OV (Organization Validated) e EV (Extended Validation). Para entender as diferenças entre eles, é importante saber o que são certificados e como eles são emitidos por autoridades de certificação (CAs) autorizadas, como a DigiCert. As CAs são terceiros confiáveis que emitem certificados TLS/SSL autenticando vários detalhes relacionados a um site e aos respectivos proprietários.
Os certificados TLS/SSL são úteis por dois motivos. Primeiro, eles permitem uma conexão segura com um site, criptografando os dados que são transmitidos entre os usuários e o domínio. Segundo, os certificados verificam a propriedade e a identidade da empresa ou pessoa que tem a URL. Assim como um certificado no mundo físico, um certificado digital é basicamente uma certificação do seu direito de representar sua empresa ou organização online.
Os nomes de cada tipo de certificado SSL representam as etapas de validação que ocorreram antes da emissão do certificado. Por exemplo, os certificados Domain Validated fazem uma verificação simples do proprietário de uma URL, enquanto os certificados Organization Validated verificam o proprietário do domínio e autenticam a organização de negócios afiliada à URL. Os certificados Extended Validation proporcionam alta segurança de identidade porque exigem a verificação do proprietário do domínio, da organização de negócios e da pessoa jurídica da empresa envolvida.
No nível DV, o processo é bem curto, exigindo que o comprador só comprove o controle do domínio ou da URL. Isso é feito pela CA, que envia um e-mail ao proprietário do domínio (conforme listado no banco de dados WHOIS). Embora ela seja prática se você precisar de um certificado imediatamente, essa forma de validação de verificação única é o padrão mais baixo na Internet e deve ser considerada confiável com cautela.
O que distingue os certificados OV e EV são as camadas e etapas de validação adicionais necessárias para obtê-los. Para ambos os certificados EV e OV, as CAs devem verificar o proprietário do domínio e os detalhes relacionados à empresa afiliada, como nome, tipo, status e endereço físico.
Com o EV, nove etapas adicionais são necessárias, inclusive a verificação do número de telefone público da empresa, o tempo de atuação comercial, seu número de registro e a jurisdição, bem como a verificação antifraude de domínio e de presença em listas de contatos proibidos e uma ligação telefônica para autenticar o status empregatício do solicitante.
Veja como o processo de validação atende às suas expectativas de segurança da marca ao usar a Web, com certificados sem garantia alguma até aqueles de alta garantia.
Cada tipo de certificado TLS/SSL sinaliza aos clientes o nível de identidade da organização que você anexou ao seu certificado, além de garantir que um site esteja criptografado.
O DV (Domain Validated) é o certificado SSL com identidade de menor validação e pode ser obtido de forma rápida e fácil, até mesmo por um bot malicioso. Esse certificado tem baixo custo e só exige que uma empresa ou pessoa demonstre controle sobre um domínio da Web para o qual deseja obter um certificado.
Para obter um certificado DV, o proprietário de um site recebe um e-mail de confirmação da CA emissora para um endereço de e-mail listado no registro WHOIS do domínio. Os certificados DV são normalmente usados por sites que não realizam transações comerciais ou com cartão de crédito.
Tipos de sites que usam os certificados DV:
Os certificados OV (Organization Validated) são autenticados com nove verificações de validação e são considerados um certificado comercial de nível intermediário. Com eles, as CAs autenticam a propriedade do domínio de modo semelhante aos certificados DV.
A distinção entre OV e DV são as etapas executadas pelas CAs para autenticar que a organização de negócios (ou seja, Inc., Corp, LLC, Ltd, Pty Ltd etc.) afiliada ao certificado é válida e permanece em situação regular.
Recomendável nestes sites e páginas:
Os certificados EV (Extended Validation) são autenticados com 18 verificações de validação, exigindo o mais alto nível de avaliação pelas CAs. Eles protegem a identidade de uma marca devido ao processo rigoroso necessário para obtê-los.
Além de todas as etapas de autenticação que as CAs executam para os certificados DV e OV, os certificados EV exigem a verificação da existência operacional e do endereço físico da organização e uma ligação telefônica para confirmar o status empregatício do solicitante.
Recomendável nestes sites e páginas:
A equipe de validação da DigiCert rejeita aproximadamente 3.750 certificados EV todos os anos, em parte devido a solicitações fraudulentas.
A União Europeia é grande defensora de padrões de segurança online mais rígidos para aumentar a confiança e a autenticidade do usuário na Internet. Em 2015, a Comissão Europeia aprovou a Diretiva de Serviços de Pagamento, também conhecida como PSD2, para regular as transações de pagamento, criar um mercado europeu mais integrado de serviços de pagamento e proteger os consumidores tornando os pagamentos mais seguros. A PSD2 entrou em vigor em janeiro de 2018 e exige que bancos e outros provedores de serviços de pagamento online usem certificados qualificados, que são assinaturas eletrônicas com efeito legal e ainda mais difíceis de serem obtidos do que um certificado EV.
À medida que a Internet evolui e o comprometimento online dos padrões de identidade aumenta, a DigiCert assume um papel ativo no Certification Authority Browser (CA/B) Forum para defender maiores garantias de identidade online. Uma identidade online autêntica deve ser tão importante no mundo digital quanto no mundo físico. E, no mundo digitalmente conectado atual, a erosão das identidades online afetará a confiança pública que queremos defender.