Quais são os passos para obter o certificado com Extended Validation (EV) da Geotrust?

Certificados SSL com EV (Extended Validation) têm um maior nível de confiança dos consumidores por conta dos rigorosos padrões de validação de autenticidade de um certificado SSL. O processo de verificação do Extended Validation exige que a GeoTrust realize uma verificação detalhada da identificação da entidade que fará uso do certificado.

Para que o seu pedido de certificado seja processado, além dos requisitos de certificado que validam o nome do domínio, você deverá providenciar os documentos dos passos a seguir:

Passos para obter autenticação EV

1. A entidade (identificada no pedido do certificado EV) deve preencher todos os dados e assinar o formulário “Acknowledgement of Agreement” presente no link abaixo: https://www.geotrust.com/support/true-businessid/ev-validation-requirements/acknowledgement-agreement.pdf

2. O formulário deve ser encaminhado primeiramente por email para nossa empresa para conferência dos dados. Após o processo de conferência, o formulário deve ser encaminhado para o número presente no documento.

3. Ao receber o formulário, a GeoTrust realiza os seguintes procedimentos de autenticação para garantir que os dados presentes no certificado são legítimos:

A. Requisitos de entidade

As seguintes entidades são elegíveis para receber Certificados EV, desde que estejam registradas e ativas junto à Receita Federal:

  • Pessoa Jurídica
  • Agências do Governo
  • Organizações não governamentais, desde que com CNPJ ativo.

A GeoTrust deve ser capaz de confirmar as seguintes informações da entidade:

  • Dados nos orgão governamentais:
  • CNPJ da entidade.
  • Data de constituição da entidade.
  • Endereço da entidade.
  • Se a entidade está ativa há menos de três anos, a GeoTrust fará a verificação que a entidade está ativa através de um dos seguintes meios:
  • Através de uma empresa de auditoria corporativa (como a Dun & Bradstreet) – Ou –
  • Através da verificação da existência de conta bancária com movimentação ativa em nome da entidade, através de uma declaração legal e elaborada por um advogado ou diretamente com a instituição financeira.

B. Requisitos do domínio

Para se qualificar para um certificado Extended Validation SSL, o registo do domínio deve refletir o nome da entidade do pedido de certificado. Se o registo de domínio não refletir o nome completo da entidade, identificado no pedido de certificado, é necessário uma autorização legal do administrador do domínio junto à entidade de registro, com validade jurídica.

  • O domínio deve estar registrado no ICANN ou em registros IANA, como o Registro .br (para ccTLDs). Os detalhes do registo de domínio devem estar atualizados para refletir o nome da entidade como incluído no pedido de certificado.
  • Para domínios registrado com a ICANN, é obrigatório que recurso de privacidade esteja desbloqueado.
  • O responsável pela aprovação do certificado pela entidade deve ter conhecimento do pedido deste certificado e dos dados de propriedade da empresa durante a ligação realizada pela GeoTrust para fazer a validação da entidade.

C. Responsável pela aprovação do certificado

O responsável pela aprovação do certificado deve estar empregado na entidade solicitante do certificado e deve ter autonomia para autorizar e obter certificados digitais.

  • Se o aprovador do certificado identificado no pedido do certificado está presente no contrato social ou na ata de constiuição da diretoria, devidamente registrados, com os poderes para tal, o contato será realizado com ele, sem a necessidade das seguintes autorizações:

A GeoTrust deve ser capaz de confirmar todos os seguintes requisitos do aprovador do certificado:

  • Carteira de identidade do aprovador, cargo e um comprovante de que se encontra empregado pela entidade, que não seja gerado pela própria entidade.
  • O aprovador de certificados está autorizado a obter os certificados EV e aprovar, em nome da entidade. Isso pode ser verificado através de um dos seguintes métodos:
  • Procuração registrada em cartório
  • Contrato Social
  • Através de contato com os sócios da entidade ou diretoria constituída por eleição, conforme Contrato Social ou ata de constituição da diretoria, devidademente registrada em orgão competente, e confirmar a autoridade do contato da organização. Se não houver informações dos responsáveis, a GeoTrust poderá tentar contato com a entidade através do departamento de Recursos Humanos

D. Requisitos de verificação

GeoTrust deve verificar se o pedido de certificado e todos os detalhes do certificado com o aprovador do certificado identificados no pedido de certificado. GeoTrust deverá contatar o aprovador do certificado usando um número de telefone de verificação independente.

Este número de telefone será obtido através de um dos seguintes métodos:

Ao pesquisar bancos de dados de telefone qualificado para encontrar um número de telefone. A entidade deve assegurar que o seu número de telefone principal da entidade esteja listado em listas telefônicas públicas.

  • Tal como previsto numa ordem judicial.
  • Tal como foi confirmado durante uma visita à empresa realizada pela GeoTrust.

Durante a ligação de verificação, a GeoTrust deverá verificar os seguintes itens com o aprovador do certificado:

  • O nome do solicitante no pedido de certificado e sua autoridade para obter certificados Extended Validation em nome da entidade.
  • Conhecimento de propriedade da empresa e direito de utilização do domínio identificado no pedido de certificado.
  • Aprovação do pedido de certificado SSL de Validação Estendida.
  • Reconhecimento da assinatura e da contratação do Certificado SSL GeoTrust, que inclui todos os termos e condições Extended Validation.

E. Requisitos adicionais de Verificação

Se a GeoTrust for incapaz de verificar qualquer das informações solicitadas no seu pedido de certificado, poderemos solicitar que você forneça uma declaração com validade legal para realizar a verificação das informações

NOTA: O procedimento acima é válido para os certificados da GeoTrust. Para outras entidades, por favor entre em contato com o Atendimento CentralServer.

AVISO LEGAL: Os procedimentos descritos neste documento devem ser executados de acordo com o contexto de cada sistema, de forma a evitar impactos negativos à segurança, disponibilidade, integridade e privacidade de dados. A CentralServer se reserva o direito de modificar a qualquer tempo e sem aviso prévio as informações aqui apresentadas a fim de refletir o lançamento de novos serviços, atualizações físicas e operacionais, e evolução do estado-da-arte da tecnologia.