EV SSL tanúsítvány igénylés - gyakorlati tapasztalatok és buktatók

EV azaz Extended Validation SSL tanúsítvány igénylése során a tanúsítvány kibocsátója leellenőrzi azt a céget, aki annak a domain névnek tulajdonosa, amihez a tanúsítványt igényeljük.
 
De mit is jelent pontosan a "leellenőrzés", hogyan végiz ezt el a tanúsítvány kibocsátó?
 
Ebben a bejegyzésben bemutatjuk egy magyar cég tulajdonában lévő, .hu végződésű domain névhez, a COMODO tanúsítvány kibocsátónál történő EV SSL tanúsítványigénylés, és az ehhez kapcsolódó "extended validation" folyamat során 2015 januárjában szerzett gyakorlati tapasztalatainkat.
 
Fontos tudni, hogy nem EV (Extended Validation, kiterjesztett/teljes ellenőrzés) hanem egyéb, tehát például
  • domain ellenőrzés (DV, domain validation) 
  • e-mail cím validáció (AV, address validation)
  • vállalati ellenőrzés (OV, organization validation)
  • egyéni ellenőrzés (IV, identity validation)
esetén a folyamat más, egyszerűbb.
 
Leírásunk COMODO specifikus, más cégeknél (VeriSign/Symantec, GeoTrust stb) a folyamat bizonyos mértékben eltérhet.
 
A tanúsítványt valamilyen viszonteladón keresztül érdemes megvenni, mivel sokszoros árkülönbségek lehetnek, jelen pillanatban a COMODO EV SSL tanúsítvány a COMODO honlapján 449 EURO/ÉV, az egyik viszonteladónál pedig mindössze 129 USD/ÉV. Ha 2 évre vesszük, ennél is kedvezőbb árat kapunk.
Annak ellenére, hogy egy viszonteladón keresztül vásárolunk, a domain tulajdonosának ellenőrzését természetesen a COMODO (vagy a választott egyéb CA) végzi el.
 

Javasolt előkészületek

 
A COMODO munkatársa az ellenőrzési folyamat során a telefonos ellenőrzéshez fog keresni egy telefonszámot, a domain tulajdonosának egy telefonszámát. Ha/mivel a hivatalos cégjegyzék és a D&B (lásd lejjebb) telefonszámot nem tartalmaz, a COMODO más internetes forrásokat: online telefonkönyveket vesz alapul annak kapcsán, hogy megállapítsa, mi a cég valós telefonszéma. Jelenleg Magyarország tekintetében az itt elérhető telefonkönyveket fogadja el hitelesnek: http://world.192.com/europe/hungary 
Jelnleg tehát az alábbi három oldal az, amit autentikus forrásnak tekint a céghez tartzó telefonszám beszerzése ügyében:
Emiatt javasoljuk, hogy mielőtt belekezdünk az igénylési folyamatba, a fenti három adatbázis közül legalább egybe kerüljön be a cég a pontos cégnévvel, címmel, hozzá pedig azzal a céges telefonszámmal, amin elérhető a regisztráció során megadott igénylő/kapcsolattartó személy plusz legalább még egy személy a cégtől. Nem kell mind a három honlapon megjelenni, elegendő az egyikben, illetve ha eltérő adatok vannak megadva a 3 telefonkönyv-honlapon, mi jelölhetjük meg a COMODO support team munkatársának, hogy melyik az a működő telefonszám, amin elérnek minket.
 
Előkészületként javaslom ellenőrizni továbbá, hogy a postmaster@domainunk.hu (egyes esetekben elfogadják a hostmaster@domainunk.hu vagy akár a webmaster@domainunk.hu címeket is) címre érkező levelekhez hozzáférünk-e, mivel ide is fognak érkezni a folyamat során olyan levelek, melyekkel teendő lehet.
 
Emellett a domain névnél a megfelelő cégadatok legyenek (.hu esetén a domain.hu oldalon elenőrizhető) iletve az e-cégjegyzékben és/vagy a D&B adatbázisában helyes cégadatok legyenek. (a cégjegyzék és a domain tuajonos adatok egyezzenek)
 
Két angol nyelven beszélő emberre lesz továbbá szükség, akit a cég "hivatalos" telefonszámán el lehet érni. (Magyar nyelven nem kommunikál velünk a COMODO)
 

EV SSL tanúsítvány igénylési folyamat

 
  1. A kiválasztott tanúsítvány viszonteladó honlapján adjuk le a megrendelést a kiválasztott EV SSL termékre. Ehhez általában egy e-mail címet, számlázási nevet/címet kell megadni és kifizetni paypal vagy bankkártya segítségével a tanúsítvány éves vagy kétéves díját. A megrendelő cég, azaz az itt megadott számlázási név, cím a legtöbb viszonteladó rendszerében eltérhet attól a cégtől, aki a domain nevet birtokolja, a domain tulajdonosának adatait majd egy későbbi lépésben kell megadni.
  2. Amennyiben kifizettük a díjat, a viszonteladó honlapján létrejön egy felhasználói fiók, ahol a konkrét tanúsítvány igénylést elindíthatjuk, tehát jelentkezzünk be, és adjuk le a megrendelést a tanúsítványra:
    1. Szükség lesz egy CSR (Certificate signing request) fájlra/kódra. A kód generálásához kell a domain név, a domain tulajdonos neve, címe, esetleg a tanúsítványt használó részleg/divízió neve stb. A CSR fájlt generálhatjuk valamilyen online CSR fájl generálóval, valószínűleg a tanúsítvány viszonteladónak is van ilyen rendszere, vagy akár a szerveren is generálhatjuk egy az alábbihoz hasonló parancs segítségével:

      openssl req -new -newkey rsa:2048 -nodes -out csrfile.csr -keyout privatekey.key -subj "/C=HU/ST=Budapest/L=Budapest/O=COMPANYNAME/OU=DIVISION/CN=www.DOMAINNAME.hu"

      Érdemes www előtaggal kiegészített domainünkhöz generáltani a CSR fájlt, mert az a www nélküli domainhez is használható, de fordítva ugyanez nem igaz.
      Jelenleg javasolt 2048 bites kulcsot generálni.
      Kiemelten fontos, hogy a CSR fájl generálásakor jön létre a privát kulcsunk is, ezt meg kell őrizni, ennek hiányában a tanúsítványunk használhatatlan.

    2. A viszonteladó honlapján a rendelési folyamat további lépéseiben a CSR fájlon felül rákérdeznek a hash algoritmusra (jelenleg javasolt SHA-2 algoritmust választani), és az igény benyújtásához szükséges további adatokat is meg kell adni: céges adatokat, mint például a cég telefonszáma (lásd feljebb), DBA name (doing business as, ez akkor lehet jó, ha nem pont a cégnevünkön, hanem egyéb elnevezés alatt működtetjük üzletünket) a domainhez tartozó postmaster@ vagy hostmaster@ vagy webmaster@ kezdetű e-mail cím, kapcsolattartó személy adatai (név, beosztás, e-mail cím) stb. A kapcsolattartó személy neve és beosztása kiemelten fontos, mivel a telefonos validálásnál kifejezetten őt fogják keresni azaz a telefonhoz kérni azon a telefonszámon, amit a céghez valamelyik elfogadott online telefonkönyvben találnak illetve a felettesétől/HR osztály munkatársától ugyanezen a telefonszámon ezen kívül a kapcsolattartó személy beosztását fogják megkérdezni. Egyes viszonteladók esetén az fenti adtaokban levő esetleges ékezetes karakterekkel gondok lehetnek, esetünkben a support team azt javasolta, hogy ékezet nélkül küldjök be az űrlapot és ők majd, ha megírjuk az ékezetes adatokat, azt utána kézzel továbbítják a COMODO felé...

  3. A domainhez tartozó e-mail cím vaidálása: A tanúsítvány igénylési folyamat elvégzése után mind a kapcsolattartó, mind a postmaster/hostmaster/webmaster email címre érkezhetnek levelek mind a viszonteladótól, mind a COMODO-tól. A COMODO biztosan validálja a postmaster/hostmaster/webmaster cím létezését egy ilyen kikdött levélben található linkre kattintás megkövetelésével.
  4. Cégadatok validálása: COMODO megpróbál meggyőződni arról, hogy a tulajdonos cég adatai helyesek és hitelesek-e. Ha tudja, a D&B adatbázisából lekéri az adatokat és FAX-on kér visszaigazolást, hogy erősítsük meg azokat. Esetünkben onnan egy ékezet nélküli, csonkolt cégnevet kaptak. Ráadásul mi a cég rövidítet elnevezését szerettük volna használni a tanúsítványban, a D&B adatbázisában pedig a hosszú volt. Javaslatunkra az e-cegjegyzek.hu oldalt használták esetünben, miután video tutorialon megmutattuk nekik, hogyan kell használni a magyar nyelvű cégadatbázist :) Ezt elfogadták hitelesnek, miután elmondtuk, hogy ez hazánkban ez a cégbíróság adataiból dolgozó forrás, és végül semmilyne faxot nem kellett küldeni és e-mailben sem küldtünk csatolt iratokat. Tovább léptük a telefonos validálási fázisba.
  5. Telefonos validlás: Esetünkben telefonos validálási fázisban fény derült arra, hogy az általunk a korábbi lépések során megadott céges telefonszám a cikk elején felsorolt egyik magyar online teleofnkönyben sem volt benne. A COMODO supportnak chaten jeleztük, hogy ebben az esetben hívják a másik céges számunkat, ami az egyik telefonkönyben szerepel annak ellenére, hogy a tanúsítvány viszonteladónál az igénylési folyamatban nem azt adtuk meg. Az, hogy mikor hívják a számot, az az online chaten kezdeményezhető, kérhető "most hívjanak mert most vagyunk elérhetőek" jelleggel, 15-20 percen belül hívnak is, persze csak amennyiben a chat éppen aktív. (egyébként a teljes folyamat során javaslom a vaósidejű chatet használni a lassú ticketingrendszer helyett) A hívás során azt a személyt keresik, aki az igénylési folyamatban meg lett adva kapcsolattartónak. Telefonon amennyiben valaki annak vallota magát, aki meg van adva kapcsolattartónak, megkérdezik az ő, tehát a kapcsolattartó beosztást, azt, hogy ő igényelte-e az SSL tanúsítványt, majd azt kérik, hogy adjuk oda a telefont egy személynek a HR osztályról, aki szóban azt kell, hogy tanúsítsa/megerősítse, hogy a kapcsolattartó valóban ott dolgozik, és itt ismét megkérdezik a beosztást, aminek egyezni kell azzal, amit az igénylés során megadtunk/imént állítottunk.

A telefonos validálás után 10 perccel megérkezett a kapcsolattartói e-mail címre e-mail csatolmányként a tanúsítvány.

A viszonteladónál történő regisztrációtól számítva 36 óra múlva megérkezett a tanúsítvány, tehát a fenti folymaat esetünkben 36 órát vett igénybe. Persze nagyjából 5 óra munka volt részünkről a dolgoban, és egyáltalán nem volt zökkenőmentes a folyamat, sokat chateltünk mind a viszonteladó mind a COMODO ügyfélszolgálatával, de szerencsére gyorsan orvosolható volt minden felmerülő akadály.