Was bedeutet Organisationsvalidierung?
Organisationsvalidierung findet bei fortgeschrittenen Zertifikaten Verwendung. Während der Prüfung des Auftrags fordern die Zertifizierungsstellen (CA) Informationen zum Antrag stellenden Unternehmen an. Neben den Details zum Domaininhaber aus den WHOIS-Daten werden auch die Registerinformationen zur Unternehmung überprüft.
Prüfung der WHOIS-Daten und was beachtet werden sollte
Bei der Ausstellung des Zertifikates wird unter anderem geprüft, ob die Domain dem Antrag stellenden Unternehmen gehört. Dabei prüfen einige Zertifizierungsstellen Buchstaben genau. Das kann gerade im Falle von Abkürzungen und Umlauten zu Problemen führen.
Es kann gerade auch bei größeren Unternehmungen vorkommen, dass die Domain auf ein Tochterunternehmen oder Mutterkonzern ausgestellt bzw. registriert wurde. In diesem Fall würden Inhaber und Antragsteller des Zertifikates voneinander abweichen.
In beiden Fällen ist es inzwischen üblich, die Prüfung per Emailbestätigung anzubieten. Öhnlich wie bei einem domainvalidierten Zertifikat wird hier der Domaininhaber oder der administrative Kontakt der Domain angeschrieben und um Betätigung gebeten, dass die Domain in dem angeforderten Zertifikat tatsächlich verwendet werden soll. In den meisten Fällen reicht es, wenn die angeschriebene Person auf die Email antwortet.
Prüfung der Unternehmensdaten
Die Prüfung der Unternehmensdaten erfolgt an Hand öffentlich verfügbarer Datenquellen. In der Regel wird zu diesem Zweck das Handelsregister herangezogen. Im Falle der Antragstellung durch GBR oder andere Personengesellschaften, die keinen Eintrag in einem solchen Register haben, kommt es inzwischen regelmäßig vor, dass ein "Professional Opinion Letter" angefordert wird.
In diesem Schreiben betätigt ein Notar oder Rechtsanwalt, dass die Gesellschaft existiert. Eine Ausstellung auf eine einzelne natürliche Person war früher möglich, wird inzwischen aber von den Zertifizierungsstellen abgelehnt.
Die Handelsregisterdaten, oder die der Gewerbeanmeldung dürfen nicht von den Daten im Antrag abweichen.
Abschliessende telefonische Prüfung
Seit etwa 2 Jahren werden die Ausstellungen einer abschliessenden Telfonauthentifzierung unterzogen. Einige CA (zB Comodo) greifen dabei auf automatisierte Anrufe zurück, andere CA lassen dies über das Callcenter abwickeln. Im Falle der Organisationsvalidierung reicht es aus, wenn ein Ansprechpartner des Unternehmens diesen Anruf entgegennimmt. In einigen Fällen wird der technische Kontakt verlangt.
Vermeidung von Problemen bei der Validierung
Es hat sich in der jüngsten Zeit als hilfreich erwiesen, wenn neben den üblichen Einträgen in öffentlichen Telefonbüchern und anderen Registern (firmenwissen.de etc.) ein Eintrag bei DUNS & Bradstreet vorliegt. Diese Einträge lassen sich einfach verwalten und aktuell halten. Darüberhinaus lassen sich hier auch Telefonnummern mit Durchwahl in Einträgen hinterlegen. Oft wird die Durchwahl zu einem Mitarbeiter nicht als reguläre Nummer akzeptiert, da diese in den seltensten Fällen in Telefonbüchern aufgeführt werden.
