Wie läuft die Validierung eines Code Signing Zertifikats ab?

Durch die Verwendung von Code Signing Zertifikaten können Sie eine Software oder einen Code signieren, um deutlich zu machen, woher er stammt und dass er als vertrauenswürdig betrachtet werden kann. Dies erfolgt durch das Anbringen einer speziellen Signatur, die dem Browser mitteilt, wer für die Entwicklung der Software verantwortlich ist und dass keine unautorisierten Änderungen von Dritten vorgenommen wurden.

Im Falle eines Downloadversuchs Ihrer Software kann der Nutzer nun nachvollziehen, wer der Entwickler ist und sicherstellen, dass die Software nicht manipuliert wurde. Diese Gewissheit ermöglicht es dem Benutzer, darauf zu vertrauen, dass er genau das herunterlädt, was Sie beabsichtigt haben. Gleichzeitig wird ihm klar, wer Sie als Entwickler sind.

Diese Aspekte sind von entscheidender Bedeutung für den Erfolg eines Softwareentwicklers. Niemand möchte eine Anwendung herunterladen, die potenziell negative Auswirkungen auf seinen Computer haben könnte, und Betriebssysteme sind sich dieser Bedenken bewusst. Daher werden Warnhinweise angezeigt, wenn versucht wird, Software aus einer nicht als vertrauenswürdig bekannten Quelle zu installieren.

Die Frage ist also: Wie wird man zu einer als vertrauenswürdig geltenden Quelle? Wie kann man verhindern, dass diese Warnungen auftauchen, bevor jemand Ihre Software oder Ihren Code auszuführen versucht?

Die Ausstellung eines Code-Signatur-Zertifikats ist sowohl für Organisationen als auch für Einzelpersonen möglich.

So funktioniert die Validierung einer Organisation

Die Organisationsvalidierung umfasst die Prüfung folgender Kriterien:

• Operative Existenz

  ---

  • Überprüfung der rechtlichen Identität der Organisation und/oder der DBA (doing business as)
  • Die Organisation muss geschäftlich aktiv tätig sein.
  • Validierung erfolgt anhand einer Kombination aus rechtlicher Registrierung (z.B. https://www.handelsregister.de) und anderen verlässlichen Quellen Dritter (z.B. https://www.dnb.com)
• Physische Existenz

  ---

  Ähnlich wie bei der Überprüfung der operativen Existenz wird anhand der rechtlichen Registrierung (z.B. https://www.handelsregister.de) und anderer verlässlicher Quellen Dritter (z.B. https://www.dnb.com) die geschäftliche Adresse überprüft.

• Geschäftliche Telefonnummer

  ---

  Die geschäftliche Haupttelefonnummer wird mittels verlässlicher Datenbanken Dritter überprüft.
  Global - https://www.dandb.com/
  Global - https://www.hoovers.com/
  Deutschland / Global - https://www.upik.de
  Nur Österreich - https://www.herold.at
  Deutschland / Österreich - https://www.unternehmensverzeichnis.org
  Europa - https://www.bisnode.com/
  Spanien - https://empresas.informa.es/
  Europäisch - https://www.bvdinfo.com/en-gb/home/
  Europäisch - https://www.creditsafe.nl
  Nur Deutschland- https://www.firmenwissen.de/index.html
  Nur Frankreich - https://www.aef.cci.fr/
  Nur Vereinigtes Königreich - https://www.duedil.com
  Schweden- https://www.allabolag.se
  Japan - https://cnet.tdb.ne.jp/cnet/ta111p01/ta111pInit.do
  Griechenland - https://www.acci.gr/acci/catalogue/result.jsp
  
• Amtlicher Lichtbildausweis des Antragsstellers

  ---

  Um den Antragssteller (Verwaltungskontakt) auf der Bestellung zu verifizieren ist die Kopie eines gültigen amtlichen Lichtbildausweises erforderlich.
  • Dies kann z.B. ein gültiger Führerschein, Reisepass, Personalausweis oder Militärausweis mit übereinstimmenden Namen der Bestellung sein.
  • Zur Überprüfung des Lichtbildausweises muss zusätzlich zur Kopie des Lichtbildausweises auch ein deutliches Foto mitgeschickt werden, auf dem das Gesicht des Antragsstellers und der Lichtbildausweis klar erkennbar sind. Das Foto muss mit der Kopie des Lichtbildausweises verglichen werden können.
    
• Verifizierung der Autorität und Authentizität der Bestellung

  ---

  • Hierzu erfolgt ein Rückruf auf der zuvor verifizierten Telefonnummer der Organisation.
  • Eine zur Zertifikatsbeantragung befugte Person bestätigt die Bestellung für diese Organisation.

Sollte bei der Validierung ein Dokument oder eine der Anforderungen nicht erfüllt sein, werden wir Sie per E-Mail kontaktieren, das Problem erklären und Ihnen Schritte zur Lösung des Problems mitteilen. Die fehlenden Dokumente können Sie uns gerne als Antwort per E-Mail zusenden.

So funktioniert die Validierung einer Person

Die Validierung einer individuellen Person weicht leicht von der Validierung einer Organisation ab, da Sie nicht nachweisen müssen, dass Sie ein Unternehmen sind, sondern ein einzelner Entwickler, der seine Identität nachweisen muss.

Sie können für die Validierung zwischen 2 Möglichkeiten wählen:

Option 1: Für diese Option werden 2 Dokumente zur Überprüfung Ihrer Identität benötigt

Sollten Sie einen amtlichen Lichtbildausweis mit einer Adresse vorlegen können, die mit dem Namen und der Adresse auf der Bestellung übereinstimmt, dann können Sie diese Option nutzen.

• Um Ihre Daten auf der Bestellung zu verifizieren, ist die Kopie eines gültigen amtlichen Lichtbildausweises erforderlich. Dies kann z.B. ein gültiger Führerschein, Reisepass, Personalausweis oder Militärausweis sein, auf dem Ihr Name mit Namen in der Bestellung übereinstimmt.
• Zur Überprüfung des Lichtbildausweises muss zusätzlich zur Kopie des Lichtbildausweises auch ein deutliches Foto mitgeschickt werden, auf dem Ihr Gesicht und der Lichtbildausweis klar erkennbar sind. Das Foto muss mit der Kopie des Lichtbildausweises verglichen werden können.

Option 2: Vorlage eines Face-to-Face-Dokuments

Sollte die Adresse auf dem amtlichen Lichtbildausweis nicht mit der Adresse in der Bestellung übereinstimmen oder keine Adresse beinhalten, dann müssen Sie ein Face-to-Face-Dokument ausfüllen. Das Face-to-Face-Dokument enthält spezifische Anweisungen und erfordert die Beglaubigung und notarielle Beurkundung der Formulare durch einen Notar.

Die Vorlage der folgenden Dokumente ist notwendig

• Eine notariell beglaubigte Kopie eines gültigen Führerscheins, Reisepasses, Personalausweises oder Militärausweises, der Ihren Namen enthält und mit dem Namen auf der Bestellung übereinstimmt.
  
• Die Face-to-Face-Erklärung zur Person
• Die Face-to-Face-Erklärung zur Bestätigung der Person

Es könnte erforderlich sein, einen Rückruf an eine verifizierte Telefonnummer durchzuführen, um den Antragsteller vor der Ausstellung der Bescheinigung weiter zu überprüfen.

Wohin müssen die Dokumente und Informationen gesendet werden?

Sämtliche Unterlagen und Informationen zur Validierung Ihrer Code Signing Zertifikatsbestellung senden Sie bitte per Post, Fax oder E-Mail an:

EuropeanSSL
c/o EUNETIC GmbH
Draisstraße 1
DE-76448 Durmersheim
Fax: +49 7245 919 585
E-Mail: docs@europeanssl.eu

Sollten Sie Rückfragen haben oder Probleme beim Bestell- bzw. Validierungsprozess auftreten, zögern Sie bitte nicht unseren Support zu kontaktieren.