Procesos de aprobación
- Para los certificados de tipo DV, se requiere la aprobación de derechos de dominio, el cual se realiza mediante alguna de las siguientes opciones:
a. Mediante correo electrónico. Este método consiste en que la entidad certificadora envía un correo solicitando la aprobación de derechos de dominio. Al ingresar al correo y aprobar, el dominio quedará habilitado. Para ello, se han establecido 5 cuentas de correo. A saber.
- admin
- administrator
- hostmaster
- webmaster
- postmaster
A manera de ejemplo, si solicitamos un certificado para el dominio soporte.networkssl.com, el correo será enviado a admin@networkssl.com, administrator@networkssl.com, hostmaster@networkssl.com, webmaster@networkssl.com, postmaster@networkssl.com.
Si no tienes creada ninguna de las 5 cuentas, puedes crearla con anticipación. Así, cuando solicites el certificado, solo tendrás que indicar a cuál de las 5 cuentas necesitas que te envíen el correo de aprobación de derechos de dominio, y el proceso de emisión será más rápido.
Si definitivamente no puedes acceder a ninguna de las 5 cuentas de correo, puedes utilizar el segundo método.
b. Registro DNS TXT. Consiste en la publicación de un token. Para este método, la entidad certificadora entrega una cadena de caracteres (token), el cual se debe publicar normalmente en la consola de administración del dominio. El token se publica como TXT a nivel de DNS. Puedes encontrar un ejemplo de publicación aquí.
c. Demostración práctica de http. El tercer método se usa para la aprobación de direcciones IP. En realidad, para a probación de direcciones IP solo se puede usar este método. La demostración práctica de http consiste en la publicación del token en el servidor donde se aloja el sitio web que queremos proteger. El proceso consiste en ingresar a la carpeta raíz del servidor, crear una carpeta llamada .well-known. Dentro de esta carpeta se debe crear otra carpeta llamada pki-validation y dentro de la segunda carpeta se crea un archivo de texto llamado fileauth.txt, donde se pega el token facilitado por la entidad certificadora. Luego se publica por http, para que la entidad certificadora pueda verificar la publicación y aprobar el dominio.
El siguiente es un ejemplo como se verá la URL en un navegador, la cual debe devolver el token publicado.
http://midominio.com/.well-known/pki-validation/fileauth.txt
Este método se puede usar para cualquier dominio, pero presupone un esfuerzo mayor, puesto que se deben publicar dos tokens: uno para el dominio sin www y otro para el dominio con www. Solo de esta manera podrá ser aprobado un dominio, utilizando demostración práctica por http.
Puede encontrar más información de este método aquí.
e. Publicación de token en el sitio web. Este método se usa únicamente en caso de que los métodos anteriores no se puedan realizar. Consiste en publicar el token en alguna parte visible de la página, de modo que la entidad certificadora pueda ingresar al sitio y obtener el token.
3. Para los certificados de tipo EV, además de la aprobación de dominio y la verificación de la organización, la entidad certificadora realiza una serie de verificaciones adicionales, entre ellas, confirma los datos de los contactos registrados en la solicitud del certificado. Esta confirmación se realiza únicamente, mediante llamada al teléfono fijo de la organización publicado en alguna de las bases de información antes mencionadas.
La llamada se puede realizar a un número celular, siempre y cuando este se encuentre publicado, o si previamente la entidad certificadora se ha comunicado al teléfono fijo y en alguna extensión, alguien le facilita el No celular del contacto, a la persona que realiza la verificación.
Existe un método alterno a la llamada de verificación para la aprobación de los certificados EV, que se usa solo en casos en los que la organización no cuente con líneas de teléfono fijas, o no pueda publicarlas. Sin embargo, este método es engorroso, puesto que consiste en obtener la firma de un contador registrado en el consejo superior de la judicatura. La firma se debe estampar sobre una carta de opinión profesional, que es provista por la entidad certificadora. Una vez la entidad certificadora recibe la carta firmada, esta debe verificar los datos del contador con el consejo superior de la Judicatura. En caso de que los datos del contador no puedan ser verificados con este ente de control, la carta no tendrá validez alguna.
Así las cosas, dependiendo el tipo de certificado que requiera, podrá adelantarse a las acciones solicitadas por la entidad certificadora, y agilizar la entrega del certificado, reduciendo el tiempo de emisión de 5 hasta 1 día hábil.
2. Para los certificados de tipo OV, además de la aprobación del dominio, la entidad certificadora debe verificar que la organización solicitante se encuentra legalmente constituida. Esta verificación se realiza comparando la información de nombre legal de la empresa, dirección y teléfono enviados por el suscriptor, con la información publicada en bases públicas de información, tales como (en Colombia), Rues, páginas amarillas, Hoovers. Google Maps, entre otras, las cuales deben coincidir plenamente. Las bases son tan variadas, como lo puede ser el tipo de organización solicitante. Por ejemplo, si un banco solicita un certificado, La entidad certificadora consultará también la base de la Superfinanciera. Si el solicitante es una entidad pública, consultarán el directorio de entidades públicas que se encuentra en funciónpublica.gov.co, o alguna otra fuente gubernamental. Si el solicitante de un certificado es una institución educativa, la entidad certificadora consultará la información de la misma en el SNIES. Si la información no coincide, la entidad certificadora solicitará al suscriptor que actualice la información en al menos una de dichas fuentes. Además de las validaciones en bases públicas de información, la entidad certificadora debe verificar la legalidad de la organización solicitante usando alguno de los siguientes métodos:
a. Mediante una llamada al teléfono fijo de la organización. El número de teléfono fijo de la organización debe estar publicado en alguna de las bases públicas. Puedes acelerar la emisión de un certificado, si previamente verificas que los datos de tu organización se encuentren actualizados en alguna de las fuentes anteriormente indicadas.
La llamada se puede realizar a un número celular, siempre y cuando este se encuentre publicado, o si previamente la entidad certificadora se ha comunicado al teléfono fijo y en alguna extensión, alguien le facilita el No celular a la persona que realiza la verificación.
b. Confirmación de datos, mediante un correo electrónico. Se puede omitir la llamada, usando esta opción. Sin embrago, el correo también de estar publicado en alguna fuente de información y en esta opción se incluye el propio sitio del solicitante. Una vez verificado el correo, la entidad certificadora enviará la confirmación de datos a dicho correo, para el suscriptor ingrese y realice la aprobación. Se puede acelerar la emisión del certificado, si previamente el suscriptor verifica que haya un correo válido publicado.