دليل أفضل ممارسات أمان هيئة التصديق لموزعي العلامات التجارية: إجراءات أمنية شاملة

المُقدّمة

باعتبارنا هيئة تصديق رائدة (CA) وشركة خدمات ثقة، فإننا نعطي الأولوية لأمن وموثوقية شهاداتنا الرقمية وإجراءات التحقق من هويتنا. يركز هذا الدليل على شركاء الموزعين ذوي العلامات التجارية لدينا الذين يمتلكون سلطات تصديق تابعة مرتبطة بالجذر الموثوق به لموقع SSL.com (يُشار إليه باسم "subCAs") ويكونون مسؤولين عن جمع أدلة التحقق، وتقديمها إلى بوابة سلطة التسجيل الخاصة بنا، وتسهيل إصدار شهادات من المراجع الفرعية ذات العلامات التجارية الشريكة والتي تتم إدارتها بواسطة SSL.com. الغرض من هذا الدليل هو ضمان سلامة وأمن عملية تقديم أدلة التحقق ودورة حياة الشهادة، حيث لا يتمتع البائعون بإمكانية الوصول المباشر إلى المواد الجذرية ولا يمكنهم التفاعل مع عمليات دورة حياة الشهادة إلا من خلال واجهة برمجة تطبيقات معينة أو من خلال حساب في بوابة سلطة التسجيل (RA) التي يديرها SSL.com.

---

مجموعة آمنة من أدلة التحقق لأنواع التحقق الموسعة والتنظيمية والفردية

• تصغير البيانات: اجمع فقط أدلة التحقق اللازمة لعملية إصدار الشهادة. تجنب جمع معلومات غريبة أو حساسة.
• طرق الجمع الآمنة: استخدم القنوات الآمنة، مثل النماذج أو البوابات المشفرة، عند جمع أدلة التحقق من المستخدمين النهائيين.
• صلاحية التحكم صلاحية الدخول: تنفيذ ضوابط وصول صارمة لجمع أدلة التحقق من الصحة. يجب أن يكون الوصول متاحًا فقط للموظفين المصرح لهم، ويجب أن تكون المصادقة متعددة العوامل إلزامية.
• تكامل البيانات: تأكد من أن أدلة التحقق تظل دون تغيير أثناء عملية الجمع.
• التحقق من صحة التحكم في المجال: استخدم خدمات وأساليب التحقق من صحة التحكم في المجال التي يوفرها موقع SSL.com بشكل صارم.

---

التقديم الآمن لأدلة التحقق إلى Root CA

• أمان API: استخدم دائمًا واجهة برمجة التطبيقات (API) المخصصة لتقديم أدلة التحقق من الصحة. تأكد من إجراء استدعاءات واجهة برمجة التطبيقات (API) عبر قنوات آمنة، مثل HTTPS.
• تحميلات البوابة: هناك طريقة آمنة أخرى لتقديم الأدلة وهي تحميل الأدلة مباشرة إلى الترتيب ذي الصلة الذي قد تراه في حساب SSL.com الخاص بك؛ تأكد من تحميل الأدلة المتعلقة بالأمر المحدد فقط.
• المراجعات المنتظمة: قم بإجراء عمليات تدقيق منتظمة لسجلات الإرسال للتأكد من عدم إجراء أي عمليات إرسال غير مصرح بها.
• الاستجابة للحادث: احصل على خطة واضحة للاستجابة للحوادث لأية تناقضات أو انتهاكات في عملية التقديم. يخطر الجذر CA us فورا إذا تم الكشف عن أي مخالفات.

---

أفضل الممارسات لاستخدام واجهة برمجة تطبيقات عمليات دورة حياة الشهادة

• إدارة مفاتيح واجهة برمجة التطبيقات: حماية مفاتيح API الخاصة بك. قم بتخزينها بشكل آمن، وقم بتدويرها بشكل دوري، ولا تعرضها مطلقًا في تعليمات برمجية من جانب العميل أو في المستودعات العامة.
• تحديد السعر: كن على دراية بأي حدود للأسعار مفروضة على واجهة برمجة التطبيقات (API) لتجنب انقطاع الخدمة غير المقصود.
• المراقبة والتسجيل: مراقبة جميع أنشطة API. احتفظ بسجلات مفصلة ومراجعتها بانتظام بحثًا عن أي أنشطة مشبوهة أو غير مصرح بها.
• معالجة الأخطاء: تنفيذ آليات قوية للتعامل مع الأخطاء. في حالة وجود أي فشل أو تناقضات في استجابات واجهة برمجة التطبيقات (API)، يجب أن يكون لديك إجراء واضح لمعالجتها.

الحفاظ على موقع آمن

• لائق TLS تكوين الخادم: تأكد من أن الخادم يدعم فقط تشفير وبروتوكولات التشفير القوية. قم بتحديث الخادم وتصحيحه بانتظام لمنع الثغرات الأمنية المعروفة.
• تصلب نظام التشغيل: قلل عدد الخدمات التي تعمل على الخادم، وقم بتطبيق تصحيحات الأمان على الفور، واستخدم تكوينات الأمان لتقليل سطح الهجوم.
• نقاط الضعف الشائعة في مواقع الويب: قم بإجراء فحص منتظم بحثًا عن الثغرات الأمنية ومعالجتها مثل حقن SQL والبرمجة النصية عبر المواقع (XSS) وتزوير الطلبات عبر المواقع (CSRF).
• الحفاظ على صحة كلمة المرور المناسبة: تأكد من أن كلمات المرور معقدة، وتتضمن مزيجًا من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة. شجع الأشخاص الذين لديهم حق الوصول إلى خوادمك أو إدارة علاقات العملاء (CRM) الخاصة بك على تحديث كلمات المرور الخاصة بهم بانتظام وتجنب إعادة استخدام كلمات المرور من المواقع الأخرى. قم بتنفيذ المصادقة متعددة العوامل (MFA) أو استخدم شهادات ClientAuth.

---

متطلبات أمان الشبكة وأنظمة الشهادات لمنتدى CA/B

• عمليات فحص الثغرات الأمنية ربع السنوية: قم بإجراء عمليات فحص منتظمة للثغرات الأمنية كل ثلاثة أشهر لتحديد المشكلات الأمنية المحتملة وتصحيحها.
• اختبار الاختراق السنوي: المشاركة في اختبار الاختراق السنوي لمحاكاة الهجمات المحتملة وتحديد نقاط الضعف في النظام.
• تعزيز متطلبات الأمن: التأكيد على أهمية الالتزام بمتطلبات أمان الشبكة وأنظمة الشهادات الخاصة بمنتدى CA/B للحفاظ على الثقة والأمان.

تعزيز أفضل ممارسات المستخدم النهائي من خلال إنشاء المفاتيح الخاصة والتخزين و CSRs

• التثقيف بشأن توليد المفاتيح: قم بتوجيه المستخدمين النهائيين لاستخدام الأدوات التي تم فحصها بواسطة CA لإنشاء المفاتيح و CSRس. وهذا يضمن التوافق والأمن.
• طول المفتاح والخوارزمية: انصح المستخدمين النهائيين باستخدام خوارزميات تشفير قوية وأطوال مفاتيح مناسبة (على سبيل المثال، RSA 2048 بت أو أعلى).
• التحكم في الوصول والمصادقة متعددة العوامل: قم بتنفيذ ضوابط وصول صارمة وتعزيز استخدام المصادقة متعددة العوامل، خاصة بالنسبة للإجراءات التي تؤدي إلى تفاعلات CA API مثل إعادة مفتاح الشهادة والتجديد والإلغاء.

---

التخزين الآمن للمفاتيح الخاصة

• دوران المفتاح المستمر: يؤدي تدوير المفتاح بشكل منتظم إلى تقليل كمية البيانات المكشوفة في حالة اختراق المفتاح وتقليل الوقت الذي يستغرقه المهاجم لاختراق المفتاح.
• التخزين المشفر والنسخ الاحتياطي: تشجيع النسخ الاحتياطية المشفرة للمفاتيح الخاصة، المخزنة بشكل آمن ومنفصل.
• الإلغاء وتدمير المفتاح: قم بتشجيع السياسات لدى المستخدمين النهائيين لديك والتي تتيح الإلغاء السريع والفعال في حالة تعرض المفتاح للاختراق أو عدم الحاجة إليه. لا ينبغي استخدام المفتاح في أي عمليات تشفير بعد إبطاله ويجب تدميره.
• وضع التسلسل الهرمي الرئيسي: تقوم هذه البنية بإنشاء طبقات من مفاتيح التشفير، ولكل منها مستويات مختلفة من الوصول والتحكم. يُستخدم المفتاح الرئيسي، الذي يقع في مركز هذا التسلسل الهرمي وهو آمن للغاية، لتشفير المفاتيح الإضافية، والتي يُشار إليها كثيرًا باسم "الثانوية" أو "تشفير البيانات".
• وجود استراتيجية للاستجابة للكوارث: قم بتطوير الإجراءات المحددة التي يجب اتخاذها بالإضافة إلى الأطراف المسؤولة في حالة حدوث تسوية رئيسية كبيرة أو خسارة رئيسية.

إن الثقة في CA لدينا والموزعين ذوي العلامات التجارية لدينا أمر بالغ الأهمية. ومن خلال الالتزام بأفضل الممارسات الشاملة هذه، يمكننا ضمان أمان وسلامة عملية إصدار الشهادة، وحماية بيانات المستخدم، والحفاظ على ثقة المستخدمين النهائيين لدينا. نحن نشجع جميع الموزعين لدينا على تنفيذ هذه الممارسات بجدية والتواصل معنا للحصول على أي إرشادات أو توضيحات إضافية.