Въведение
Като водещ сертифициращ орган (CA) и компания за доверителни услуги, ние даваме приоритет на сигурността и надеждността на нашите цифрови сертификати и нашите процедури за валидиране на самоличността. Това ръководство е съсредоточено върху нашите маркови дистрибуторски партньори, които държат подчинени сертифициращи органи, свързани с доверения корен на SSL.com (наричани „subCA“) и отговарят за събирането на доказателства за валидиране, подаването им до портала на нашия орган за регистрация и улесняването на издаването на сертификати от партньорски брандирани subCA, които се управляват от SSL.com. Целта на това ръководство е да гарантира целостта и сигурността на процеса на подаване на доказателства за валидиране и жизнения цикъл на сертификата, тъй като дистрибуторите нямат директен достъп до основния материал и могат да взаимодействат с операциите на жизнения цикъл на сертификата само чрез определен API или чрез акаунт в порталът на регистриращия орган (RA), управляван от SSL.com.
Сигурно събиране на доказателства за валидиране за типове разширено, организационно и индивидуално валидиране
-
Минимизиране на данните: Съберете само необходимите доказателства за валидиране, необходими за процеса на издаване на сертификат. Избягвайте събирането на чужда или чувствителна информация.
-
Сигурни методи за събиране: Използвайте защитени канали, като криптирани формуляри или портали, когато събирате доказателства за валидиране от крайни потребители.
-
Контрол на достъпа: Прилагане на строг контрол на достъпа за събиране на доказателства за валидиране. Само оторизиран персонал трябва да има достъп, а многофакторното удостоверяване трябва да е задължително.
-
Целостта на данните: Уверете се, че доказателството за валидиране остава непроменено по време на процеса на събиране.
-
Проверка на контрола на домейна: Използвайте услугите и методите за проверка на контрола на домейна, строго предоставени от SSL.com.
Безопасно подаване на доказателство за потвърждение към основния CA
-
Сигурност на API: Винаги използвайте определения API за подаване на доказателства за валидиране. Уверете се, че извикванията на API се извършват през защитени канали, като HTTPS.
-
Качвания в портала: Друг безопасен метод за подаване на доказателства е качването на доказателства директно в свързаната поръчка, която ще видите във вашия акаунт в SSL.com; уверете се, че качвате само доказателства, свързани с конкретната поръчка.
-
Редовни одити: Провеждайте редовни одити на регистрационните файлове за изпращане, за да се уверите, че няма неразрешени подавания.
-
Отговор на инцидента: Имайте ясен план за реагиране при инциденти за всякакви несъответствия или нарушения в процеса на подаване. Уведомете коренът CA ако бъдат установени нередности.
Най-добри практики за използване на API за операции на жизнения цикъл на сертификата
-
Управление на API ключове: Защитете вашите API ключове. Съхранявайте ги сигурно, редувайте ги периодично и никога не ги излагайте в клиентски код или публични хранилища.
-
Ограничаване на скоростта: Имайте предвид всички ограничения на скоростта, наложени на API, за да избегнете неволни прекъсвания на услугата.
-
Мониторинг и регистриране: Наблюдавайте всички API дейности. Поддържайте подробни регистрационни файлове и редовно ги преглеждайте за подозрителни или неразрешени дейности.
-
Обработка на грешки: Внедрете стабилни механизми за обработка на грешки. В случай на грешки или несъответствия в отговорите на API, имайте ясна процедура за тяхното отстраняване.
Поддържане на защитен уебсайт
-
надлежен TLS Конфигурация на сървъра: Уверете се, че сървърът поддържа само силни криптографски шифри и протоколи. Редовно актуализирайте и коригирайте сървъра, за да предотвратите известни уязвимости.
-
Втвърдяване на операционната система: Минимизирайте броя на услугите, изпълнявани на сървъра, прилагайте своевременно корекции за сигурност и използвайте конфигурации за сигурност, за да намалите повърхността на атака.
-
Често срещани уязвимости на уебсайтове: Редовно сканирайте за и адресирайте уязвимости като SQL инжектиране, скриптове между сайтове (XSS) и фалшифициране на заявки между сайтове (CSRF).
-
Поддържайте правилното състояние на паролата: Уверете се, че паролите са сложни, включващи комбинация от главни и малки букви, цифри и специални знаци. Насърчавайте тези, които имат достъп до вашите сървъри или CRM, да актуализират паролите си редовно и да избягват повторното използване на пароли от други сайтове. Приложете многофакторно удостоверяване (MFA) или използвайте clientAuth сертификати.
Изисквания за сигурност на CA/B форумна мрежа и системи за сертификати
-
Тримесечни сканирания за уязвимости: Провеждайте редовно сканиране за уязвимости всяко тримесечие, за да идентифицирате и коригирате потенциални проблеми със сигурността.
-
Годишен тест за проникване: Участвайте в годишно тестване за проникване, за да симулирате потенциални атаки и да идентифицирате слабите места в системата.
-
Насърчаване на изискванията за сигурност: Подчертайте важността на спазването на изискванията за сигурност на мрежата на форума CA/B и системите за сертификати, за да поддържате доверие и сигурност.
Популяризиране на най-добрите практики за крайния потребител с генериране на частни ключове, съхранение и CSRs
-
Обучете се за генериране на ключове: Насочете крайните потребители да използват одобрени от CA инструменти за генериране на ключове и CSRс. Това гарантира съвместимост и сигурност.
-
Дължина на ключа и алгоритъм: Посъветвайте крайните потребители да използват силни криптографски алгоритми и подходящи дължини на ключовете (напр. RSA 2048-bit или по-висока).
-
Контрол на достъпа и многофакторно удостоверяване: Приложете строг контрол на достъпа и популяризирайте използването на многофакторно удостоверяване, особено за действия, задействащи взаимодействия с CA API, като преключване на сертификат, подновяване и отмяна.
Сигурно съхранение на частни ключове
-
Постоянна ротация на ключове: Редовната ротация на ключовете минимизира количеството на изложените данни, ако ключът е компрометиран, и съкращава времето, необходимо на атакуващия да разбие ключ.
-
Криптирано съхранение и архивиране: Насърчавайте криптирани резервни копия на частни ключове, съхранявани сигурно и отделно.
-
Отмяна и унищожаване на ключ: Насърчавайте политики във вашите крайни потребители, които позволяват бързо и ефективно оттегляне, ако ключът е компрометиран или вече не е необходим. Ключът не трябва да се използва за каквито и да било криптографски операции, след като бъде отменен и трябва да бъде унищожен.
-
Създаване на ключова йерархия: Тази структура създава слоеве от криптографски ключове, всеки с различни нива на достъп и контрол. Главният ключ, който е в центъра на тази йерархия и е изключително защитен, се използва за криптиране на допълнителни ключове, които често се наричат „подчинени“ или „криптиране на данни“.
-
Имате стратегия за реагиране при бедствия: Разработете определени действия, които трябва да бъдат предприети, както и отговорни страни в случай на сериозен компромис или загуба на ключ.
Доверието в нашия CA и нашите маркови дистрибутори е от първостепенно значение. Като се придържаме към тези изчерпателни най-добри практики, можем да гарантираме сигурността и целостта на процеса на издаване на сертификати, да защитим потребителските данни и да запазим доверието на нашите крайни потребители. Насърчаваме всички наши дистрибутори да прилагат усърдно тези практики и се обръщат към нас за допълнителни насоки или разяснения.