Ръководство за най-добри практики за сигурност на сертифициращия орган за маркови дистрибутори: Всеобхватни мерки за сигурност

Вижте всички ръководства

Въведение

Като водещ сертифициращ орган (CA) и компания за доверителни услуги, ние даваме приоритет на сигурността и надеждността на нашите цифрови сертификати и нашите процедури за валидиране на самоличността. Това ръководство е съсредоточено върху нашите маркови дистрибуторски партньори, които държат подчинени сертифициращи органи, свързани с доверения корен на SSL.com (наричани „subCA“) и отговарят за събирането на доказателства за валидиране, подаването им до портала на нашия орган за регистрация и улесняването на издаването на сертификати от партньорски брандирани subCA, които се управляват от SSL.com. Целта на това ръководство е да гарантира целостта и сигурността на процеса на подаване на доказателства за валидиране и жизнения цикъл на сертификата, тъй като дистрибуторите нямат директен достъп до основния материал и могат да взаимодействат с операциите на жизнения цикъл на сертификата само чрез определен API или чрез акаунт в порталът на регистриращия орган (RA), управляван от SSL.com.

Сигурно събиране на доказателства за валидиране за типове разширено, организационно и индивидуално валидиране

  • Минимизиране на данните: Съберете само необходимите доказателства за валидиране, необходими за процеса на издаване на сертификат. Избягвайте събирането на чужда или чувствителна информация.
  • Сигурни методи за събиране: Използвайте защитени канали, като криптирани формуляри или портали, когато събирате доказателства за валидиране от крайни потребители.
  • Контрол на достъпа: Прилагане на строг контрол на достъпа за събиране на доказателства за валидиране. Само оторизиран персонал трябва да има достъп, а многофакторното удостоверяване трябва да е задължително.
  • Целостта на данните: Уверете се, че доказателството за валидиране остава непроменено по време на процеса на събиране.
  • Проверка на контрола на домейна: Използвайте услугите и методите за проверка на контрола на домейна, строго предоставени от SSL.com.

Безопасно подаване на доказателство за потвърждение към основния CA

  • Сигурност на API: Винаги използвайте определения API за подаване на доказателства за валидиране. Уверете се, че извикванията на API се извършват през защитени канали, като HTTPS.
  • Качвания в портала: Друг безопасен метод за подаване на доказателства е качването на доказателства директно в свързаната поръчка, която ще видите във вашия акаунт в SSL.com; уверете се, че качвате само доказателства, свързани с конкретната поръчка.
  • Редовни одити: Провеждайте редовни одити на регистрационните файлове за изпращане, за да се уверите, че няма неразрешени подавания.
  • Отговор на инцидента: Имайте ясен план за реагиране при инциденти за всякакви несъответствия или нарушения в процеса на подаване. Уведомете коренът CA us веднага ако бъдат установени нередности.

Най-добри практики за използване на API за операции на жизнения цикъл на сертификата

  • Управление на API ключове: Защитете вашите API ключове. Съхранявайте ги сигурно, редувайте ги периодично и никога не ги излагайте в клиентски код или публични хранилища.
  • Ограничаване на скоростта: Имайте предвид всички ограничения на скоростта, наложени на API, за да избегнете неволни прекъсвания на услугата.
  • Мониторинг и регистриране: Наблюдавайте всички API дейности. Поддържайте подробни регистрационни файлове и редовно ги преглеждайте за подозрителни или неразрешени дейности.
  • Обработка на грешки: Внедрете стабилни механизми за обработка на грешки. В случай на грешки или несъответствия в отговорите на API, имайте ясна процедура за тяхното отстраняване.

Поддържане на защитен уебсайт

  • надлежен TLS Конфигурация на сървъра: Уверете се, че сървърът поддържа само силни криптографски шифри и протоколи. Редовно актуализирайте и коригирайте сървъра, за да предотвратите известни уязвимости.
  • Втвърдяване на операционната система: Минимизирайте броя на услугите, изпълнявани на сървъра, прилагайте своевременно корекции за сигурност и използвайте конфигурации за сигурност, за да намалите повърхността на атака.
  • Често срещани уязвимости на уебсайтове: Редовно сканирайте за и адресирайте уязвимости като SQL инжектиране, скриптове между сайтове (XSS) и фалшифициране на заявки между сайтове (CSRF).
  • Поддържайте правилното състояние на паролата: Уверете се, че паролите са сложни, включващи комбинация от главни и малки букви, цифри и специални знаци. Насърчавайте тези, които имат достъп до вашите сървъри или CRM, да актуализират паролите си редовно и да избягват повторното използване на пароли от други сайтове. Приложете многофакторно удостоверяване (MFA) или използвайте clientAuth сертификати.

Изисквания за сигурност на CA/B форумна мрежа и системи за сертификати

  • Тримесечни сканирания за уязвимости: Провеждайте редовно сканиране за уязвимости всяко тримесечие, за да идентифицирате и коригирате потенциални проблеми със сигурността.
  • Годишен тест за проникване: Участвайте в годишно тестване за проникване, за да симулирате потенциални атаки и да идентифицирате слабите места в системата.
  • Насърчаване на изискванията за сигурност: Подчертайте важността на спазването на изискванията за сигурност на мрежата на форума CA/B и системите за сертификати, за да поддържате доверие и сигурност.

Популяризиране на най-добрите практики за крайния потребител с генериране на частни ключове, съхранение и CSRs

  • Обучете се за генериране на ключове: Насочете крайните потребители да използват одобрени от CA инструменти за генериране на ключове и CSRс. Това гарантира съвместимост и сигурност.
  • Дължина на ключа и алгоритъм: Посъветвайте крайните потребители да използват силни криптографски алгоритми и подходящи дължини на ключовете (напр. RSA 2048-bit или по-висока).
  • Контрол на достъпа и многофакторно удостоверяване: Приложете строг контрол на достъпа и популяризирайте използването на многофакторно удостоверяване, особено за действия, задействащи взаимодействия с CA API, като преключване на сертификат, подновяване и отмяна.

Сигурно съхранение на частни ключове

  • Постоянна ротация на ключове: Редовната ротация на ключовете минимизира количеството на изложените данни, ако ключът е компрометиран, и съкращава времето, необходимо на атакуващия да разбие ключ.
  • Криптирано съхранение и архивиране: Насърчавайте криптирани резервни копия на частни ключове, съхранявани сигурно и отделно.
  • Отмяна и унищожаване на ключ: Насърчавайте политики във вашите крайни потребители, които позволяват бързо и ефективно оттегляне, ако ключът е компрометиран или вече не е необходим. Ключът не трябва да се използва за каквито и да било криптографски операции, след като бъде отменен и трябва да бъде унищожен.
  • Създаване на ключова йерархия: Тази структура създава слоеве от криптографски ключове, всеки с различни нива на достъп и контрол. Главният ключ, който е в центъра на тази йерархия и е изключително защитен, се използва за криптиране на допълнителни ключове, които често се наричат ​​„подчинени“ или „криптиране на данни“.
  • Имате стратегия за реагиране при бедствия: Разработете определени действия, които трябва да бъдат предприети, както и отговорни страни в случай на сериозен компромис или загуба на ключ.
Доверието в нашия CA и нашите маркови дистрибутори е от първостепенно значение. Като се придържаме към тези изчерпателни най-добри практики, можем да гарантираме сигурността и целостта на процеса на издаване на сертификати, да защитим потребителските данни и да запазим доверието на нашите крайни потребители. Насърчаваме всички наши дистрибутори да прилагат усърдно тези практики и се обръщат към нас за допълнителни насоки или разяснения.
Twitter
Facebook
LinkedIn
Reddit
Имейл

Екип за поддръжка на SSL

Всички публикации »

Бъдете информирани и защитени

SSL.com е глобален лидер в киберсигурността, PKI и цифрови сертификати. Регистрирайте се, за да получавате най-новите новини от индустрията, съвети и съобщения за продукти от SSL.com.

Ще се радваме на вашите отзиви

Попълнете нашата анкета и ни кажете какво мислите за скорошната си покупка.

Участвай в допитването