Průvodce osvědčenými postupy zabezpečení certifikační autority pro značkové prodejce: Komplexní bezpečnostní opatření

Zobrazit všechny návody

Úvod

Jako přední certifikační autorita (CA) a společnost poskytující důvěryhodné služby upřednostňujeme bezpečnost a důvěryhodnost našich digitálních certifikátů a naše postupy ověřování identity. Tato příručka je zaměřena na naše partnery značkových prodejců, kteří mají podřízené certifikační autority spojené s důvěryhodným kořenem SSL.com (označované jako „subCA“) a jsou zodpovědní za shromažďování ověřovacích důkazů, jejich odeslání na náš portál registrační autority a usnadnění vydávání certifikáty z partnerských podCA, které spravuje SSL.com. Účelem této příručky je zajistit integritu a bezpečnost procesu předkládání ověřovacích důkazů a životního cyklu certifikátu, protože prodejci nemají přímý přístup ke kořenovému materiálu a mohou pracovat s operacemi životního cyklu certifikátu pouze prostřednictvím určeného rozhraní API nebo prostřednictvím účtu v portál registrační autority (RA) spravovaný SSL.com.

Zabezpečené shromažďování důkazů o ověření pro rozšířené, organizační a individuální typy ověření

  • Minimalizace dat: Sbírejte pouze nezbytné ověřovací doklady požadované pro proces vydání certifikátu. Vyhněte se shromažďování cizích nebo citlivých informací.
  • Bezpečné metody sběru: Při shromažďování důkazů o ověření od koncových uživatelů používejte zabezpečené kanály, jako jsou šifrované formuláře nebo portály.
  • Řízení přístupu: Zaveďte přísné kontroly přístupu ke shromažďování důkazů o ověření. Přístup by měl mít pouze oprávněný personál a vícefaktorové ověřování by mělo být povinné.
  • Integrita dat: Zajistěte, aby ověřovací důkaz zůstal během procesu shromažďování nezměněn.
  • Ověření kontroly domény: Používejte ověřovací služby a metody kontroly domény striktně poskytované SSL.com.

Bezpečné předložení důkazů o ověření kořenové CA

  • Zabezpečení API: K odesílání důkazů o ověření vždy používejte určené rozhraní API. Zajistěte, aby volání API probíhalo přes zabezpečené kanály, jako je HTTPS.
  • Nahrání z portálu: Dalším bezpečným způsobem předkládání důkazů je nahrání důkazů přímo do souvisejícího příkazu, který byste viděli na svém účtu SSL.com; ujistěte se, že nahráváte pouze důkazy související s konkrétní objednávkou.
  • Pravidelné audity: Provádějte pravidelné audity protokolů podání, abyste zajistili, že nedochází k neoprávněným podáním.
  • Reakce na incidenty: Mějte jasný plán reakce na incidenty pro jakékoli nesrovnalosti nebo porušení v procesu odesílání. Oznámit kořenový CA us ihned pokud jsou zjištěny nějaké nesrovnalosti.

Doporučené postupy pro používání rozhraní API pro operace životního cyklu certifikátu

  • Správa klíčů API: Chraňte své API klíče. Uchovávejte je bezpečně, pravidelně je otáčejte a nikdy je nevystavujte v kódu na straně klienta nebo ve veřejných úložištích.
  • Omezení sazby: Uvědomte si všechny limity sazeb uložené na rozhraní API, abyste se vyhnuli neúmyslnému přerušení služby.
  • Monitorování a protokolování: Sledujte všechny aktivity API. Uchovávejte podrobné protokoly a pravidelně je kontrolujte, zda v nich nejsou podezřelé nebo neoprávněné aktivity.
  • Vypořádání se s chybou: Implementujte robustní mechanismy zpracování chyb. V případě jakýchkoli selhání nebo nesrovnalostí v odpovědích API mějte jasný postup, jak je řešit.

Udržování zabezpečeného webu

  • ---- TLS Konfigurace serveru: Ujistěte se, že server podporuje pouze silné kryptografické šifry a protokoly. Pravidelně aktualizujte a opravujte server, abyste předešli známým chybám zabezpečení.
  • Zpevnění operačního systému: Minimalizujte počet služeb běžících na serveru, rychle aplikujte bezpečnostní záplaty a použijte konfigurace zabezpečení ke snížení plochy útoku.
  • Běžné chyby zabezpečení webu: Pravidelně vyhledávejte a řešte zranitelná místa, jako je SQL injection, Cross-Site Scripting (XSS) a Cross-Site Request Forgery (CSRF).
  • Udržujte správný stav hesla: Ujistěte se, že hesla jsou složitá a obsahují kombinaci velkých a malých písmen, číslic a speciálních znaků. Povzbuďte uživatele s přístupem k vašim serverům nebo CRM, aby pravidelně aktualizovali svá hesla a vyvarovali se opakovaného používání hesel z jiných webů. Implementujte vícefaktorové ověřování (MFA) nebo využijte certifikáty clientAuth.

Požadavky na zabezpečení sítě a certifikačních systémů fóra CA/B

  • Čtvrtletní kontroly zranitelnosti: Každé čtvrtletí provádějte pravidelné kontroly zranitelnosti, abyste identifikovali a napravili potenciální bezpečnostní problémy.
  • Roční penetrační test: Zapojte se do každoročního penetračního testování, abyste simulovali potenciální útoky a identifikovali slabá místa v systému.
  • Propagujte bezpečnostní požadavky: Zdůrazněte důležitost dodržování bezpečnostních požadavků sítě CA/B Forum Network a certifikačních systémů pro zachování důvěry a bezpečnosti.

Propagace osvědčených postupů pro koncové uživatele s generováním soukromých klíčů, ukládáním a CSRs

  • Vzdělávejte se v oblasti generování klíčů: Veďte koncové uživatele k používání nástrojů prověřených CA pro generování klíčů a CSRs. To zajišťuje kompatibilitu a bezpečnost.
  • Délka klíče a algoritmus: Doporučte koncovým uživatelům, aby používali silné kryptografické algoritmy a vhodné délky klíčů (např. RSA 2048-bit nebo vyšší).
  • Řízení přístupu a vícefaktorové ověřování: Implementujte přísné kontroly přístupu a propagujte používání vícefaktorové autentizace, zejména pro akce spouštějící interakce CA API, jako je opětovné klíče certifikátu, obnova a odvolání.

Bezpečné uložení soukromých klíčů

  • Nepřetržité otáčení kláves: Pravidelné střídání klíčů minimalizuje množství vystavených dat, pokud je klíč kompromitován, a zkracuje dobu, kterou útočníkovi trvá prolomit klíč.
  • Šifrované úložiště a zálohování: Podporujte šifrované zálohy soukromých klíčů uložených bezpečně a odděleně.
  • Odvolání a zničení klíče: Podporujte u svých koncových uživatelů zásady, které umožňují rychlé a efektivní odvolání, pokud je klíč kompromitován nebo již není potřeba. Klíč by po odvolání neměl být používán pro žádné kryptografické operace a měl by být zničen.
  • Zavedení hierarchie klíčů: Tato struktura vytváří vrstvy kryptografických klíčů, každý s různou úrovní přístupu a kontroly. Hlavní klíč, který je v centru této hierarchie a je extrémně bezpečný, se používá k šifrování dalších klíčů, které se často označují jako „podřízené“ nebo „šifrování dat“.
  • Mít strategii reakce na katastrofy: Vypracujte definovaná opatření, která je třeba přijmout, stejně jako odpovědné strany v případě zásadního kompromisu nebo ztráty klíče.
Důvěra v naši CA a naše značkové prodejce je prvořadá. Dodržováním těchto komplexních osvědčených postupů můžeme zajistit bezpečnost a integritu procesu vydávání certifikátů, chránit uživatelská data a udržovat důvěru našich koncových uživatelů. Vyzýváme všechny naše prodejce, aby tyto postupy svědomitě zaváděli, a kontaktovali nás s žádostí o další pokyny nebo vysvětlení.
X
facebook
LinkedIn
reddit
email

Tým podpory SSL

Všechny příspěvky »

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu