Erfaringer, sikkerhedsimplikationer og god praksis for mærkede SubCA'er

Offentligt betroede ejere af certificeringsmyndigheder (PT-CA'er) er grundlaget for sikker funktion af internettet. De er betroet af den generelle, globale offentlige og store browserleverandører til at levere den væsentlige offentlige nøgleinfrastruktur (PKI) nødvendig for at etablere tillid, sikre kommunikation og lette sikre onlinetransaktioner. For at bevare deres troværdighed skal offentligt betroede CA'er investere betydelige ressourcer i sikkerheden af ​​deres operationer og overholdelse af de nyeste standarder, og de er underlagt strenge uafhængige revisioner og overvågning.

PT-CA'er har som virksomheder en legitim interesse i at skabe et netværk af betroede forhandlere til at distribuere deres produkter og udvide deres markedstilstedeværelse. Da de fungerer som "tillidsankre", modtager de ofte anmodninger fra interesserede parter, som gerne vil inkludere levering af offentligt betroede certifikater i deres tilbud, nogle gange under deres eget navn; disse kaldes "white-labeled" eller "branded" subCA'er.

Mange medlemmer i PT-CA-, forhandler- og abonnentfællesskabet finder mærkevare-subCA'er værdifulde for at hjælpe med at opbygge omdømme uden at skulle investere i en fuldt dedikeret CA-infrastruktur, og de fleste forhandlerkunder håndterer privilegiet ved at have deres eget brand inden for en SubCA på ansvarlig vis. Desværre er der tilfælde, hvor dårlig sikkerhedspraksis eller misbrug, forsætligt eller på anden måde, kan dukke op.

Denne hvidbog analyserer sikkerhedsrisiciene i forbindelse med brandede subCA-forhandlere og foreslår god praksis baseret på erfaringerne indsamlet gennem vores undersøgelse og erfaringer fra analyse af nylige sager i branchen. Vores resultater bør være nyttige for politiske beslutningstagere (CA/B Forum, Root Store Owners), for PT-CA'er, der i sidste ende er ansvarlige for troværdigheden af ​​deres tjenester, og for enhver anden interesseret part.

Kortlægge

En undersøgelse blev udført af SSL.com i anden halvdel af 2023 for at indsamle indsigt fra fællesskabet, som ville være nyttig for denne rapport. Vores undersøgelse omfattede spørgsmål, der dækkede følgende aspekter:

  1. Populariteten af ​​mærkevare-subCA-modellen
  2. Omfang af rebranding: brandede CRL/OCSP-respondere, brugerportaler, brugerdefinerede produktnavne
  3. Udvælgelse/vurderingsproces af brandede subCA-kunder
  4. Brug af egen brugerportal
  5. Revision og inspektion af disse portaler
  6. Erfaringer baseret på erfaring med brandede subCA-kunder
  7. Tekniske udfordringer med at generere, kontrollere eller tilbagekalde mærkede subCA'er

Undersøgelsen var rettet til 9 PT-CA'er, som baseret på analyse af CCADB-data synes at have størst erfaring med den brandede subCA-model.

Undersøgelsesresultater

Vi modtog svar fra 5 ud af de 9 PT-CA'er, og vi fulgte op for afklaringer. Svarene blev analyseret for at identificere fællestræk og forskelle i den brandede subCA-model og relevant praksis, som anvendt af CA-industrien.

Højdepunkter fra undersøgelsens resultater:

  1. Flere synonyme termer bliver brugt i industrien for denne eller lignende subCA-modeller: mærkevarer, hvid-mærket, dedikeret, forfængelighed.

  2. 4 ud af de 5 deltagende CA'er bekræftede, at mærkevare-subCA'er er en del af deres tilbud. Produktet er målrettet udvalgte kunder, såsom hostingudbydere og store forhandlere. Det gælder også i tilfælde af store konti, der har brug for certifikater til eget brug; f.eks. rapporterede en CA at anvende modellen på akademiske institutioner og forskningsinstitutioner.

  3. Branding omfatter typisk udstedelse af subCA-certifikater, der har navnet på kunden/forhandleren i feltet subjectDN. Udvidet branding kan også omfatte brandede CRL/OCSP-responser-URL'er og brandede mikroportaler for mindre kunder/forhandlere, der ikke har deres egne RA-portaler.

  4. SubCA-udvælgelsesprocessen er for det meste baseret på forretningsmæssige/kommercielle kriterier, såsom type aktivitet, forventet antal certifikater og påtænkt brug. Nogle PT-CA'er rapporterede, at de måske foreslår eller beslutter på egen hånd at oprette dedikerede subCA'er, mærkede eller ej, for at skelne fra deres generelle udstedende CA'er, når de servicerer store kunder eller projekter, som et middel til at isolere virkningen/risiciene i tilfælde af af en hændelse (f.eks. kompromis, overholdelsessvigt eller anden type), der nødvendiggør tilbagekaldelse.

  5. Undersøgelsen involverer typisk følgende valideringsaktiviteter:

    en. verifikation af organisationens navn, adresse og eksistens (svarende til en OV- eller EV-proces); og

    b. verifikation af godkendelsen af ​​anmodningen.

  6. En af de deltagende PT-CA'er rapporterede, at der inden underskrivelse af en kontrakt finder en intern konsultation sted med Compliance-teamet for at kontrollere omdømmet for den mærkede SubCA-ansøger. Dette omfatter søgning i offentlige ressourcer efter rapporter om involvering i dataforfalskning eller hvidvaskning af penge. CCADB og Bugzilla er yderligere informationskilder, når en ansøger allerede selv er en PT-CA.

  7. Ingen rapporterede, at de nægtede en varemærket subCA-klient af andre årsager end kommercielle/økonomiske.

  8. Næsten alle PT-CA'er rapporterede, at de fleste mærkevareunderCA'er medbringer deres egen brugerportal; en PT-CA kvantificerede det til 80 % af deres samlede antal brandede subCA-partnere. Som en undtagelse var en PT-CA ikke opmærksom på, at nogen af ​​sine mærkevarer under CA-kunder brugte deres egen brugerportal.

  9. Ingen PT-CA rapporterede revision eller på anden måde inspicering af tredjepartsbrugerportalen for deres brandede underCA'er (medmindre den brandede underCA også er en PT-CA, hvilket betyder, at deres brugerportaler er underlagt revision alligevel).

  10. En PT-CA rapporterede følgende erfaringer:

    en. Antallet af udstedte certifikater bør være stort nok til at retfærdiggøre opretholdelse af et mærket subCA.

    b. Det er værd at tjekke deres erfaring i branchen, før du fortsætter med kontrakten.

    c. Det er også værd at tage sig af den passende længde af kontrakten.

  11. Et par PT-CA'er rapporterede, at de ikke ser nogen særlige tekniske udfordringer med at generere, kontrollere eller tilbagekalde mærkevareunderCA'er.

Value Added Resellers

Ifølge resultaterne af undersøgelsen og de oplysninger, vi indsamlede med vores egen undersøgelse, tilbyder næsten alle PT-CA'er forhandlerprogrammer; fra virksomheder eller enkeltpersoner, der nyder godt af engrosrabatter og videresælger CA-produkter til en margin (almindelige forhandlere) til enheder, der inkorporerer CA-produkter i deres egne tilbud eller leverer værditilvæksttjenester til gavn for deres kunder. Førstnævnte ("almindelige forhandlere") er ikke involveret i nogen anden del af tjenesten end selve salget, og derfor anses de for at være uden for anvendelsesområdet i dette papir.

På den anden side kan Value-Added Resellers (VAR) have lille eller betydelig involvering i at facilitere nøgle-/certifikatlivscyklusprocessen. Da dette har konsekvenser for sikkerhed og overholdelse, fokuserer dette papir på VAR'er og overvejer iboende risici (og fordele).

Vores forskning afslørede, at der er forskellige typer/praksis for VAR'er i branchen, afhængigt af deres involvering i nøgle-/certifikatlivscyklusprocesserne, brugen af ​​PT-CA's portal eller deres egen portal/systemer, brugen af ​​subCA'er udstedt med navnet på PT-CA/Root CA eller mærkede subCA'er.

De mest almindelige tilfælde, vi har identificeret, er følgende:

  • VAR'er, der anvender PT-CA'er/Root CA's systemer: De hjælper almindeligvis de enheder, der ejer/kontrollerer domænenavne ved at bruge CA's Registration Authority Portal; deres bistand er normalt fokuseret på registrering og administration af certifikater på vegne af disse domæneejere.
  • VAR'er med uafhængige registreringsmyndighedsportaler: De har typisk deres egen portal til at registrere brugere uafhængigt af CA'en og bruge CA's API i backend til at udføre Certificate Lifecycle-aktiviteter.
    • Domænevalideringsaktiviteter udføres typisk af CA. For eksempel, hvis en e-mail-meddelelse med en tilfældig værdi skal sendes til ansøgeren for at bevise kontrol over et domænenavn, sendes den direkte fra PT-CA's systemer, ikke forhandlerens.

    • Ifølge afsnit 6.1.1.3 i BR'erne må PT-CA'er ikke generere nøglepar på vegne af Abonnenter. Nogle abonnenter kan bruge VAR'er til at generere og muligvis gemme disse nøgler.

  • Brandede subCA-forhandlere: I de fleste tilfælde er disse VAR'er, der har en aftale med PT-CA om at erhverve en brugerdefineret udstedende CA, der indeholder VAR'ens "mærke".
    • Dette er typisk en internt drevet subCA, så den overordnede (normalt Root) CA-operatør administrerer normalt nøglerne og livscyklushændelser for den underCA.

    • Eksternt betjente subCA'er kan også indeholde mærket af den enhed, der driver subCA'en, men da denne enhed kontrollerer en privat nøgle forbundet med et udstedende CA-certifikat, skal den revideres korrekt i henhold til afsnit 8.1 i TLS Baseline Krav, eller det skal være teknisk begrænset i overensstemmelse med afsnit 7.1.2.3, 7.1.2.4, 7.1.2.5 og internt revideret i henhold til afsnit 8.7 i TLS Baseline krav. Det anses for at være uden for anvendelsesområdet i denne hvidbog.

Ud over mærkevare-subCA-forhandlere kan store abonnenter også anmode om en mærkevare-subCA for at udstede certifikater under deres organisationsnavn (dvs. til eget brug). Denne model er ikke undersøgt her, fordi den har de samme risici som med en simpel abonnent, i betydningen at bestille og administrere store mængder certifikater til deres egen organisation.

Tilsvarende er forhandlere, der ikke er involveret i nogen del af nøgle-/certifikatlivscyklusstyringen (f.eks. forhandlere, der er en del af et henvisningsprogram med kommissionsberettiget salg), ikke omfattet af denne hvidbog.

Mærkede SubCA'er

Eksternt betjente subCA'er, en model, der var populær tidligere (baseret på analyse af CCADB-data), er blevet betydeligt reduceret i løbet af de sidste år (i CCADB'en var der 93 serverAuth-subCA'er med "Audit not same as parent" stadig aktiv og lænket til en betroet rod), og bliver fortsat brugt i nogle tilfælde. Når det bruges, inkluderer subCA-certifikatet partnerens navn i organisationsnavnet på subjectDN og kræver separate eksterne revisioner.

Industrien bruger to praksisser for den internt drevne brandede subCA-organisation:

  • Nogle CA'er inkluderer navnet på den udstedende CA (rodoperatør) i organisationsnavnet på emneDN for det mærkede mellemliggende CA-certifikat
  • Nogle CA'er inkluderer navnet på den mærkede SubCA i organisationsnavnet på emneDN for det mærkede mellemliggende CA-certifikat.

Med de nuværende krav er det vanskeligt for en afhængig part nemt at identificere, om den udstedende CA er betjenes af Root CA eller en anden enhed.

Risici ved VAR-modellen

Efter at have analyseret feedbacken fra undersøgelsen og de forskellige VAR-praksis i denne branche, identificerede vi nogle risici, der hovedsageligt gælder for VAR'er, der handler på vegne af en abonnent:

  1. Nøglegenerering og / eller lagring af den private nøgle: Dette er en kritisk funktion, for hvilken ingen krav eller revisioner håndhæves til VAR'er i henhold til de nuværende standarder. Manglen på synlighed for deres sikkerhedsposition øger risikoen for at få Abonnentens private nøgler kompromitteret.

  2. Opbevaring af personligt identificerbare oplysninger, og muligvis andre følsomme (f.eks. kreditkort) oplysninger, med risiko for eksponering af private data. Denne risiko svarer til den ovenfor nævnte; derudover er der risiko for ukorrekt brug af PII, dvs. brug af PII til andre formål end dem, der er godkendt af Abonnenten.

  3. Tilbagekaldelse af certifikat, med Denial-of-Service-risikoen for abonnenter. I tilfælde af VAR'er, der har privilegeret adgang til deres kunders konti, kan en hændelse på en VAR's system eller endda en utilsigtet handling fra VAR'eren resultere i massetilbagekaldelse og dermed påvirke tilgængeligheden af ​​flere websteder.

  4. Genindtastning af certifikat, tilladt under visse omstændigheder at erstatte en offentlig nøgle i et certifikat uden at genudføre domænevalidering med risiko for at opsnappe krypteret trafik til/fra abonnentwebsteder.

  5. Genbrug af beviser brugt til domænevalidering: Ved den første udstedelse er der en direkte interaktion med domæneejeren, som gør det muligt for PT-CA at have fuld kontrol over DCV-processen. I tilfælde af genbrug af DCV-beviser er dette trin ikke relevant, hvilket betyder, at der er en risiko for, at VAR med succes kan anmode om udstedelse af et nyt certifikat til de pågældende domæner uden abonnentens tilladelse.

  6. VAR'er har øget gennemslagskraft og bliver dermed en "honeypot" i tilfælde af kompromis. En VAR ville blive betragtet som et mere tiltalende mål, og hvis en angriber med succes trænger ind i/kompromitterer en VARs systemer (f.eks. dens portal), kan dette påvirke mere uafhængige abonnenter, hvilket resulterer i en meget større indvirkning sammenlignet med angreb på individuelle abonnenter.

  7. Brugen af ​​en skik forhandlerportal tilføjer endnu et element i sikkerhedskæden, hvilket udvider angrebsfladen. Specifikke risici for en forhandlerportal omfatter:

    • Cybersikkerhedstrusler

    • Dårlig informationssikkerhedshygiejne

    • Svag godkendelse/autorisation/regnskabsmekanismer

  8. Tilføjelse af flere personer fra forhandlerens virksomhed til privilegerede stillinger af certifikatets livscyklusstyringsproces fører til en øget angrebsflade.

  9. Ondsindede handlinger af VAR; dette er iboende for enhver delegeret aktivitet, hvor en enhed, der handler på vegne af den reelle modtager af en tjeneste (i vores tilfælde certifikatabonnenten), kan handle ondsindet. Et simpelt eksempel ville være en ondsindet VAR, der "hjælper" en ansøger med at generere et nøglepar og senere sælger den private nøgle til en angriber.

Under vores analyse identificerede vi, at hvis en VAR tildeles en internt drevet brandet subCA, er risiciene de samme, selvom konceptuelt den brandede subCA nu betragtes som "troværdig", fordi root-CA'en i det væsentlige "godkender" for subCA. Bemærk venligst, at CRL, OCSP, CAI-udsteder-URL'er også skal drives internt af rod-CA.

God praksis

Efter at have overvejet ovenstående risici vil vi gerne foreslå nogle gode fremgangsmåder, der kan minimere potentialet for eventuelle mangler eller upassende handlinger fra subCA-kunder.

For mærkede subCA'er:

  • Kend din potentielle partner: Udstedelse af et mærket subCA-certifikat giver konceptuelt forhandleren PT-CA'ens omdømme og troværdighed. Derfor er det vigtigt for Root CA-operatører at undersøge deres potentielle forhandler, fra identitetsvalidering (ved at følge OV/EV-retningslinjer) til juridisk dokumentation til undersøgelse af virksomhedens omdømme og ejernes og ledelsesteamets omdømme.
  • Genbekræftelse og reevaluering: Periodisk genbekræftelse af alle mærkede subCA-forhandleres virksomhedsregistreringer bør anvendes for at sikre lovlighed og et godt omdømme. Ud over brugen af ​​offentlige kilder kan reevaluering af forhandlere overveje deres præstationer under det igangværende partnerskab.
  • Kontraktbestemmelser og politikker: PT-CA'er bør sikre sig, at de bevarer kontrollen over kontrakten, så enhver kontraktopsigelse og subCA-tilbagekaldelse som følge af et kontraktbrud er efter deres eget skøn. Brandede underCA-aftaler kunne omfatte bestemmelser, der giver PT-CA mere synlighed over forhandlerens praksis og fastsætter minimumskrav med hensyn til intern sikkerhed, kundeservice og overholdelse af BR'erne (i tilfælde af at de optræder som en delegeret tredjepart).
  • Juridisk miljø: Det er nødvendigt at tage hensyn til love og sædvaner i den jurisdiktion, hvor forhandleren skal operere, før der tildeles en mærkevare-subCA til udenlandske enheder. Dette kan omfatte kompatibilitet med privatlivslovgivning og licenskrav.
  • Hold styr på ressourcerne: Nogle jurisdiktioner kan kræve, at kun lokaliserede virksomheder opererer i deres område; dette kan omfatte ejerskab af domænenavne eller nøgleinfrastruktur. Nogle kunder anmoder om 'udvidet' branding, f.eks. brandede OCSP-responser-URL'er og andre ressourcer, der er en del af PT-CA's forpligtelser. PT-CA skal sikre, at dets kontrol over disse ressourcer overlever fra en eventuel opsigelse af en sådan aftale, ellers risikerer den at overtræde CA/Browser Forum-kravene.
  • Cost-benefit analyse og risikobehandling: Den brandede subCA-model kan være lukrativ, men den kommer også med compliance- og omdømmerisici. En forsigtig PT-CA analyserer disse, før den giver omdømme og troværdighed til en potentiel partner. Ud over blot godkendelse eller afvisning kan beslutningen omfatte kontroller, der afhjælper eventuelle identificerede risici.
  • Gennemsigtighed: Gennem branding kan forhandlere (måske ønske at) promovere sig selv som "offentligt betroede CA'er". Gennemsigtighed dikterer, at forbrugere og afhængige parter i det mindste har en indikation af den faktiske enhed, de sætter deres lid til. En foreslået måde er at beholde tredjepartens navn i almindeligt navn af emneDN af det mærkede subCA-certifikat og brug organisationsnavnet på den faktiske CA-operatør (f.eks. PT-CA) i Organisationens navn.

For alle VAR'er:

  • Sikkerhedsforanstaltninger: For VAR'ere har SSL.com udstedt "Certificate Authority Security Best Practices Guide for Branded Resellers: Omfattende sikkerhedsforanstaltninger”. Den inkluderer en omfattende række af mulige sikkerhedsforanstaltninger og referencer til NetSec-krav. I det enkleste tilfælde, hvor en VAR ikke bruger deres egne systemer (f.eks. brugerportal) til certifikatets livscyklus, er nogle af kravene muligvis ikke gældende.
  • Beskyttelse af abonnenter: PT-CA'er bør identificere og adressere de risici, der er forbundet med systemadgang, der stilles til rådighed for VAR'er. En PT-CA bør have forskellige adgangsniveauer for forhandlerkonti og ikke-forhandlerkonti, hvilket muliggør flere begrænsninger på forhandleradgangsniveauet for at beskytte abonnentkonti mod misbrug. Dette kan for eksempel omfatte kontroller for at forhindre genbrug af tidligere domænevalideringsbeviser fra VAR'er. Til dette formål kan Baseline Requirements også kræve, at enhver, der ikke er en 'Enterprise RA' (dvs. kun anmoder om deres egne, ejede organisationer og domæner), skal gennemføre domænevalidering for hver udstedelse (udstedelse, genudstedelse, gennøgle, duplikat og fornyelse).
  • Abonnent- og forhandleraftaler: PT-CA'er kunne tilbyde to typer abonnentaftaler: en abonnentaftale, der ikke tillader videresalg, og en dedikeret forhandleraftale, der indeholder ekstra klausuler og forventninger. For eksempel kunne forhandleraftaler omfatte bestemmelser relateret til administration af abonnentkonti og fremme informationssikkerhed desinficering som beskrevet i Certificate Authority Security Best Practices Guide for Branded Resellers: Omfattende sikkerhedsforanstaltninger.
For VAR'ere med deres egen portal:

Bemærk: Vi betragter ikke tilfældet med en hostingudbyder, der deltager i certifikatets livscyklus, typisk på en automatiseret måde via almindelige webhostingskontrolpaneler (Plesk, VirtualMin, CPanel).

  • Kontraktbestemmelser og politikker: Inkluder yderligere bestemmelser til forhandleraftalen, såsom retten til at revidere, foreslå/kræve årlige penetrationstest, gennemgang af systemkonfigurationer, implementere MFA eller autentificeringskontroller på mindst samme niveau som PT-CA, overvågning og hændelsesoplysning.
  • Sikker integration: Håndhæv brugen af ​​sikre API'er, for eksempel anvend sikker godkendelse via krypteret kanal, begrænset sessionsvarighed, korrekt omfang til konti/registreringer, der kun påvirker VAR og dets kunder/abonnenter osv.
  • Sårbarhedshåndtering: Sørg for, at der udføres periodiske sårbarhedsscanninger mod forhandlerportalen. Dette kan være påkrævet af forhandleraftalen eller kan være en del af de tjenester, der tilbydes af PT-CA for at hjælpe med god sikkerhedshygiejne på forhandlerens portal.
  • Evaluering af deres sikkerhedsstilling: Indsamling af sikkerhedsrelateret information og risikoevaluering som en del af forhandlerens onboarding-proces. Dette kan anvendes ved hjælp af strukturerede spørgeskemaer eller specialiseret software.
  • Årlig evaluering: PT-CA'er bør ikke kun oprette uovervågede VAR-forhold. Det er vigtigt at gennemføre en evalueringsproces, der gennemføres mindst på årsbasis.
  • Awareness nyhedsbreve: Udsendelse af periodiske nyhedsbreve om sikkerhedsbevidsthed hjælper forhandlere med at forbedre deres forståelse af cybersikkerhedstrusler og være bedre forberedt mod angreb. Disse nyhedsbreve kan indeholde information om eventuelle nye sikkerhedsadvarsler relateret til PKI systemer, en opgørelse af forsøgte (eller vellykkede) angreb eller instruktioner om, hvordan man bruger de værktøjer og teknikker, der er nødvendige for at forbedre sikkerhedshygiejnen.

konklusioner

Ligesom enhver mulighed har salget af mærkede subCA'er både positive og negative aspekter. Mere end salget af slutenhedscertifikater åbner brandede underCA'er den betroede CA for potentiel skade baseret på forhandler-klientens aktiviteter, mens de stadig tilbyder store fordele. VAR'er bør dog ikke overses; deres forretning og sikkerhedspraksis kan medføre risici for abonnenter og dermed for PT-CA's omdømme og troværdighed.

Inden de indgår et mærkevare-subCA- eller VAR-forhold, advares PT-CA'er om at udføre grundig due diligence, overveje alle potentielle konsekvenser, træffe informerede beslutninger og indgå veludviklede kontrakter, der beskytter PT-CA's tillid. Dette papir viser, at der er muligheder, der er lært, og der er god praksis at følge.

 

Opdag risici og bedste praksis for mærkevareunder-CA'er og værdiskabende forhandlere i vores dybdegående hvidbog.

 

Abonner på SSL.coms nyhedsbrev

Gå ikke glip af nye artikler og opdateringer fra SSL.com

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.