Öffentlich vertrauenswürdige Inhaber von Zertifizierungsstellen (PT-CAs) sind für das sichere Funktionieren des Internets von grundlegender Bedeutung. Sie werden von der breiten Öffentlichkeit und großen Browser-Anbietern mit der Bereitstellung der wesentlichen Public-Key-Infrastruktur beauftragt (PKI) erforderlich, um Vertrauen aufzubauen, die Kommunikation zu sichern und sichere Online-Transaktionen zu ermöglichen. Um ihre Vertrauenswürdigkeit aufrechtzuerhalten, müssen öffentlich vertrauenswürdige Zertifizierungsstellen erhebliche Ressourcen in die Sicherheit ihres Betriebs und die Einhaltung der neuesten Standards investieren und unterliegen strengen unabhängigen Prüfungen und Aufsicht.
PT-CAs haben als Unternehmen ein berechtigtes Interesse daran, ein Netzwerk vertrauenswürdiger Wiederverkäufer aufzubauen, um ihre Produkte zu vertreiben und ihre Marktpräsenz auszubauen. Da sie als „Vertrauensanker“ fungieren, erhalten sie häufig Anfragen von Interessenten, die die Bereitstellung öffentlich vertrauenswürdiger Zertifikate teilweise unter eigenem Namen in ihr Angebot aufnehmen möchten; diese werden „White-Labeled“- oder „Branded“-SubCAs genannt.
Viele Mitglieder der PT-CA-, Reseller- und Abonnenten-Community finden Marken-SubCAs wertvoll, um einen guten Ruf aufzubauen, ohne in eine vollständig dedizierte CA-Infrastruktur investieren zu müssen, und die meisten Reseller-Kunden gehen verantwortungsvoll mit dem Privileg um, ihre eigene Marke innerhalb einer SubCA zu haben. Leider gibt es Fälle, in denen schlechte Sicherheitspraktiken oder vorsätzlicher oder unbeabsichtigter Missbrauch auftreten können.
Dieses Whitepaper analysiert die Sicherheitsrisiken im Zusammenhang mit Marken-SubCA-Resellern und schlägt bewährte Vorgehensweisen vor, die auf den Erfahrungen unserer Umfrage und den Erkenntnissen aus der Analyse aktueller Fälle in der Branche basieren. Unsere Ergebnisse sollten für politische Entscheidungsträger (CA/B-Forum, Root-Store-Besitzer), für PT-CAs, die letztendlich für die Vertrauenswürdigkeit ihrer Dienste verantwortlich sind, und für alle anderen interessierten Parteien von Nutzen sein.
Umfrage
In der zweiten Jahreshälfte 2023 führte SSL.com eine Umfrage durch, um Erkenntnisse aus der Community zu sammeln, die für diesen Bericht nützlich wären. Unsere Umfrage umfasste Fragen, die folgende Aspekte abdeckten:
- Beliebtheit des Marken-SubCA-Modells
- Umfang des Rebrandings: gebrandete CRL/OCSP-Responder, Benutzerportale, benutzerdefinierte Produktnamen
- Auswahl-/Überprüfungsprozess von Marken-SubCA-Kunden
- Nutzung eines eigenen Benutzerportals
- Audit und Inspektion dieser Portale
- Erkenntnisse basierend auf Erfahrungen mit Marken-SubCA-Kunden
- Technische Herausforderungen beim Generieren, Steuern oder Widerrufen von Marken-SubCAs
Die Umfrage richtete sich an 9 PT-CAs, die laut Analyse der CCADB-Daten offenbar die größte Erfahrung mit dem Marken-SubCA-Modell haben.
Umfrageergebnisse
Wir haben Antworten von 5 der 9 PT-CAs erhalten und haben weitere Erläuterungen eingeholt. Die Antworten wurden analysiert, um Gemeinsamkeiten und Unterschiede im Marken-SubCA-Modell und den relevanten Praktiken zu identifizieren, wie sie von der CA-Branche angewendet werden.
Highlights der Umfrageergebnisse:
-
Für dieses oder ähnliche SubCA-Modelle werden in der Branche mehrere synonyme Begriffe verwendet: gebrandmarkt, weiß beschriftet, gewidmet, Eitelkeit.
-
4 der 5 teilnehmenden CAs bestätigten, dass Marken-SubCAs Teil ihres Angebots sind. Das Produkt richtet sich an ausgewählte Kunden wie Hosting-Anbieter und große Reseller. Dies gilt auch für große Konten, die Zertifikate für den eigenen Gebrauch benötigen; Beispielsweise berichtete eine Zertifizierungsstelle, dass sie das Modell auf akademische Einrichtungen und Forschungseinrichtungen angewendet habe.
-
Zum Branding gehört in der Regel die Ausstellung von SubCA-Zertifikaten, die im Feld subjectDN den Namen des Kunden/Wiederverkäufers enthalten. Erweitertes Branding kann auch gebrandete CRL/OCSP-Responder-URLs und gebrandete Mikroportale für kleinere Kunden/Wiederverkäufer umfassen, die nicht über eigene RA-Portale verfügen.
-
Der SubCA-Auswahlprozess basiert hauptsächlich auf geschäftlichen/kommerziellen Kriterien wie der Art der Aktivität, der prognostizierten Anzahl der Zertifikate und dem Verwendungszweck. Einige PT-CAs berichteten, dass sie möglicherweise die Einrichtung dedizierter Unter-CAs mit oder ohne Markennamen vorschlagen oder selbst entscheiden, um sich von ihren allgemeinen ausstellenden CAs bei der Betreuung großer Kunden oder Projekte zu unterscheiden und die Auswirkungen/Risiken im Einzelfall zu isolieren eines Vorfalls (z. B. Kompromittierung, Compliance-Verstoß oder andere Art), der einen Widerruf erforderlich macht.
-
Die Überprüfung umfasst typischerweise die folgenden Validierungsaktivitäten:
A. Überprüfung des Namens, der Adresse und der Existenz der Organisation (ähnlich einem OV- oder EV-Prozess); Und
B. Überprüfung der Autorisierung der Anfrage.
-
Eine der teilnehmenden PT-CAs berichtete, dass vor der Vertragsunterzeichnung eine interne Konsultation mit dem Compliance-Team stattfindet, um die Reputation des gebrandeten SubCA-Antragstellers zu überprüfen. Dazu gehört auch die Durchsuchung öffentlicher Ressourcen nach Berichten über die Beteiligung an Datenfälschungen oder Geldwäscheaktivitäten. CCADB und Bugzilla sind zusätzliche Informationsquellen, wenn ein Antragsteller bereits selbst eine PT-CA ist.
-
Keiner gab an, einen Marken-SubCA-Kunden aus anderen als kommerziellen/finanziellen Gründen abgelehnt zu haben.
-
Fast alle PT-CAs berichteten, dass die meisten Marken-SubCAs über ein eigenes Benutzerportal verfügen; Eine PT-CA bezifferte dies auf 80 % der Gesamtzahl ihrer Marken-SubCA-Partner. Ausnahmsweise war einer PT-CA nicht bekannt, dass einer ihrer Marken-SubCA-Kunden sein eigenes Benutzerportal nutzte.
-
Keine PT-CA meldete eine Prüfung oder anderweitige Inspektion des Drittbenutzerportals ihrer Marken-SubCAs (es sei denn, die Marken-SubCA ist auch eine PT-CA, was bedeutet, dass ihre Benutzerportale ohnehin einer Prüfung unterliegen).
-
Eine PT-CA berichtete über die folgenden gewonnenen Erkenntnisse:
A. Die Anzahl der ausgestellten Zertifikate sollte groß genug sein, um die Führung einer Marken-SubCA zu rechtfertigen.
B. Es lohnt sich, vor Vertragsabschluss deren Erfahrung in der Branche zu prüfen.
C. Es lohnt sich auch, auf die angemessene Vertragslaufzeit zu achten.
-
Einige PT-CAs gaben an, dass sie keine besonderen technischen Herausforderungen bei der Erstellung, Steuerung oder dem Widerruf von Marken-SubCAs sehen.
Wiederverkäufer mit Mehrwert
Den Ergebnissen der Umfrage und den Informationen, die wir im Rahmen unserer eigenen Untersuchung gesammelt haben, zufolge bieten fast alle PT-CAs Reseller-Programme an; Von Unternehmen oder Einzelpersonen, die Großhandelsrabatte genießen und CA-Produkte gegen eine Marge weiterverkaufen (einfache Wiederverkäufer), bis hin zu Unternehmen, die CA-Produkte in ihr eigenes Angebot integrieren oder Mehrwertdienste zum Nutzen ihrer Kunden anbieten. Erstere („einfache Wiederverkäufer“) sind an keinem anderen Teil der Dienstleistung als dem Verkauf selbst beteiligt und werden daher in diesem Dokument als nicht abgedeckt betrachtet.
Andererseits können Value-Added Reseller (VAR) eine geringe oder erhebliche Beteiligung an der Erleichterung des Schlüssel-/Zertifikat-Lebenszyklusprozesses haben. Da dies Auswirkungen auf Sicherheit und Compliance hat, konzentriert sich dieses Dokument auf VARs und berücksichtigt die inhärenten Risiken (und Vorteile).
Unsere Untersuchungen ergaben, dass es in der Branche unterschiedliche Arten/Praktiken für VARs gibt, abhängig von ihrer Beteiligung an den Schlüssel-/Zertifikatslebenszyklusprozessen, der Nutzung des PT-CA-Portals oder ihres eigenen Portals/Systems, der Nutzung von SubCAs, die mit dem ausgestellt wurden Name der PT-CA/Root-CA oder der Marken-SubCAs.
Die häufigsten Fälle, die wir identifiziert haben, sind die folgenden:
- VARs, die die Systeme der PT-CA/Root-CA nutzen: Sie unterstützen in der Regel die Unternehmen, die Domainnamen besitzen/kontrollieren, indem sie das Registrierungsstellenportal der Zertifizierungsstelle nutzen. Ihre Unterstützung konzentriert sich in der Regel auf die Registrierung und Verwaltung von Zertifikaten im Namen dieser Domain-Inhaber.
- VARs mit unabhängigen Registrierungsstellenportalen: Sie verfügen in der Regel über ein eigenes Portal, um Benutzer unabhängig von der Zertifizierungsstelle zu registrieren und die API der Zertifizierungsstelle im Backend zu verwenden, um Aktivitäten im Zertifikatslebenszyklus durchzuführen.
-
-
Domänenvalidierungsaktivitäten werden in der Regel von der Zertifizierungsstelle durchgeführt. Wenn beispielsweise eine E-Mail-Nachricht mit einem Zufallswert an den Antragsteller gesendet werden soll, um die Kontrolle über einen Domainnamen nachzuweisen, wird diese direkt von den Systemen der PT-CA gesendet, nicht von denen des Wiederverkäufers.
-
Gemäß Abschnitt 6.1.1.3 der BRs ist es PT-CAs nicht gestattet, Schlüsselpaare im Namen von Abonnenten zu generieren. Einige Abonnenten verwenden möglicherweise VARs, um diese Schlüssel zu generieren und möglicherweise zu speichern.
-
- SubCA-Marken-Reseller: In den meisten Fällen handelt es sich dabei um VARs, die mit der PT-CA eine Vereinbarung zum Erwerb einer kundenspezifisch ausstellenden CA haben, die die „Marke“ des VAR enthält.
-
-
Dies ist typischerweise ein intern betriebene SubCADaher verwaltet der Betreiber der übergeordneten Zertifizierungsstelle (normalerweise Root) normalerweise die Schlüssel und Lebenszyklusereignisse dieser Unterzertifizierungsstelle.
-
Extern betriebene SubCAs kann auch die Marke der Entität enthalten, die die SubCA betreibt, aber da diese Entität einen privaten Schlüssel kontrolliert, der mit einem ausstellenden CA-Zertifikat verknüpft ist, muss er gemäß Abschnitt 8.1 ordnungsgemäß geprüft werden TLS Basisanforderung, oder sie muss gemäß den Abschnitten 7.1.2.3, 7.1.2.4, 7.1.2.5 technisch eingeschränkt und gemäß Abschnitt 8.7 intern geprüft sein TLS Grundvoraussetzungen. In diesem Whitepaper wird davon ausgegangen, dass es nicht in den Geltungsbereich fällt.
-
Neben Marken-SubCA-Resellern können große Abonnenten auch eine Marken-SubCA anfordern, um Zertifikate unter ihrem Organisationsnamen auszustellen (d. h. für den eigenen Gebrauch). Dieses Modell wird hier nicht untersucht, da es die gleichen Risiken birgt wie ein einfacher Abonnent im Sinne der Bestellung und Verwaltung großer Mengen an Zertifikaten für die eigene Organisation.
Ebenso fallen Wiederverkäufer, die an keinem Teil der Schlüssel-/Zertifikatslebenszyklusverwaltung beteiligt sind (z. B. Wiederverkäufer, die Teil eines Empfehlungsprogramms mit provisionspflichtigen Verkäufen sind), nicht in den Geltungsbereich dieses Whitepapers.
Marken-SubCAs
Extern betriebene SubCAs, ein in der Vergangenheit beliebtes Modell (basierend auf der Analyse von CCADB-Daten), wurden in den letzten Jahren deutlich reduziert (in der CCADB waren 93 serverAuth-SubCAs mit „Audit not same as parent“ noch aktiv und an einen vertrauenswürdigen Root gekettet) und wird in einigen Fällen weiterhin verwendet. Bei Verwendung enthält das SubCA-Zertifikat den Namen des Partners im OrganizationName des SubjectDN und erfordert separate externe Prüfungen.
Die Branche verwendet zwei Praktiken für die intern betriebene subCA-Markenorganisation:
- Einige Zertifizierungsstellen enthalten den Namen der ausstellenden Zertifizierungsstelle (Stammbetreiber) im Organisationsnamen des SubjectDN des Marken-Zwischen-CA-Zertifikats
- Einige Zertifizierungsstellen enthalten den Namen der Marken-SubCA im OrganizationName des SubjectDN des Marken-Zwischen-CA-Zertifikats.
Bei den aktuellen Anforderungen ist es für eine vertrauende Partei schwierig, leicht zu erkennen, ob es sich um eine ausstellende Zertifizierungsstelle handelt betrieben durch die Root-CA oder eine andere Entität.
Risiken des VAR-Modells
Nach der Analyse des Feedbacks aus der Umfrage und der verschiedenen VAR-Praktiken in dieser Branche haben wir einige Risiken identifiziert, die hauptsächlich für VARs gelten, die im Namen eines Abonnenten handeln:
-
Schlüsselgenerierung und / oder Speicherung des privaten Schlüssels: Dies ist eine kritische Funktion, für die den VARs durch die aktuellen Standards keine Anforderungen oder Prüfungen auferlegt werden. Die mangelnde Transparenz ihrer Sicherheitslage erhöht das Risiko, dass die privaten Schlüssel des Abonnenten kompromittiert werden.
-
Speicherung personenbezogener Datenund möglicherweise andere sensible Informationen (z. B. Kreditkarteninformationen) mit dem Risiko der Offenlegung privater Daten. Dieses Risiko ähnelt dem oben genannten; Darüber hinaus besteht das Risiko einer missbräuchlichen Verwendung von PII, dh einer Verwendung von PII für andere als die vom Abonnenten genehmigten Zwecke.
-
Widerruf des Zertifikats, mit dem Denial-of-Service-Risiko für Abonnenten. Bei VARs, die privilegierten Zugriff auf die Konten ihrer Kunden haben, kann ein Vorfall im System eines VARs oder sogar eine versehentliche Aktion des VARs zu einer Massensperrung führen und somit die Verfügbarkeit mehrerer Websites beeinträchtigen.
-
Erneuter Schlüssel des Zertifikats, erlaubt unter bestimmten Umständen, einen öffentlichen Schlüssel in einem Zertifikat zu ersetzen, ohne die Domänenvalidierung erneut durchzuführen, mit dem Risiko, verschlüsselten Datenverkehr zu/von Abonnenten-Websites abzufangen.
-
Wiederverwendung von Beweisen für die Domain-Validierung: Bei der Erstausstellung erfolgt eine direkte Interaktion mit dem Domaininhaber, die es der PT-CA ermöglicht, die volle Kontrolle über den DCV-Prozess zu haben. Im Falle der Wiederverwendung von DCV-Beweisen ist dieser Schritt nicht anwendbar, was bedeutet, dass das Risiko besteht, dass der VAR ohne die Erlaubnis des Abonnenten erfolgreich die Ausstellung eines neuen Zertifikats für die betreffenden Domänen beantragen kann.
-
VARs haben einen größeren Einfluss und werden so zu einem „Honeypot“ im Falle eines Kompromisses. Ein VAR würde als attraktiveres Ziel angesehen, und wenn ein Angreifer erfolgreich in die Systeme eines VAR (z. B. sein Portal) eindringt bzw. diese kompromittiert, könnte dies mehr unabhängige Abonnenten treffen und im Vergleich zu Angriffen auf einzelne Abonnenten weitaus größere Auswirkungen haben.
-
Die Verwendung eines Brauchtums Reseller-Portal fügt der Sicherheitskette ein weiteres Element hinzu und erweitert die Angriffsfläche. Zu den spezifischen Risiken für ein Reseller-Portal gehören:
-
Cybersicherheitsbedrohungen
-
Schlechte Informationssicherheitshygiene
-
Schwache Authentifizierungs-/Autorisierungs-/Buchhaltungsmechanismen
-
-
Hinzufügen weiterer Personen aus dem Geschäft des Wiederverkäufers privilegierte Positionen des Zertifikatlebenszyklusmanagementprozesses führt zu einer größeren Angriffsfläche.
-
Böswillige Handlungen vom VAR; Dies gehört zu jeder delegierten Aktivität, bei der ein Unternehmen, das im Namen des eigentlichen Leistungsempfängers (in unserem Fall des Zertifikatsabonnenten) handelt, böswillig handeln kann. Ein einfaches Beispiel wäre ein böswilliger VAR, der einem Antragsteller dabei hilft, ein Schlüsselpaar zu generieren und den privaten Schlüssel später an einen Angreifer zu verkaufen.
Während unserer Analyse haben wir festgestellt, dass die Risiken dieselben sind, wenn einem VAR eine intern betriebene Marken-SubCA gewährt wird, obwohl die Marken-SubCA konzeptionell nun als „vertrauenswürdig“ gilt, da die Root-CA im Wesentlichen für die SubCA „bürgt“. Bitte beachten Sie, dass CRL-, OCSP- und CAIssuer-URLs auch intern von der Root-CA verwaltet werden müssen.
Best Practices
Nachdem wir die oben genannten Risiken berücksichtigt haben, möchten wir einige bewährte Vorgehensweisen vorschlagen, die das Potenzial von Mängeln oder unangemessenen Handlungen von SubCA-Kunden minimieren können.
Für Marken-SubCAs:
- Kennen Sie Ihren potenziellen Partner: Die Ausstellung eines Marken-SubCA-Zertifikats gewährt dem Wiederverkäufer konzeptionell den Ruf und die Vertrauenswürdigkeit der PT-CA. Daher ist es für Root-CA-Betreiber wichtig, ihren potenziellen Wiederverkäufer zu überprüfen, von der Identitätsvalidierung (gemäß den OV/EV-Richtlinien) über die rechtliche Dokumentation bis hin zur Untersuchung des Rufs des Unternehmens und des Rufs der Eigentümer und des Managementteams.
- Neuverifizierung und Neubewertung: Um die Rechtmäßigkeit und den guten Ruf sicherzustellen, sollte eine regelmäßige erneute Überprüfung der Unternehmensregistrierungen aller Marken-SubCA-Wiederverkäufer durchgeführt werden. Neben der Nutzung öffentlicher Quellen kann bei der Neubewertung von Wiederverkäufern auch deren Leistung während der laufenden Partnerschaft berücksichtigt werden.
- Vertragsbestimmungen und Richtlinien: PT-CAs sollten sicherstellen, dass sie die Kontrolle über den Vertrag behalten, sodass jede Vertragskündigung und der Widerruf einer SubCA aufgrund einer Vertragsverletzung in ihrem alleinigen Ermessen liegt. Marken-SubCA-Vereinbarungen könnten Bestimmungen enthalten, die der PT-CA mehr Transparenz über die Praktiken des Wiederverkäufers geben und Mindestanforderungen in Bezug auf interne Sicherheit, Kundenservice und Einhaltung der BRs festlegen (falls sie als delegierte Dritte handeln).
- Legale Umwelt: Vor der Gewährung einer Marken-SubCA an ausländische Unternehmen müssen die Gesetze und Gepflogenheiten der Gerichtsbarkeit berücksichtigt werden, in der der Wiederverkäufer tätig sein wird. Dazu kann die Kompatibilität von Datenschutzgesetzen und Lizenzanforderungen gehören.
- Behalten Sie die Kontrolle über die Ressourcen: Einige Gerichtsbarkeiten erfordern möglicherweise, dass nur lokale Unternehmen in ihrem Gebiet tätig sind. Dies kann den Besitz von Domänennamen oder wichtiger Infrastruktur umfassen. Einige Kunden fordern ein „erweitertes“ Branding, z. B. gebrandete OCSP-Responder-URLs und andere Ressourcen, die Teil der Verpflichtungen der PT-CA sind. Die PT-CA muss sicherstellen, dass ihre Kontrolle über diese Ressourcen auch nach einer möglichen Beendigung einer solchen Vereinbarung bestehen bleibt, andernfalls riskiert sie einen Verstoß gegen die Anforderungen des CA/Browser-Forums.
- Kosten-Nutzen-Analyse und Risikobehandlung: Das Marken-SubCA-Modell mag lukrativ sein, birgt aber auch Compliance- und Reputationsrisiken. Eine umsichtige PT-CA analysiert diese, bevor sie einem potenziellen Partner Reputation und Vertrauenswürdigkeit verleiht. Neben der bloßen Genehmigung oder Ablehnung kann die Entscheidung auch Kontrollen umfassen, die die festgestellten Risiken beheben.
- Transparenz: Durch Branding möchten sich Wiederverkäufer möglicherweise als „öffentlich vertrauenswürdige Zertifizierungsstellen“ bewerben. Transparenz erfordert, dass Verbraucher und vertrauende Parteien zumindest einen Hinweis auf das tatsächliche Unternehmen haben, dem sie ihr Vertrauen schenken. Eine empfohlene Möglichkeit besteht darin, den Namen des Dritten beizubehalten gemeinsamen Namen dauert ebenfalls 3 Jahre. Das erste Jahr ist das sog. subjectDN des Marken-SubCA-Zertifikats und verwenden Sie den Organisationsnamen des tatsächlichen CA-Betreibers (z. B. der PT-CA) im Organisationsname.
Für alle VARs:
- Sicherheitsmaßnahmen: Für VARs hat SSL.com das „Best Practices-Leitfaden für die Sicherheit von Zertifizierungsstellen für Marken-Wiederverkäufer: Umfassende Sicherheitsmaßnahmen“. Es enthält eine umfassende Reihe möglicher Sicherheitsmaßnahmen und Hinweise auf NetSec-Anforderungen. Im einfachsten Fall, dass ein VAR für den Zertifikatslebenszyklus keine eigenen Systeme (z. B. Benutzerportal) verwendet, sind einige der Anforderungen möglicherweise nicht anwendbar.
- Schutz der Abonnenten: PT-CAs sollten die Risiken identifizieren und angehen, die mit dem für VARs bereitgestellten Systemzugriff verbunden sind. Eine PT-CA sollte über unterschiedliche Zugriffsebenen für Reseller- und Nicht-Reseller-Konten verfügen, was stärkere Einschränkungen der Reseller-Zugriffsebene ermöglicht, um Abonnentenkonten vor Missbrauch zu schützen. Dies kann beispielsweise Kontrollen umfassen, um die Wiederverwendung früherer Domain-Validierungsnachweise durch VARs zu verhindern. Zu diesem Zweck könnten die Grundanforderungen auch verlangen, dass jeder, der kein „Enterprise RA“ ist (d. h. nur für seine eigenen Organisationen und Domänen beantragt), bei jeder Ausstellung (Ausstellung, Neuausstellung, Neuschlüsselung, Duplikat usw.) eine Domänenvalidierung durchführen muss Erneuerung).
- Abonnenten- und Wiederverkäuferverträge: PT-CAs könnten zwei Arten von Abonnentenverträgen anbieten: einen Abonnentenvertrag, der keinen Weiterverkauf zulässt, und einen dedizierten Reseller-Vertrag, der zusätzliche Klauseln und Erwartungen enthält. Reseller-Verträge könnten beispielsweise Bestimmungen zur Verwaltung von Abonnentenkonten enthalten und die Informationssicherheit fördern Desinfektion wie in der Beschreibung beschrieben Best Practices-Leitfaden für die Sicherheit von Zertifizierungsstellen für Marken-Wiederverkäufer: Umfassende Sicherheitsmaßnahmen.
Hinweis: Wir berücksichtigen nicht den Fall eines Hosting-Anbieters, der am Zertifikatslebenszyklus teilnimmt, typischerweise automatisiert über gängige Webhosting-Kontrollpanels (Plesk, VirtualMin, CPanel).
- Vertragsbestimmungen und Richtlinien: Fügen Sie zusätzliche Bestimmungen in die Reseller-Vereinbarung ein, z. B. das Recht auf Prüfung, das Vorschlagen/Anfordern jährlicher Penetrationstests, die Überprüfung von Systemkonfigurationen, die Implementierung von MFA oder Authentifizierungskontrollen mindestens auf der gleichen Ebene wie die PT-CA, Überwachung und Offenlegung von Vorfällen.
- Sichere Integration: Erzwingen Sie die Verwendung sicherer APIs, wenden Sie beispielsweise eine sichere Authentifizierung über einen verschlüsselten Kanal, eine begrenzte Sitzungsdauer, eine ordnungsgemäße Festlegung der Konten/Datensätze an, die nur den VAR und seine Kunden/Abonnenten betreffen usw.
- Schwachstellenmanagement: Stellen Sie sicher, dass das Reseller-Portal regelmäßig auf Schwachstellen überprüft wird. Dies kann durch die Reseller-Vereinbarung vorgeschrieben sein oder Teil der von der PT-CA angebotenen Dienste sein, um für eine gute Sicherheitshygiene des Reseller-Portals zu sorgen.
- Bewertung ihrer Sicherheitslage: Sammlung sicherheitsrelevanter Informationen und Risikobewertung im Rahmen des Reseller-Onboarding-Prozesses. Dies kann mithilfe strukturierter Fragebögen oder spezieller Software erfolgen.
- Jährliche Auswertung: PT-CAs sollten nicht einfach unüberwachte VAR-Beziehungen einrichten. Es ist wichtig, einen Bewertungsprozess zu implementieren, der mindestens einmal jährlich durchgeführt wird.
- Aufklärungs-Newsletter: Das Versenden regelmäßiger Newsletter zum Thema Sicherheitsbewusstsein hilft Wiederverkäufern, ihr Verständnis für Cybersicherheitsbedrohungen zu verbessern und besser auf Angriffe vorbereitet zu sein. Diese Newsletter könnten Informationen über neue Sicherheitswarnungen im Zusammenhang mit enthalten PKI Systeme, eine Liste versuchter (oder erfolgreicher) Angriffe oder Anweisungen zum Einsatz der Tools und Techniken, die zur Verbesserung der Sicherheitshygiene erforderlich sind.
Schlussfolgerungen
Wie jede Gelegenheit hat auch der Verkauf von Marken-SubCAs sowohl positive als auch negative Aspekte. Stärker noch als der Verkauf von End-Entity-Zertifikaten setzen Marken-SubCAs die vertrauenswürdige CA einem potenziellen Schaden aus, der auf den Aktivitäten des Reseller-Kunden basiert, bieten aber dennoch das Potenzial großer Vorteile. VARs sollten jedoch nicht übersehen werden; Ihre Geschäfts- und Sicherheitspraktiken können Risiken für Abonnenten und damit für den Ruf und die Vertrauenswürdigkeit der PT-CA mit sich bringen.
Vor dem Eingehen einer Marken-SubCA- oder VAR-Beziehung werden PT-CAs aufgefordert, eine gründliche Due-Diligence-Prüfung durchzuführen, alle potenziellen Auswirkungen abzuwägen, fundierte Entscheidungen zu treffen und gut ausgearbeitete Verträge abzuschließen, die das Vertrauen der PT-CA schützen. In diesem Dokument wird aufgezeigt, dass Optionen zur Verfügung stehen, Lehren gezogen werden können und bewährte Vorgehensweisen befolgt werden können.
Entdecken Sie in unserem ausführlichen Whitepaper die Risiken und Best Practices für Marken-Sub-CAs und Value-Added-Reseller.