Best Practices-Leitfaden für die Sicherheit von Zertifizierungsstellen für Marken-Wiederverkäufer: Umfassende Sicherheitsmaßnahmen

Einleitung

Als führende Zertifizierungsstelle (CA) und Vertrauensdienstleister legen wir großen Wert auf die Sicherheit und Vertrauenswürdigkeit unserer digitalen Zertifikate und unserer Identitätsvalidierungsverfahren. Dieser Leitfaden richtet sich an unsere Marken-Reseller-Partner, die über untergeordnete Zertifizierungsstellen verfügen, die an den vertrauenswürdigen Stamm von SSL.com gekettet sind (sogenannte „SubCAs“) und für das Sammeln von Validierungsnachweisen, deren Übermittlung an unser Registrierungsstellenportal und die Erleichterung der Ausstellung verantwortlich sind Zertifikate von den SubCAs der Partnermarke, die von SSL.com verwaltet werden. Der Zweck dieses Leitfadens besteht darin, die Integrität und Sicherheit des Prozesses zur Einreichung von Validierungsnachweisen und des Zertifikatslebenszyklus sicherzustellen, da Wiederverkäufer keinen direkten Zugriff auf Stammmaterial haben und nur über eine bestimmte API oder ein Konto in mit Zertifikatslebenszyklusvorgängen interagieren können das von SSL.com verwaltete Portal der Registrierungsstelle (RA).


Sichere Sammlung von Validierungsnachweisen für erweiterte, organisatorische und individuelle Validierungstypen

  • Datenminimierung: Sammeln Sie nur die erforderlichen Validierungsnachweise, die für den Zertifikatsausstellungsprozess erforderlich sind. Vermeiden Sie es, überflüssige oder sensible Informationen zu sammeln.
  • Sichere Erfassungsmethoden: Nutzen Sie sichere Kanäle wie verschlüsselte Formulare oder Portale, wenn Sie Validierungsnachweise von Endbenutzern sammeln.
  • Zugangskontrolle: Implementieren Sie strenge Zugriffskontrollen, um Validierungsnachweise zu sammeln. Nur autorisiertes Personal sollte Zugriff haben und eine Multi-Faktor-Authentifizierung sollte obligatorisch sein.
  • Datenintegrität: Stellen Sie sicher, dass die Validierungsnachweise während des Erfassungsprozesses unverändert bleiben.
  • Validierung der Domänenkontrolle: Nutzen Sie die Validierungsdienste und -methoden zur Domänenkontrolle, die ausschließlich von SSL.com bereitgestellt werden.

Sichere Übermittlung von Validierungsnachweisen an die Root-CA

  • API-Sicherheit: Verwenden Sie für die Übermittlung von Validierungsnachweisen immer die vorgesehene API. Stellen Sie sicher, dass API-Aufrufe über sichere Kanäle wie HTTPS erfolgen.
  • Portal-Uploads: Eine weitere sichere Methode zur Einreichung von Beweisen besteht darin, Beweise direkt in die entsprechende Reihenfolge hochzuladen, die Sie in Ihrem SSL.com-Konto sehen würden. Stellen Sie sicher, dass Sie nur Nachweise hochladen, die sich auf die konkrete Bestellung beziehen.
  • Regelmäßige Audits: Führen Sie regelmäßige Prüfungen der Übermittlungsprotokolle durch, um sicherzustellen, dass keine unbefugten Übermittlungen vorgenommen werden.
  • Vorfallantwort: Verfügen Sie über einen klaren Vorfallreaktionsplan für etwaige Unstimmigkeiten oder Verstöße im Einreichungsprozess. Benachrichtigen die Stammzertifizierungsstelle us sofort wenn Unregelmäßigkeiten festgestellt werden.

Best Practices für die Verwendung der Certificate Lifecycle Operations API

  • API-Schlüsselverwaltung: Schützen Sie Ihre API-Schlüssel. Speichern Sie sie sicher, rotieren Sie sie regelmäßig und legen Sie sie niemals im clientseitigen Code oder in öffentlichen Repositorys offen.
  • Ratenbegrenzung: Beachten Sie alle der API auferlegten Ratenbeschränkungen, um unbeabsichtigte Dienstunterbrechungen zu vermeiden.
  • Überwachung und Protokollierung: Überwachen Sie alle API-Aktivitäten. Führen Sie detaillierte Protokolle und überprüfen Sie diese regelmäßig auf verdächtige oder nicht autorisierte Aktivitäten.
  • Fehlerbehandlung: Implementieren Sie robuste Fehlerbehandlungsmechanismen. Im Falle von Fehlern oder Unstimmigkeiten in den API-Antworten verfügen Sie über ein klares Verfahren, um diese zu beheben.

Aufrechterhaltung einer sicheren Website

  • Proper TLS Serverkonfiguration: Stellen Sie sicher, dass der Server nur starke kryptografische Verschlüsselungen und Protokolle unterstützt. Aktualisieren und patchen Sie den Server regelmäßig, um bekannte Schwachstellen zu verhindern.
  • Betriebssystemhärtung: Minimieren Sie die Anzahl der auf dem Server ausgeführten Dienste, wenden Sie Sicherheitspatches zeitnah an und verwenden Sie Sicherheitskonfigurationen, um die Angriffsfläche zu verringern.
  • Häufige Website-Schwachstellen: Suchen Sie regelmäßig nach Schwachstellen wie SQL-Injection, Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF).
  • Sorgen Sie für den ordnungsgemäßen Passwortzustand: Stellen Sie sicher, dass Passwörter komplex sind und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Ermutigen Sie Personen mit Zugriff auf Ihre Server oder Ihr CRM, ihre Passwörter regelmäßig zu aktualisieren und vermeiden Sie die Wiederverwendung von Passwörtern von anderen Websites. Implementieren Sie die Multi-Faktor-Authentifizierung (MFA) oder nutzen Sie clientAuth-Zertifikate.

Sicherheitsanforderungen für Netzwerk- und Zertifikatssysteme des CA/B-Forums

  • Vierteljährliche Schwachstellenscans: Führen Sie vierteljährlich regelmäßige Schwachstellenscans durch, um potenzielle Sicherheitsprobleme zu identifizieren und zu beheben.
  • Jährlicher Penetrationstest: Führen Sie jährliche Penetrationstests durch, um potenzielle Angriffe zu simulieren und Schwachstellen im System zu identifizieren.
  • Sicherheitsanforderungen fördern: Betonen Sie, wie wichtig es ist, die Sicherheitsanforderungen für Netzwerk- und Zertifikatssysteme des CA/B-Forums einzuhalten, um Vertrauen und Sicherheit aufrechtzuerhalten.

Förderung von Best Practices für Endbenutzer bei der Generierung, Speicherung und Speicherung privater Schlüssel CSRs

  • Informieren Sie sich über die Schlüsselgenerierung: Leiten Sie Endbenutzer an, CA-geprüfte Tools zum Generieren von Schlüsseln zu verwenden CSRS. Dies gewährleistet Kompatibilität und Sicherheit.
  • Schlüssellänge und Algorithmus: Empfehlen Sie Endbenutzern die Verwendung starker kryptografischer Algorithmen und geeigneter Schlüssellängen (z. B. RSA 2048-Bit oder höher).
  • Zugriffskontrolle und Multi-Faktor-Authentifizierung: Implementieren Sie strenge Zugriffskontrollen und fördern Sie die Verwendung der Multi-Faktor-Authentifizierung, insbesondere für Aktionen, die CA-API-Interaktionen auslösen, wie z. B. Neuschlüsselung, Erneuerung und Widerruf von Zertifikaten.

Sichere Speicherung privater Schlüssel

  • Kontinuierliche Schlüsselrotation: Eine regelmäßige Schlüsselrotation minimiert die Menge der offengelegten Daten, wenn ein Schlüssel kompromittiert wird, und verkürzt die Zeit, die ein Angreifer zum Knacken eines Schlüssels benötigt.
  • Verschlüsselte Speicherung und Sicherung: Fördern Sie verschlüsselte Backups privater Schlüssel, die sicher und separat gespeichert werden.
  • Widerruf und Schlüsselvernichtung: Ermutigen Sie Ihre Endbenutzer zu Richtlinien, die eine sofortige und effiziente Sperrung ermöglichen, wenn ein Schlüssel kompromittiert oder nicht mehr benötigt wird. Der Schlüssel sollte nach dem Widerruf nicht mehr für kryptografische Vorgänge verwendet und vernichtet werden.
  • Eine Schlüsselhierarchie einrichten: Diese Struktur erstellt Schichten kryptografischer Schlüssel mit jeweils unterschiedlichen Zugriffs- und Kontrollebenen. Der Hauptschlüssel, der im Zentrum dieser Hierarchie steht und äußerst sicher ist, wird zur Verschlüsselung zusätzlicher Schlüssel verwendet, die häufig als „untergeordnete“ oder „Datenverschlüsselung“ bezeichnet werden.
  • Eine Katastrophenreaktionsstrategie haben: Entwickeln Sie definierte Maßnahmen, die ergriffen werden müssen, sowie Verantwortliche für den Fall einer größeren Schlüsselkompromittierung oder eines Schlüsselverlusts.
Das Vertrauen in unsere CA und unsere Markenhändler ist von größter Bedeutung. Durch die Einhaltung dieser umfassenden Best Practices können wir die Sicherheit und Integrität des Zertifikatsausstellungsprozesses gewährleisten, Benutzerdaten schützen und das Vertrauen unserer Endbenutzer wahren. Wir ermutigen alle unsere Wiederverkäufer, diese Praktiken sorgfältig umzusetzen und sich für weitere Hinweise oder Klarstellungen an uns zu wenden.
Twitter
Facebook
LinkedIn
Reddit
E-Mail

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.