Διδάγματα που αντλήθηκαν, συνέπειες για την ασφάλεια και καλές πρακτικές για επώνυμα SubCA

Οι αξιόπιστοι ιδιοκτήτες της Αρχής Πιστοποίησης (PT-CA) είναι θεμελιώδεις για την ασφαλή λειτουργία του Διαδικτύου. Τους αναθέτουν το ευρύ, το παγκόσμιο κοινό και οι μεγάλοι προμηθευτές προγραμμάτων περιήγησης για την παροχή της βασικής υποδομής δημόσιου κλειδιού (PKI) απαιτείται για την εδραίωση εμπιστοσύνης, την ασφαλή επικοινωνία και τη διευκόλυνση των ασφαλών διαδικτυακών συναλλαγών. Για να διατηρήσουν την αξιοπιστία τους, οι ΑΠ που εμπιστεύονται το κοινό πρέπει να επενδύσουν σημαντικούς πόρους για την ασφάλεια των λειτουργιών τους και τη συμμόρφωση με τα πιο πρόσφατα πρότυπα και υπόκεινται σε αυστηρούς ανεξάρτητους ελέγχους και εποπτεία.

Οι PT-CA, ως επιχειρήσεις, έχουν έννομο συμφέρον να δημιουργήσουν ένα δίκτυο αξιόπιστων μεταπωλητών για τη διανομή των προϊόντων τους και την επέκταση της παρουσίας τους στην αγορά. Δεδομένου ότι λειτουργούν ως «άγκυρα εμπιστοσύνης», λαμβάνουν συχνά αιτήματα από ενδιαφερόμενα μέρη που θα ήθελαν να συμπεριλάβουν την παροχή πιστοποιητικών δημόσιας εμπιστοσύνης στις προσφορές τους, μερικές φορές με το όνομά τους. Αυτά ονομάζονται υποΚΑΤ με «λευκή ετικέτα» ή «επωνυμία».

Πολλά μέλη της κοινότητας PT-CA, μεταπωλητών και συνδρομητών βρίσκουν τα επώνυμα subCA πολύτιμα για να συμβάλουν στη δημιουργία φήμης χωρίς να χρειάζεται να επενδύσουν σε μια πλήρως αποκλειστική υποδομή CA, και οι περισσότεροι πελάτες μεταπωλητών διαχειρίζονται υπεύθυνα το προνόμιο να έχουν τη δική τους επωνυμία σε ένα SubCA. Δυστυχώς, υπάρχουν περιπτώσεις όπου μπορεί να εμφανιστούν κακές πρακτικές ασφάλειας ή κατάχρηση, σκόπιμη ή μη.

Αυτή η λευκή βίβλος αναλύει τους κινδύνους ασφαλείας που σχετίζονται με επώνυμους μεταπωλητές subCA και προτείνει καλές πρακτικές με βάση την εμπειρία που συγκεντρώθηκε από την έρευνά μας και τα διδάγματα που αντλήθηκαν από την ανάλυση πρόσφατων περιπτώσεων στον κλάδο. Τα ευρήματά μας θα πρέπει να είναι χρήσιμα για τους υπεύθυνους χάραξης πολιτικής (Φόρουμ CA/B, ιδιοκτήτες καταστημάτων Root), στους PT-CA που είναι τελικά υπεύθυνοι για την αξιοπιστία των υπηρεσιών τους και σε οποιοδήποτε άλλο ενδιαφερόμενο μέρος.

Έρευνες

Μια έρευνα διεξήχθη από το SSL.com το δεύτερο εξάμηνο του 2023 για να συγκεντρώσει πληροφορίες από την κοινότητα που θα ήταν χρήσιμες για αυτήν την αναφορά. Η έρευνά μας περιελάμβανε ερωτήσεις που κάλυπταν τις ακόλουθες πτυχές:

  1. Δημοτικότητα του επώνυμου μοντέλου subCA
  2. Έκταση αλλαγής επωνυμίας: επώνυμα ανταποκριτές CRL/OCSP, πύλες χρηστών, προσαρμοσμένα ονόματα προϊόντων
  3. Διαδικασία επιλογής/ελέγχου επώνυμων πελατών subCA
  4. Χρήση της δικής τους πύλης χρηστών
  5. Έλεγχος και επιθεώρηση αυτών των πυλών
  6. Διδάγματα που αντλήθηκαν με βάση την εμπειρία με επώνυμους πελάτες subCA
  7. Τεχνικές προκλήσεις με τη δημιουργία, τον έλεγχο ή την ανάκληση επώνυμων υποΚΑΤ

Η έρευνα απευθύνθηκε σε 9 PT-CA που, με βάση την ανάλυση των δεδομένων CCADB, φαίνεται να έχουν τη μεγαλύτερη εμπειρία με το επώνυμο μοντέλο subCA.

Αποτελέσματα έρευνας

Λάβαμε απαντήσεις από 5 από τις 9 PT-CA και παρακολουθήσαμε για διευκρινίσεις. Οι απαντήσεις αναλύθηκαν για τον εντοπισμό κοινών σημείων και διαφορών στο επώνυμο μοντέλο υπο-CA και τις σχετικές πρακτικές, όπως εφαρμόζονται από τη βιομηχανία ΑΠ.

Σημαντικά σημεία των αποτελεσμάτων της έρευνας:

  1. Αρκετοί συνώνυμοι όροι χρησιμοποιούνται στον κλάδο για αυτό ή παρόμοια μοντέλα subCA: σεσημασμένος, με λευκή ετικέτα, αφιερωμένο, ματαιοδοξία.

  2. 4 από τις 5 ΑΠ που συμμετείχαν επιβεβαίωσαν ότι οι επώνυμες δευτερεύουσες ΑΠ αποτελούν μέρος των προσφορών τους. Το προϊόν απευθύνεται σε επιλεγμένους πελάτες, όπως παρόχους φιλοξενίας και μεγάλους μεταπωλητές. Ισχύει και σε περιπτώσεις μεγάλων λογαριασμών που χρειάζονται πιστοποιητικά για δική τους χρήση. Για παράδειγμα, μια ΑΠ ανέφερε ότι εφαρμόζει το μοντέλο σε ακαδημαϊκά και ερευνητικά ιδρύματα.

  3. Η επωνυμία περιλαμβάνει συνήθως την έκδοση πιστοποιητικών subCA που έχουν το όνομα του πελάτη/μεταπωλητή στο πεδίο subjectDN. Η εκτεταμένη επωνυμία μπορεί επίσης να περιλαμβάνει επώνυμα URL απόκρισης CRL/OCSP και επώνυμες μικροπύλες για μικρότερους πελάτες/μεταπωλητές που δεν διαθέτουν δικές τους πύλες RA.

  4. Η διαδικασία επιλογής SubCA βασίζεται κυρίως σε επιχειρηματικά/εμπορικά κριτήρια, όπως ο τύπος δραστηριότητας, ο προβλεπόμενος αριθμός πιστοποιητικών και η προβλεπόμενη χρήση. Ορισμένες PT-CA ανέφεραν ότι ενδέχεται να προτείνουν ή να αποφασίσουν από μόνες τους τη δημιουργία αποκλειστικών δευτερευουσών ΑΠ, επώνυμων ή μη, για να ξεχωρίζουν από τις ΑΠ γενικής χρήσης κατά την εξυπηρέτηση μεγάλων πελατών ή έργων, ως μέσο απομόνωσης των επιπτώσεων/κινδύνων σε περίπτωση περιστατικού (π.χ. συμβιβασμός, αποτυχία συμμόρφωσης ή άλλου τύπου) που απαιτεί ανάκληση.

  5. Ο έλεγχος συνήθως περιλαμβάνει τις ακόλουθες δραστηριότητες επικύρωσης:

    ένα. επαλήθευση του ονόματος, της διεύθυνσης και της ύπαρξης του οργανισμού (παρόμοια με μια διαδικασία OV ή EV)· και

    σι. επαλήθευση της έγκρισης του αιτήματος.

  6. Ένας από τους συμμετέχοντες PT-CA ανέφερε ότι, πριν από την υπογραφή μιας σύμβασης, πραγματοποιείται εσωτερική διαβούλευση με την ομάδα Συμμόρφωσης για να ελεγχθεί η φήμη του επώνυμου αιτούντος SubCA. Αυτό περιλαμβάνει την αναζήτηση δημόσιων πόρων για αναφορές εμπλοκής σε δραστηριότητες παραποίησης δεδομένων ή νομιμοποίησης εσόδων από παράνομες δραστηριότητες. Το CCADB και το Bugzilla είναι πρόσθετες πηγές πληροφοριών όταν ο αιτών είναι ήδη ο ίδιος PT-CA.

  7. Κανένας δεν ανέφερε ότι αρνήθηκε έναν επώνυμο πελάτη subCA για άλλους λόγους εκτός από εμπορικούς/οικονομικούς.

  8. Σχεδόν όλες οι PT-CA ανέφεραν ότι τα περισσότερα επώνυμα υποΚΑΤ διαθέτουν τη δική τους πύλη χρηστών. ένας PT-CA το ποσοτικοποίησε στο 80% του συνολικού αριθμού των επώνυμων συνεργατών subCA. Κατ' εξαίρεση, ένα PT-CA δεν γνώριζε κανέναν από τους επώνυμους πελάτες του subCA που χρησιμοποιούν τη δική τους πύλη χρηστών.

  9. Κανένας PT-CA δεν ανέφερε έλεγχο ή με άλλο τρόπο επιθεώρηση της πύλης χρήστη τρίτων των επώνυμων υποΚΑΤ του (εκτός εάν το επώνυμο subCA είναι επίσης PT-CA, πράγμα που σημαίνει ότι οι πύλες χρηστών του υπόκεινται ούτως ή άλλως σε έλεγχο).

  10. Ένα PT-CA ανέφερε τα ακόλουθα διδάγματα:

    ένα. Ο αριθμός των εκδοθέντων πιστοποιητικών θα πρέπει να είναι αρκετά μεγάλος ώστε να δικαιολογεί τη διατήρηση ενός επώνυμου subCA.

    σι. Αξίζει να ελέγξετε την εμπειρία τους στον κλάδο πριν προχωρήσετε στη σύμβαση.

    ντο. Αξίζει επίσης να φροντίσετε για την κατάλληλη διάρκεια του συμβολαίου.

  11. Μερικοί PT-CA ανέφεραν ότι δεν βλέπουν ιδιαίτερες τεχνικές προκλήσεις με τη δημιουργία, τον έλεγχο ή την ανάκληση επώνυμων δευτερευουσών CA.

Μεταπωλητές Προστιθέμενης Αξίας

Σύμφωνα με τα αποτελέσματα της έρευνας και τις πληροφορίες που συγκεντρώσαμε με τη δική μας έρευνα, σχεδόν όλες οι PT-CA προσφέρουν προγράμματα μεταπωλητών. από εταιρείες ή ιδιώτες που απολαμβάνουν εκπτώσεις χονδρικής και μεταπωλούν προϊόντα ΑΠ έναντι περιθωρίου (απλοί μεταπωλητές) σε οντότητες που ενσωματώνουν προϊόντα ΑΠ στις δικές τους προσφορές ή παρέχουν υπηρεσίες προστιθέμενης αξίας προς όφελος των πελατών τους. Οι πρώτοι («απλοί μεταπωλητές») δεν εμπλέκονται σε κανένα μέρος της υπηρεσίας εκτός από την ίδια την πώληση, επομένως θεωρούνται εκτός πεδίου εφαρμογής σε αυτό το έγγραφο.

Από την άλλη πλευρά, οι μεταπωλητές προστιθέμενης αξίας (VAR) ενδέχεται να έχουν μικρή ή σημαντική συμμετοχή στη διευκόλυνση της διαδικασίας κύκλου ζωής κλειδιού/πιστοποιητικού. Δεδομένου ότι αυτό έχει επιπτώσεις στην ασφάλεια και τη συμμόρφωση, αυτό το έγγραφο εστιάζει στα VAR και εξετάζει τους εγγενείς κινδύνους (και τα οφέλη).

Η έρευνά μας αποκάλυψε ότι υπάρχουν διαφορετικοί τύποι/πρακτικές για τα VAR στον κλάδο, ανάλογα με τη συμμετοχή τους στις διαδικασίες κύκλου ζωής κλειδιού/πιστοποιητικού, τη χρήση της πύλης της PT-CA ή της δικής τους πύλης/συστημάτων, τη χρήση δευτερευουσών πιστοποιητικών που εκδίδονται με όνομα του PT-CA/Root CA ή επώνυμων δευτερευουσών CA.

Οι πιο συχνές περιπτώσεις που εντοπίσαμε είναι οι ακόλουθες:

  • VAR που χρησιμοποιούν συστήματα PT-CA/Root CA: Συνήθως βοηθούν τις οντότητες που κατέχουν/ ελέγχουν Ονόματα Τομέα χρησιμοποιώντας την Πύλη Αρχής Καταχώρησης της ΑΠ. Η βοήθειά τους επικεντρώνεται συνήθως στην καταχώριση και τη διαχείριση πιστοποιητικών για λογαριασμό αυτών των κατόχων τομέα.
  • VAR με ανεξάρτητες Πύλες Αρχών Εγγραφής: Συνήθως έχουν τη δική τους πύλη για την εγγραφή χρηστών ανεξάρτητα από την ΑΠ και χρησιμοποιούν το API της ΑΠ στο backend για την εκτέλεση δραστηριοτήτων του κύκλου ζωής πιστοποιητικού.
    • Οι δραστηριότητες επικύρωσης τομέα εκτελούνται συνήθως από την ΑΠ. Για παράδειγμα, εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου με τυχαία τιμή πρόκειται να σταλεί στον αιτούντα για να αποδειχθεί ο έλεγχος ενός Ονόματος Τομέα, αποστέλλεται απευθείας από τα συστήματα της PT-CA και όχι από τον μεταπωλητή.

    • Σύμφωνα με την ενότητα 6.1.1.3 των BR, οι PT-CA δεν επιτρέπεται να δημιουργούν ζεύγη κλειδιών για λογαριασμό των Συνδρομητών. Ορισμένοι συνδρομητές ενδέχεται να χρησιμοποιούν VAR για να δημιουργήσουν και πιθανώς να αποθηκεύσουν αυτά τα κλειδιά.

  • Επώνυμα μεταπωλητές subCA: Στις περισσότερες περιπτώσεις, πρόκειται για VAR που έχουν συμφωνία με την PT-CA για την απόκτηση μιας προσαρμοσμένης έκδοσης ΑΠ που περιέχει την «μάρκα» του VAR.
    • Αυτό είναι τυπικά ένα εσωτερικής λειτουργίας subCA, επομένως ο γονικός (συνήθως Root) χειριστής CA διαχειρίζεται συνήθως τα κλειδιά και τα συμβάντα κύκλου ζωής αυτής της δευτερεύουσας CA.

    • Εξωτερικά λειτουργούμενα subCA μπορεί επίσης να περιέχει την επωνυμία της οντότητας που εκμεταλλεύεται την δευτερεύουσα ΑΠ, αλλά εφόσον αυτή η οντότητα ελέγχει ένα ιδιωτικό κλειδί που σχετίζεται με ένα πιστοποιητικό ΑΠ έκδοσης, πρέπει να ελεγχθεί σωστά σύμφωνα με την ενότητα 8.1 του TLS Απαίτηση γραμμής βάσης ή πρέπει να περιορίζεται τεχνικά σύμφωνα με τις ενότητες 7.1.2.3, 7.1.2.4, 7.1.2.5 και να ελεγχθεί εσωτερικά σύμφωνα με την ενότητα 8.7 του TLS Απαιτήσεις βασικής γραμμής. Θεωρείται εκτός πεδίου εφαρμογής σε αυτή τη λευκή βίβλο.

Εκτός από τους επώνυμους μεταπωλητές subCA, οι συνδρομητές μεγάλου μεγέθους μπορούν επίσης να ζητήσουν από ένα επώνυμο subCA να εκδώσει πιστοποιητικά με το όνομα του οργανισμού τους (δηλαδή για δική τους χρήση). Αυτό το μοντέλο δεν εξετάζεται εδώ γιατί έχει τους ίδιους κινδύνους με έναν απλό Συνδρομητή, με την έννοια της παραγγελίας και διαχείρισης μεγάλων όγκων πιστοποιητικών για τον δικό τους Οργανισμό.

Ομοίως, οι μεταπωλητές που δεν εμπλέκονται σε κανένα μέρος της διαχείρισης του κύκλου ζωής κλειδιού/πιστοποιητικού (για παράδειγμα, μεταπωλητές που αποτελούν μέρος ενός προγράμματος παραπομπής με πωλήσεις βάσει παραγγελίας) δεν εμπίπτουν στο πεδίο εφαρμογής αυτής της λευκής βίβλου.

Επώνυμα SubCAs

Οι εξωτερικά λειτουργούσες υποΚΑΤ, ένα μοντέλο που ήταν δημοφιλές στο παρελθόν (με βάση την ανάλυση δεδομένων CCADB) έχουν μειωθεί σημαντικά τα τελευταία χρόνια (στο CCADB, υπήρχαν 93 subCA serverAuth με το "Audit not same as γονικό" ακόμα ενεργό και αλυσοδένεται σε μια αξιόπιστη ρίζα) και συνεχίζει να χρησιμοποιείται σε ορισμένες περιπτώσεις. Όταν χρησιμοποιείται, το πιστοποιητικό subCA περιλαμβάνει το όνομα του συνεργάτη στο OrganizationName του subjectDN και απαιτεί ξεχωριστούς εξωτερικούς ελέγχους.

Ο κλάδος χρησιμοποιεί δύο πρακτικές για τον οργανισμό subCA που λειτουργεί εσωτερικά:

  • Ορισμένες ΑΠ περιλαμβάνουν το όνομα έκδοσης CA (Root Operator) στον οργανισμόName of the subjectDN του επώνυμου πιστοποιητικού ενδιάμεσης CA
  • Ορισμένες ΑΠ περιλαμβάνουν το όνομα του επώνυμου SubCA στον οργανισμόName of the subjectDN του επώνυμου πιστοποιητικού ενδιάμεσης CA.

Με τις τρέχουσες απαιτήσεις, είναι δύσκολο για ένα Τρίτο Μέρος να αναγνωρίσει εύκολα εάν η ΑΠ Έκδοσης είναι λειτουργεί από την ΑΠ ρίζας ή άλλη οντότητα.

Κίνδυνοι του μοντέλου VAR

Αφού αναλύσαμε τα σχόλια από την έρευνα και τις διάφορες πρακτικές VAR σε αυτόν τον κλάδο, εντοπίσαμε ορισμένους κινδύνους που ισχύουν κυρίως για τα VAR που ενεργούν για λογαριασμό ενός Συνδρομητή:

  1. Δημιουργία κλειδιών και / ή εναποθήκευση του ιδιωτικού κλειδιού: Αυτή είναι μια κρίσιμη λειτουργία για την οποία δεν επιβάλλονται απαιτήσεις ή έλεγχοι στα VAR από τα τρέχοντα πρότυπα. Η έλλειψη ορατότητας στη στάση ασφαλείας τους αυξάνει τον κίνδυνο να τεθούν σε κίνδυνο τα ιδιωτικά κλειδιά του Συνδρομητή.

  2. Αποθήκευση Προσωπικών Πληροφοριών Αναγνώρισης, και πιθανώς άλλες ευαίσθητες πληροφορίες (π.χ. πιστωτική κάρτα), με κίνδυνο έκθεσης προσωπικών δεδομένων. Αυτός ο κίνδυνος είναι παρόμοιος με αυτόν που αναφέρθηκε παραπάνω. επιπλέον, υπάρχει κίνδυνος ακατάλληλης χρήσης των PII, δηλαδή χρήσης PII για σκοπούς άλλους από αυτούς που έχουν εγκριθεί από τον Συνδρομητή.

  3. Ανάκληση πιστοποιητικού, με τον κίνδυνο άρνησης υπηρεσίας για τους Συνδρομητές. Στην περίπτωση των VAR που έχουν προνομιακή πρόσβαση στους λογαριασμούς των πελατών τους, ένα περιστατικό σε ένα σύστημα VAR ή ακόμα και μια τυχαία ενέργεια από το VAR μπορεί να οδηγήσει σε μαζική ανάκληση, επηρεάζοντας έτσι τη διαθεσιμότητα πολλών ιστότοπων.

  4. Επαναλάβετε το κλειδί του πιστοποιητικού, επιτρέπεται σε ορισμένες περιπτώσεις η αντικατάσταση ενός δημόσιου κλειδιού σε ένα πιστοποιητικό χωρίς την εκ νέου εκτέλεση της επικύρωσης τομέα, με κίνδυνο υποκλοπής κρυπτογραφημένης κίνησης προς/από ιστοτόπους Συνδρομητών.

  5. Επαναχρησιμοποίηση αποδεικτικών στοιχείων που χρησιμοποιούνται για την επικύρωση τομέα: Κατά την αρχική έκδοση, υπάρχει μια άμεση αλληλεπίδραση με τον κάτοχο του τομέα που επιτρέπει στο PT-CA να έχει τον πλήρη έλεγχο της διαδικασίας DCV. Στην περίπτωση επαναχρησιμοποίησης αποδεικτικών στοιχείων DCV, αυτό το βήμα δεν ισχύει, πράγμα που σημαίνει ότι υπάρχει κίνδυνος το VAR να ζητήσει επιτυχώς την έκδοση νέου πιστοποιητικού στους εν λόγω τομείς χωρίς την άδεια του Συνδρομητή.

  6. Τα VAR έχουν αυξημένο αντίκτυπο και έτσι γίνονται «honeypot» σε περίπτωση συμβιβασμού. Ένα VAR θα θεωρηθεί πιο ελκυστικός στόχος και εάν ένας εισβολέας διεισδύσει/υποβιβάσει με επιτυχία τα συστήματα ενός VAR (π.χ. την πύλη του), αυτό θα μπορούσε να επηρεάσει περισσότερους ανεξάρτητους Συνδρομητές με αποτέλεσμα πολύ μεγαλύτερο αντίκτυπο σε σύγκριση με επιθέσεις σε μεμονωμένους Συνδρομητές.

  7. Η χρήση ενός εθίμου πύλη μεταπωλητή προσθέτει ένα ακόμη στοιχείο στην αλυσίδα ασφαλείας, επεκτείνοντας την επιφάνεια επίθεσης. Οι συγκεκριμένοι κίνδυνοι για μια πύλη μεταπωλητών περιλαμβάνουν:

    • Απειλές για την ασφάλεια στον κυβερνοχώρο

    • Κακή υγιεινή ασφάλειας πληροφοριών

    • Αδύναμοι μηχανισμοί ελέγχου ταυτότητας/εξουσιοδότησης/λογιστικής

  8. Προσθήκη περισσότερων ατόμων από την επιχείρηση του μεταπωλητή σε προνομιούχες θέσεις της διαδικασίας διαχείρισης του κύκλου ζωής του πιστοποιητικού οδηγεί σε αυξημένη επιφάνεια επίθεσης.

  9. Κακόβουλες πράξεις από το VAR? Αυτό είναι εγγενές σε οποιαδήποτε ανάθεση δραστηριότητας όπου μια οντότητα που ενεργεί για λογαριασμό του πραγματικού δικαιούχου μιας υπηρεσίας (στην περίπτωσή μας, του Συνδρομητή Πιστοποιητικού), μπορεί να ενεργήσει κακόβουλα. Ένα απλό παράδειγμα θα ήταν ένα κακόβουλο VAR που «βοηθά» έναν αιτούντα να δημιουργήσει ένα ζεύγος κλειδιών και αργότερα να πουλήσει το ιδιωτικό κλειδί σε έναν εισβολέα.

Κατά τη διάρκεια της ανάλυσής μας, εντοπίσαμε ότι εάν σε ένα VAR χορηγηθεί μια εσωτερικά λειτουργούσα επωνυμία subCA, οι κίνδυνοι είναι οι ίδιοι, αν και εννοιολογικά η επωνυμία subCA θεωρείται πλέον "αξιόπιστη", επειδή η CA ρίζας ουσιαστικά "εγγυάται" για την subCA. Λάβετε υπόψη ότι οι διευθύνσεις URL CRL, OCSP, CAIssuer πρέπει επίσης να λειτουργούν εσωτερικά από την αρχή έκδοσης πιστοποιητικών ρίζας.

Καλές πρακτικές

Αφού λάβουμε υπόψη τους παραπάνω κινδύνους, θα θέλαμε να προτείνουμε ορισμένες καλές πρακτικές που μπορούν να ελαχιστοποιήσουν την πιθανότητα τυχόν ελλείψεων ή ακατάλληλων ενεργειών από πελάτες subCA.

Για επώνυμα subCA:

  • Γνωρίστε τον πιθανό σύντροφό σας: Η έκδοση επώνυμου πιστοποιητικού subCA παρέχει εννοιολογικά στον μεταπωλητή τη φήμη και την αξιοπιστία της PT-CA. Ως εκ τούτου, είναι σημαντικό για τους χειριστές Root CA να ελέγχουν τον πιθανό μεταπωλητή τους, από την επικύρωση ταυτότητας (ακολουθώντας τις οδηγίες OV/EV) έως τη νομική τεκμηρίωση μέχρι την έρευνα της φήμης της εταιρείας και της φήμης των ιδιοκτητών και της ομάδας διαχείρισης.
  • Εκ νέου επαλήθευση και επαναξιολόγηση: Θα πρέπει να εφαρμόζεται περιοδικός εκ νέου επαλήθευση των εγγραφών επιχειρήσεων όλων των επώνυμων μεταπωλητών subCA για να διασφαλιστεί η νομιμότητα και η καλή κατάσταση. Εκτός από τη χρήση δημόσιων πηγών, η επαναξιολόγηση των μεταπωλητών μπορεί να λάβει υπόψη την απόδοσή τους κατά τη διάρκεια της συνεχιζόμενης συνεργασίας.
  • Συμβατικές διατάξεις και πολιτικές: Οι PT-CA θα πρέπει να βεβαιωθούν ότι διατηρούν τον έλεγχο της σύμβασης, έτσι ώστε οποιαδήποτε καταγγελία σύμβασης και ανάκληση της δευτερεύουσας αρχής που προκύπτει από παραβίαση σύμβασης να είναι κατά την αποκλειστική τους κρίση. Οι επώνυμες συμφωνίες subCA θα μπορούσαν να περιλαμβάνουν διατάξεις που δίνουν στην PT-CA μεγαλύτερη ορατότητα σχετικά με τις πρακτικές του μεταπωλητή και θέτουν ελάχιστες απαιτήσεις όσον αφορά την εσωτερική ασφάλεια, την εξυπηρέτηση πελατών και τη συμμόρφωση με τα ΜΕ (σε περίπτωση που ενεργούν ως εξουσιοδοτημένα τρίτα μέρη).
  • Νομικό περιβάλλον: Είναι απαραίτητο να ληφθούν υπόψη οι νόμοι και τα έθιμα της δικαιοδοσίας όπου θα δραστηριοποιείται ο μεταπωλητής πριν από την παραχώρηση επωνυμίας subCA σε ξένες οντότητες. Αυτό μπορεί να περιλαμβάνει τη συμβατότητα των νόμων περί απορρήτου και των απαιτήσεων αδειοδότησης.
  • Διατηρήστε τον έλεγχο των πόρων: Ορισμένες δικαιοδοσίες ενδέχεται να απαιτούν να λειτουργούν μόνο τοπικές επιχειρήσεις στην περιοχή τους. αυτό μπορεί να περιλαμβάνει την ιδιοκτησία ονομάτων τομέα ή βασικών υποδομών. Ορισμένοι πελάτες ζητούν «εκτεταμένη» επωνυμία, π.χ. επώνυμα URL απόκρισης OCSP και άλλοι πόροι που αποτελούν μέρος των υποχρεώσεων της PT-CA. Η PT-CA πρέπει να διασφαλίσει ότι ο έλεγχός της σε αυτούς τους πόρους θα επιβιώσει από ενδεχόμενη καταγγελία μιας τέτοιας συμφωνίας, διαφορετικά υπάρχει κίνδυνος παραβίασης των απαιτήσεων CA/Φόρουμ προγράμματος περιήγησης.
  • Ανάλυση κόστους-οφέλους και αντιμετώπιση κινδύνου: Το επώνυμο μοντέλο subCA μπορεί να είναι επικερδές, αλλά συνοδεύεται επίσης από κινδύνους συμμόρφωσης και φήμης. Μια συνετή PT-CA τα αναλύει προτού χορηγήσει φήμη και αξιοπιστία σε έναν πιθανό συνεργάτη. Εκτός από την απλή έγκριση ή απόρριψη, η απόφαση μπορεί να περιλαμβάνει ελέγχους που αποκαθιστούν τυχόν κινδύνους που έχουν εντοπιστεί.
  • Διαφάνεια: Μέσω της επωνυμίας, οι μεταπωλητές (ενδέχεται να επιθυμούν) να προωθούν τους εαυτούς τους ως «δημόσια αξιόπιστες ΑΠ». Η διαφάνεια υπαγορεύει ότι οι καταναλωτές και τα εξαρτώμενα μέρη έχουν τουλάχιστον μια ένδειξη της πραγματικής οντότητας στην οποία εμπιστεύονται. Ένας προτεινόμενος τρόπος είναι να διατηρήσετε το όνομα του τρίτου μέρους στο συνηθισμένο όνομα του θέμαDN του επώνυμου πιστοποιητικού subCA και χρησιμοποιήστε το όνομα οργανισμού του πραγματικού χειριστή ΑΠ (π.χ. το PT-CA) στο Όνομα Οργανισμού.

Για όλα τα VAR:

  • Μέτρα ασφαλείας: Για τα VAR, το SSL.com έχει εκδώσει το «Οδηγός βέλτιστων πρακτικών ασφάλειας της αρχής έκδοσης πιστοποιητικών για επώνυμους μεταπωλητές: Ολοκληρωμένα μέτρα ασφαλείας". Περιλαμβάνει μια ολοκληρωμένη σειρά από πιθανά μέτρα ασφαλείας και αναφορές στις Απαιτήσεις NetSec. Στην απλούστερη περίπτωση που ένα VAR δεν χρησιμοποιεί τα δικά του συστήματα (π.χ. πύλη χρήστη) για τον κύκλο ζωής του πιστοποιητικού, ορισμένες από τις απαιτήσεις ενδέχεται να μην ισχύουν.
  • Προστασία των συνδρομητών: Οι PT-CA θα πρέπει να εντοπίζουν και να αντιμετωπίζουν τους κινδύνους που σχετίζονται με την πρόσβαση στο σύστημα που διατίθεται στα VAR. Μια PT-CA θα πρέπει να έχει διαφορετικά επίπεδα πρόσβασης για λογαριασμούς μεταπωλητή και μη μεταπωλητή, επιτρέποντας περισσότερους περιορισμούς στο επίπεδο πρόσβασης μεταπωλητή για την προστασία των λογαριασμών Συνδρομητών από κατάχρηση. Για παράδειγμα, αυτό μπορεί να περιλαμβάνει ελέγχους για την αποτροπή επαναχρησιμοποίησης προηγούμενων αποδεικτικών στοιχείων επικύρωσης τομέα από VAR. Για το σκοπό αυτό, οι Απαιτήσεις Βασικής γραμμής θα μπορούσαν επίσης να απαιτήσουν ότι οποιοσδήποτε δεν είναι «Επιχειρητικός ΑΕ» (δηλαδή ζητά μόνο για δικούς του, ιδιόκτητους οργανισμούς και τομείς) πρέπει να ολοκληρώσει την επικύρωση τομέα για κάθε έκδοση (έκδοση, επανέκδοση, επανέκδοση, διπλότυπο και ανανέωση).
  • Συμφωνίες συνδρομητών και μεταπωλητών: Οι PT-CA θα μπορούσαν να προσφέρουν δύο τύπους Συμφωνιών Συνδρομητή: μια Συμφωνία Συνδρομητή που δεν επιτρέπει τη μεταπώληση και μια Αποκλειστική Συμφωνία Μεταπώλησης που περιέχει επιπλέον ρήτρες και προσδοκίες. απολύμανση όπως περιγράφεται στο Οδηγός βέλτιστων πρακτικών ασφάλειας της αρχής έκδοσης πιστοποιητικών για επώνυμους μεταπωλητές: Ολοκληρωμένα μέτρα ασφαλείας.
Για VAR με τη δική τους πύλη:

Σημείωση: Δεν εξετάζουμε την περίπτωση ενός παρόχου φιλοξενίας που συμμετέχει στον κύκλο ζωής του πιστοποιητικού, συνήθως με αυτοματοποιημένο τρόπο μέσω κοινών πινάκων ελέγχου φιλοξενίας ιστού (Plesk, VirtualMin, CPanel).

  • Συμβατικές διατάξεις και πολιτικές: Συμπεριλάβετε πρόσθετες διατάξεις στη Συμφωνία Μεταπώλησης, όπως δικαίωμα ελέγχου, πρότασης/απαίτησης ετήσιων δοκιμών διείσδυσης, αναθεώρηση διαμορφώσεων συστήματος, εφαρμογή MFA ή ελέγχου ταυτότητας τουλάχιστον στο ίδιο επίπεδο με το PT-CA, παρακολούθηση και αποκάλυψη συμβάντων.
  • Ασφαλής ενσωμάτωση: Επιβολή της χρήσης ασφαλών API, για παράδειγμα, εφαρμόστε ασφαλή έλεγχο ταυτότητας μέσω κρυπτογραφημένου καναλιού, περιορισμένη διάρκεια περιόδου σύνδεσης, σωστή κάλυψη των λογαριασμών/αρχείων που επηρεάζουν μόνο το VAR και τους πελάτες/Συνδρομητές του κ.λπ.
  • Διαχείριση ευπάθειας: Βεβαιωθείτε ότι πραγματοποιούνται περιοδικές σαρώσεις ευπάθειας στην πύλη μεταπωλητή. Αυτό μπορεί να απαιτείται από τη Συμφωνία Μεταπωλητή ή μπορεί να αποτελεί μέρος των υπηρεσιών που προσφέρει η PT-CA για να βοηθήσει στην καλή υγιεινή ασφαλείας της πύλης του μεταπωλητή.
  • Αξιολόγηση της στάσης ασφαλείας τους: Συλλογή πληροφοριών που σχετίζονται με την ασφάλεια και αξιολόγηση κινδύνου ως μέρος της διαδικασίας ενσωμάτωσης μεταπωλητή. Αυτό μπορεί να εφαρμοστεί χρησιμοποιώντας δομημένα ερωτηματολόγια ή εξειδικευμένο λογισμικό.
  • Ετήσια αξιολόγηση: Οι PT-CA δεν θα πρέπει απλώς να δημιουργούν σχέσεις VAR χωρίς παρακολούθηση. Είναι σημαντικό να εφαρμοστεί μια διαδικασία αξιολόγησης που διεξάγεται τουλάχιστον σε ετήσια βάση.
  • Ενημερωτικά δελτία ενημέρωσης: Η αποστολή περιοδικών ενημερωτικών δελτίων ευαισθητοποίησης για την ασφάλεια βοηθά τους μεταπωλητές να βελτιώσουν την κατανόησή τους σχετικά με τις απειλές για την ασφάλεια στον κυβερνοχώρο και να είναι καλύτερα προετοιμασμένοι έναντι επιθέσεων. Αυτά τα ενημερωτικά δελτία θα μπορούσαν να περιέχουν πληροφορίες σχετικά με τυχόν νέες προειδοποιήσεις ασφαλείας που σχετίζονται με PKI συστήματα, έναν κατάλογο απόπειρων (ή επιτυχημένων) επιθέσεων ή οδηγίες σχετικά με τον τρόπο χρήσης των εργαλείων και των τεχνικών που απαιτούνται για τη βελτίωση της υγιεινής ασφάλειας.

συμπεράσματα

Ακριβώς όπως κάθε ευκαιρία, η πώληση επώνυμων subCA έχει τόσο θετικές όσο και αρνητικές πτυχές. Περισσότερο από την πώληση πιστοποιητικών τελικής οντότητας, οι επώνυμες δευτερεύουσες CA ανοίγουν την αξιόπιστη ΑΠ σε πιθανή βλάβη βάσει των δραστηριοτήτων του μεταπωλητή-πελάτη, ενώ εξακολουθούν να προσφέρουν τη δυνατότητα μεγάλων οφελών. Ωστόσο, τα VAR δεν πρέπει να παραβλέπονται. Οι επιχειρηματικές πρακτικές και οι πρακτικές ασφαλείας τους ενδέχεται να εγκυμονούν κινδύνους για τους συνδρομητές και, συνεπώς, για τη φήμη και την αξιοπιστία της PT-CA.

Προτού συνάψουν οποιαδήποτε επώνυμη σχέση subCA ή VAR, οι PT-CA προειδοποιούνται να διεξάγουν ενδελεχή δέουσα επιμέλεια, να λαμβάνουν υπόψη όλες τις πιθανές συνέπειες, να λαμβάνουν τεκμηριωμένες αποφάσεις και να συνάπτουν καλά ανεπτυγμένες συμβάσεις που προστατεύουν την εμπιστοσύνη της PT-CA. Αυτό το έγγραφο δείχνει ότι υπάρχουν διαθέσιμες επιλογές, υπάρχουν διδάγματα και υπάρχουν καλές πρακτικές που πρέπει να ακολουθηθούν.

 

Ανακαλύψτε τους κινδύνους και τις βέλτιστες πρακτικές για επώνυμες δευτερεύουσες CA και μεταπωλητές προστιθέμενης αξίας στη λεπτομερή λευκή μας βίβλο.

 

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com

Μην χάσετε νέα άρθρα και ενημερώσεις από το SSL.com

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.