Το SSL.com επιτρέπει στους πελάτες που ζητούν πιστοποιητικά Υπογραφής Κώδικα ή Υπογραφής Εγγράφων Εγκεκριμένης Λίστας Εμπιστοσύνης (AATL) να χρησιμοποιήσουν έναν ανεξάρτητο πιστοποιημένο ελεγκτή της επιλογής τους για να βεβαιώσει ότι το ιδιωτικό κλειδί του πελάτη δημιουργήθηκε και είναι αποθηκευμένο με ασφάλεια σε μια συμβατή μονάδα ασφαλείας υλικού (Hardware Security Module). HSM). SSL.com αναφέρεται σε αυτή τη διαδικασία καθώς το "BYOA" είναι ένας όρος που δημιουργήσαμε.
Με το BYOA, ο πελάτης παρέχει στο SSL.com:
- Το αίτημα υπογραφής πιστοποιητικού (CSR) που δημιουργείται από το HSM.
- Επιβεβαίωση από ανεξάρτητο πιστοποιημένο ελεγκτή, εγκεκριμένο από το SSL.com, ότι το ζεύγος κλειδιών δημιουργήθηκε και είναι αποθηκευμένο σε μονάδα κρυπτογράφησης υλικού με πιστοποίηση τουλάχιστον FIPS 140-2 Επίπεδο 2 ή ισοδύναμο σε εγκεκριμένο περιβάλλον λειτουργίας.
Αυτός ο οδηγός περιγράφει λεπτομερώς τη διαδικασία BYOA, τις απαιτήσεις του ελεγκτή, τις βασικές κατευθυντήριες γραμμές τελετών και παρέχει ένα πρότυπο φόρμας επιστολής για τη βεβαίωση ελεγκτή.
Απαιτήσεις Ελεγκτή και Έγκριση
Για την εκτέλεση της βεβαίωσης BYOA, ο ανεξάρτητος ελεγκτής πρέπει να έχει προεγκριθεί από το SSL.com. Το SSL.com αξιολογεί τους ελεγκτές με βάση τα ακόλουθα κριτήρια:
- Τεχνική επάρκεια: Ο ελεγκτής πρέπει να έχει εμπειρία στον τομέα της ψηφιακής πιστοποίησης και της ασφάλειας στον κυβερνοχώρο.
- Προσόντα ελέγχου: Ο ελεγκτής πρέπει να είναι κάτοχος αναγνωρισμένης πιστοποίησης ή προσόντων ελέγχου, όπως να είναι ελεγκτής WebTrust/ETSI ή να διαθέτει CCAK της Cloud Security Alliance.
- Κώδικας δεοντολογίας: Ο ελεγκτής πρέπει να δεσμεύεται από έναν επαγγελματικό κώδικα δεοντολογίας, συνήθως μέσω της ιδιότητας του μέλους σε μια επαγγελματική οργάνωση.
- Επαληθεύσιμα διαπιστευτήρια: Το SSL.com πρέπει να μπορεί να επαληθεύει τα διαπιστευτήρια του ελεγκτή μέσω δημόσιων πηγών, όπως ένα μητρώο ελεγκτών.
Εάν ο προτιμώμενος ελεγκτής ενός πελάτη δεν έχει ήδη εγκριθεί, ο ελεγκτής μπορεί να υποβάλει τα προσόντα του στο SSL.com για έλεγχο βάσει αυτών των κριτηρίων. Το SSL.com διατηρεί μια δημόσια λίστα προεγκεκριμένων ελεγκτών για αναφορά πελατών.
Οδηγίες Τελετών Βασικής Γενιάς
Για τη διαδικασία BYOA, ο ελεγκτής πρέπει να παρακολουθήσει την Τελετή Δημιουργίας Κλειδιών και να επιβεβαιώσει τα ακόλουθα στην υπογεγραμμένη επιστολή βεβαίωσης:
- Το ιδιωτικό κλειδί δημιουργήθηκε σε μια μονάδα κρυπτογράφησης υλικού που έχει πιστοποίηση τουλάχιστον FIPS 140-2 Επίπεδο 2 ή ισοδύναμο.
- Το HSM λειτουργεί σε λειτουργία τουλάχιστον FIPS 140-2 Επίπεδο 2.
- Χρησιμοποιήθηκε γνήσιο υλικό και υλικολογισμικό HSM χωρίς ευπάθειες.
- Όλες οι επικοινωνίες με το HSM κατά τη δημιουργία κλειδιού πιστοποιήθηκαν και κρυπτογραφήθηκαν.
- Το ιδιωτικό κλειδί δημιουργήθηκε μέσα στο HSM και δεν εισήχθη ούτε εξήχθη ποτέ.
- Το ιδιωτικό κλειδί επισημαίνεται ως μη εξαγώγιμο και ευαίσθητο, σύμφωνα με τα πρότυπα PKCS#11.
- Απαιτείται έλεγχος ταυτότητας χρήστη για κάθε πρόσβαση στο ιδιωτικό κλειδί.
- Το περιβάλλον λειτουργίας του HSM διαθέτει στοιχεία ελέγχου ασφαλείας ισοδύναμα με FIPS 140-2 Επίπεδο 2 ή υψηλότερο.
- Ο ελεγκτής ήταν παρών για ολόκληρη την τελετή και τη διαδικασία δημιουργίας κλειδιών χωρίς ενδείξεις συμβιβασμού.
Το SSL.com παρέχει καθοδήγηση σχετικά με την προετοιμασία της τελετής, ένα λεπτομερές σενάριο τελετής και το πρότυπο επιστολής βεβαίωσης ελεγκτή για να διασφαλίσει ότι πληρούνται όλες οι απαιτήσεις.
Υποχρεώσεις συνδρομητών
Ως μέρος της διαδικασίας BYOA, το SSL.com πρέπει να λάβει μια συμβατική εκπροσώπηση από τον Συνδρομητή ότι θα χρησιμοποιήσει μία από τις ακόλουθες μεθόδους για να δημιουργήσει και να προστατεύσει τα ιδιωτικά κλειδιά του Πιστοποιητικού Υπογραφής Κώδικα σε μια μονάδα κρυπτογράφησης υλικού με σχέδιο πιστοποιημένο τουλάχιστον κατά FIPS 140-2 Επίπεδο 2:
- Το SSL.com παρέχει στον Συνδρομητή ένα κατάλληλο HSM με ένα ή περισσότερα ζεύγη κλειδιών που έχουν δημιουργηθεί εκ των προτέρων από το SSL.com.
- Ο Συνδρομητής παρέχει μια αναφορά που επιβεβαιώνει τη χρήση μιας συμβατής λύσης προστασίας κλειδιού που βασίζεται σε σύννεφο και HSM.
- Ένας ελεγκτής εγκεκριμένος από το SSL.com, με εκπαίδευση πληροφορικής και ασφάλειας, είναι μάρτυρες και παρέχει μια αναφορά για τη δημιουργία ζεύγους κλειδιών σε ένα συμβατό HSM.
- Ο Συνδρομητής χρησιμοποιεί μια Υπηρεσία Υπογραφής που πληροί τις απαιτήσεις που περιγράφονται λεπτομερώς στην ενότητα 6.2.7.2 Απαιτήσεις Βασικής Γραμμής.
Πρότυπο φόρμας βεβαίωσης ελεγκτή
Το SSL.com παρέχει ένα πρότυπο για το έντυπο βεβαίωσης του ελεγκτή που περιγράφει λεπτομερώς τα βασικά σημεία που πρέπει να αντιμετωπιστούν. Το πρότυπο είναι διαθέσιμο για λήψη εδώ.
Το έντυπο βεβαίωσης ελεγκτή πρέπει να υπογράφεται από τον ελεγκτή που εκτελεί τον μάρτυρα της τελετής. Υποβολές χωρίς υπογραφές ή από ελεγκτές που δεν έχουν εγκριθεί από το SSL.com θα απορρίπτονται.
Συμπέρασμα
Η διαδικασία BYOA επιτρέπει στους πελάτες του SSL.com να χρησιμοποιούν έναν ελεγκτή της επιλογής τους για βεβαίωση παραγωγής κλειδιού, παρέχοντας μεγαλύτερη ευελιξία σε σύγκριση με τη βεβαίωση που διαχειρίζεται η CA, ενώ εξακολουθεί να τηρεί τα πρότυπα ασφαλείας που απαιτούνται για τα πιστοποιητικά υπογραφής κώδικα και υπογραφής εγγράφων μέσω αυστηρού ελέγχου και τελετής. κριτήρια.
Οι πελάτες που ενδιαφέρονται για το BYOA για τις ανάγκες τους σε πιστοποιητικό Υπογραφής Κώδικα ή Υπογραφής Εγγράφων θα πρέπει να διασφαλίσουν ότι ο επιλεγμένος ελεγκτής τους πληροί τα κριτήρια πιστοποίησης του SSL.com και έχει εγκριθεί πριν προχωρήσουν. Η ομάδα επικύρωσης του SSL.com είναι διαθέσιμη για να απαντήσει σε οποιεσδήποτε ερωτήσεις και να παρέχει καθοδήγηση σε όλη τη διαδικασία προετοιμασίας και εκτέλεσης του BYOA.
Για περισσότερες πληροφορίες ή για να ξεκινήσετε τη διαδικασία BYOA, επικοινωνήστε με την υποστήριξη SSL.com στη διεύθυνση support@ssl.com.