Το SSL.com παρέχει υπηρεσίες απομακρυσμένης υπογραφής cloud με το κλειδί στο χέρι μέσω του API λειτουργιών υπογραφής eSigner που περιλαμβάνει την αποθήκευση και διαχείριση ιδιωτικών κλειδιών.
Ωστόσο, πολλοί χρήστες προτιμούν να χρησιμοποιούν τη δική τους υπηρεσία HSM ή cloud HSM για την αποθήκευση ιδιωτικών κλειδιών που χρησιμοποιούνται για την υπογραφή εγγράφων.
Οι υπογραφές LTV επιτρέπουν την επαλήθευση χωρίς να βασίζεστε σε εξωτερικά συστήματα ή αποθετήρια. Όλες οι απαραίτητες πληροφορίες επικύρωσης περιλαμβάνονται στο ίδιο το έγγραφο, καθιστώντας το αυτοτελές. Αυτό είναι ιδιαίτερα σημαντικό για τη μακροπρόθεσμη επαλήθευση, καθώς εξωτερικά συστήματα ή αποθετήρια ενδέχεται να μην είναι διαθέσιμα ή να αλλάξουν με την πάροδο του χρόνου.
Με τις υπογραφές LTV, η διαδικασία επαλήθευσης παραμένει ανεξάρτητη και αυτάρκης.
Ακολουθεί μια λίστα με τις βέλτιστες πρακτικές στις οποίες μπορούν να ανατρέξουν οι χρήστες για να ενεργοποιήσουν τις υπογραφές LTV για υπογραφή εγγράφων όταν χρησιμοποιείτε τη δική σας υπηρεσία HSM ή cloud HSM.
- Προετοιμάστε το έγγραφο: Βεβαιωθείτε ότι το έγγραφο που θέλετε να υπογράψετε είναι σε κατάλληλη μορφή, όπως PDF/A ή ένα απλό έγγραφο PDF. Το PDF/A έχει σχεδιαστεί ειδικά για μακροπρόθεσμη αρχειοθέτηση και διασφαλίζει ότι η ακεραιότητα του εγγράφου διατηρείται με την πάροδο του χρόνου.
- Χρησιμοποιήστε κρυπτογραφικές χρονικές σημάνσεις: Οι υπογραφές LTV απαιτούν μια αξιόπιστη και αξιόπιστη πηγή χρόνου. Οι κρυπτογραφικές χρονικές σημάνσεις το παρέχουν αυτό συνδέοντας με ασφάλεια την υπογραφή με μια συγκεκριμένη ώρα, αποτρέποντας οποιαδήποτε αναδρομή ή παραποίηση. Χρησιμοποιήστε μια αξιόπιστη αρχή χρονοσήμανσης όπως το SSL.com ή μια εσωτερική υπηρεσία χρονοσήμανσης στον οργανισμό σας.
Ο διακομιστής χρονοσήμανσης του SSL.com βρίσκεται στο http://ts.ssl.com/. Από προεπιλογή, το SSL.com υποστηρίζει χρονικές σημάνσεις από κλειδιά ECDSA.Εάν αντιμετωπίσετε αυτό το σφάλμα: Το πιστοποιητικό χρονικής σήμανσης δεν πληροί μια απαίτηση ελάχιστου μήκους δημόσιου κλειδιού, μπορεί ο προμηθευτής HSM να μην επιτρέπει χρονικές σημάνσεις από κλειδιά ECDSA, εκτός εάν υποβληθεί αίτημα.
Εάν δεν υπάρχει τρόπος για τον προμηθευτή σας HSM να επιτρέψει τη χρήση του κανονικού τερματικού σημείου, μπορείτε να χρησιμοποιήσετε αυτό το τελικό σημείο παλαιού τύπου http://ts.ssl.com/legacy για να λάβετε μια χρονική σήμανση από μια μονάδα χρονοσήμανσης RSA.
- Διατήρηση πληροφοριών ανάκλησης πιστοποιητικού: Για να διατηρηθεί η εγκυρότητα των υπογραφών με την πάροδο του χρόνου, είναι σημαντικό να διατηρηθούν οι πληροφορίες ανάκλησης πιστοποιητικού. Αυτό περιλαμβάνει τις λίστες ανάκλησης πιστοποιητικών (CRL) ή τις απαντήσεις του Πρωτοκόλλου Κατάστασης Πιστοποιητικού στο Διαδίκτυο (OCSP) που χρησιμοποιούνται για την επαλήθευση του πιστοποιητικού του υπογράφοντος.
Για χρήστες γλώσσας Java, μπορείτε να ανατρέξετε στο Βιβλιοθήκη PDFBox Java που περιέχει παραδείγματα για τη δημιουργία υπογραφών LTV. Περιλαμβάνει επίσης παραδείγματα χρονικών σφραγίδων υπογραφής.
Ακολουθεί ένα παράδειγμα κώδικα σχετικά με τον τρόπο ενσωμάτωσης πληροφοριών ανάκλησης (CRL) της αλυσίδας πιστοποιητικών υπογραφής εγγράφων μέσα στο έγγραφο PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Αρχειοθέτηση υπογεγραμμένων εγγράφων: Διατηρήστε ένα ασφαλές και οργανωμένο αρχείο όλων των υπογεγραμμένων εγγράφων, συμπεριλαμβανομένων τυχόν ενδιάμεσων εκδόσεων. Αυτό διασφαλίζει ότι τα υπογεγραμμένα έγγραφα και οι σχετικές πληροφορίες επικύρωσης, όπως οι χρονικές σημάνσεις και τα δεδομένα ανάκλησης, είναι άμεσα διαθέσιμα για μακροπρόθεσμη επαλήθευση. Εφαρμόστε κατάλληλους μηχανισμούς αποθήκευσης για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση, παραβίαση ή απώλεια δεδομένων.
- Επαληθεύστε την υπογραφή: Εφαρμόστε μια διαδικασία επαλήθευσης για να διασφαλίσετε ότι η υπογραφή μπορεί να επικυρωθεί σωστά. Αυτό περιλαμβάνει τη χρήση του δημόσιου κλειδιού που σχετίζεται με το πιστοποιητικό υπογραφής για την επαλήθευση της ακεραιότητας της υπογραφής, τον έλεγχο της χρονικής σφραγίδας για εγκυρότητα και την επαλήθευση της κατάστασης ανάκλησης του πιστοποιητικού.
- Διαμορφώστε σωστά τα HSM: Βεβαιωθείτε ότι τα HSM έχουν διαμορφωθεί και συντηρούνται σωστά και συμμορφώνονται με τα βιομηχανικά πρότυπα και τις βέλτιστες πρακτικές για τη διαχείριση κλειδιών, όπως η εναλλαγή κλειδιών, οι ισχυροί έλεγχοι πρόσβασης και ο τακτικός έλεγχος.
- Παρακολούθηση και ενημέρωση των ελέγχων ασφαλείας: Παρακολουθείτε τακτικά τους ελέγχους ασφαλείας και τις διαμορφώσεις της υποδομής υπογραφής σας, συμπεριλαμβανομένων των HSM, των υπηρεσιών χρονικής σήμανσης και των συστημάτων αποθήκευσης. Μείνετε ενημερωμένοι με ενημερώσεις κώδικα ασφαλείας, ενημερώσεις υλικολογισμικού και βέλτιστες πρακτικές του κλάδου για τεχνολογίες HSM και υπογραφής εγγράφων.
Για αυτοδιαχειριζόμενες λύσεις υπογραφής εγγράφων HSM, επικοινωνήστε sales@ssl.com.
Για έναν οδηγό σχετικά με τα HSM cloud που υποστηρίζονται από το SSL.com, επισκεφτείτε αυτό το άρθρο: Υποστηριζόμενα Cloud HSM για υπογραφή εγγράφων και υπογραφή κώδικα EV.
Μάθετε περισσότερα για τα Cloud HSM που υποστηρίζονται από το SSL.com
Φόρμα αίτησης υπηρεσίας Cloud HSM
Εάν θέλετε να παραγγείλετε ψηφιακά πιστοποιητικά για εγκατάσταση σε μια υποστηριζόμενη πλατφόρμα cloud HSM (AWS CloudHSM ή Azure Dedicated HSM), συμπληρώστε και υποβάλετε την παρακάτω φόρμα. Αφού λάβουμε το αίτημά σας, ένα μέλος του προσωπικού του SSL.com θα επικοινωνήσει μαζί σας για περισσότερες λεπτομέρειες σχετικά με τη διαδικασία παραγγελίας και βεβαίωσης.
