Εισαγωγή
Ως κορυφαία Αρχή Πιστοποιητικών (CA) και εταιρεία υπηρεσιών εμπιστοσύνης, δίνουμε προτεραιότητα στην ασφάλεια και την αξιοπιστία των ψηφιακών πιστοποιητικών μας και των διαδικασιών επικύρωσης της ταυτότητάς μας. Αυτός ο οδηγός επικεντρώνεται στους επώνυμους συνεργάτες μας μεταπωλητών που κατέχουν δευτερεύουσες αρχές πιστοποιητικών αλυσοδεμένες στην αξιόπιστη ρίζα του SSL.com (αναφέρεται ως "subCAs") και είναι υπεύθυνοι για τη συλλογή αποδεικτικών στοιχείων επικύρωσης, την υποβολή τους στην πύλη της αρχής εγγραφής και τη διευκόλυνση της έκδοσης πιστοποιητικά από τα δευτερεύοντα CA με επωνυμία συνεργάτη που διαχειρίζεται η SSL.com. Ο σκοπός αυτού του οδηγού είναι να διασφαλίσει την ακεραιότητα και την ασφάλεια της διαδικασίας υποβολής αποδεικτικών στοιχείων επικύρωσης και του κύκλου ζωής του πιστοποιητικού, διότι οι μεταπωλητές δεν έχουν άμεση πρόσβαση στο βασικό υλικό και μπορούν να αλληλεπιδράσουν με λειτουργίες κύκλου ζωής πιστοποιητικού μόνο μέσω ενός καθορισμένου API ή μέσω ενός λογαριασμού στο την πύλη της αρχής εγγραφής (RA) που διαχειρίζεται η SSL.com.
Ασφαλής συλλογή αποδεικτικών στοιχείων επικύρωσης για εκτεταμένους, οργανισμούς και μεμονωμένους τύπους επικύρωσης
-
Ελαχιστοποίηση δεδομένων: Συλλέξτε μόνο τα απαραίτητα αποδεικτικά επικύρωσης που απαιτούνται για τη διαδικασία έκδοσης πιστοποιητικού. Αποφύγετε τη συλλογή ξένων ή ευαίσθητων πληροφοριών.
-
Μέθοδοι ασφαλούς συλλογής: Χρησιμοποιήστε ασφαλή κανάλια, όπως κρυπτογραφημένες φόρμες ή πύλες, όταν συλλέγετε αποδεικτικά στοιχεία επικύρωσης από τελικούς χρήστες.
-
Έλεγχος πρόσβασης: Εφαρμόστε αυστηρούς ελέγχους πρόσβασης για τη συλλογή αποδεικτικών στοιχείων επικύρωσης. Μόνο εξουσιοδοτημένο προσωπικό θα πρέπει να έχει πρόσβαση και ο έλεγχος ταυτότητας πολλαπλών παραγόντων θα πρέπει να είναι υποχρεωτικός.
-
Ακεραιότητα δεδομένων: Βεβαιωθείτε ότι τα στοιχεία επικύρωσης παραμένουν αναλλοίωτα κατά τη διαδικασία συλλογής.
-
Επικύρωση ελέγχου τομέα: Χρησιμοποιήστε υπηρεσίες και μεθόδους επικύρωσης ελέγχου τομέα που παρέχονται αυστηρά από το SSL.com.
Ασφαλής υποβολή τεκμηρίων επικύρωσης στο Root CA
-
Ασφάλεια API: Χρησιμοποιείτε πάντα το καθορισμένο API για την υποβολή αποδεικτικών στοιχείων επικύρωσης. Βεβαιωθείτε ότι οι κλήσεις API πραγματοποιούνται μέσω ασφαλών καναλιών, όπως το HTTPS.
-
Μεταφορτώσεις πύλης: Μια άλλη ασφαλής μέθοδος υποβολής αποδεικτικών στοιχείων είναι να ανεβάσετε αποδεικτικά στοιχεία απευθείας στη σχετική παραγγελία που θα βλέπατε στον λογαριασμό σας SSL.com. βεβαιωθείτε ότι ανεβάζετε μόνο αποδεικτικά στοιχεία που σχετίζονται με τη συγκεκριμένη παραγγελία.
-
Τακτικοί έλεγχοι: Διεξάγετε τακτικούς ελέγχους των αρχείων καταγραφής υποβολής για να βεβαιωθείτε ότι δεν γίνονται μη εξουσιοδοτημένες υποβολές.
-
Απάντηση σε περιστατικά: Έχετε ένα σαφές σχέδιο αντιμετώπισης περιστατικών για τυχόν αποκλίσεις ή παραβιάσεις στη διαδικασία υποβολής. Κοινοποιώ η ρίζα CA εάν εντοπιστούν παρατυπίες.
Βέλτιστες πρακτικές για τη χρήση του API λειτουργιών κύκλου ζωής πιστοποιητικού
-
Διαχείριση κλειδιών API: Προστατέψτε τα κλειδιά API σας. Αποθηκεύστε τα με ασφάλεια, περιστρέψτε τα περιοδικά και μην τα εκθέτετε ποτέ σε κώδικα από την πλευρά του πελάτη ή δημόσια αποθετήρια.
-
Περιορισμός ποσοστού: Λάβετε υπόψη τυχόν όρια χρεώσεων που επιβάλλονται στο API για να αποφύγετε ακούσιες διακοπές της υπηρεσίας.
-
Παρακολούθηση και καταγραφή: Παρακολούθηση όλων των δραστηριοτήτων API. Διατηρείτε λεπτομερή αρχεία καταγραφής και τα εξετάζετε τακτικά για τυχόν ύποπτες ή μη εξουσιοδοτημένες δραστηριότητες.
-
Χειρισμός σφαλμάτων: Εφαρμογή ισχυρών μηχανισμών διαχείρισης σφαλμάτων. Σε περίπτωση τυχόν αποτυχιών ή ασυμφωνιών στις απαντήσεις του API, έχετε μια σαφή διαδικασία για την αντιμετώπισή τους.
Διατήρηση Ασφαλούς Ιστοσελίδας
-
Μαγική TLS Διαμόρφωση διακομιστή: Βεβαιωθείτε ότι ο διακομιστής υποστηρίζει μόνο ισχυρούς κρυπτογραφικούς κωδικούς και πρωτόκολλα. Να ενημερώνετε και να επιδιορθώνετε τακτικά τον διακομιστή για να αποτρέψετε γνωστά τρωτά σημεία.
-
Σκλήρυνση λειτουργικού συστήματος: Ελαχιστοποιήστε τον αριθμό των υπηρεσιών που εκτελούνται στον διακομιστή, εφαρμόστε εγκαίρως ενημερώσεις κώδικα ασφαλείας και χρησιμοποιήστε διαμορφώσεις ασφαλείας για να μειώσετε την επιφάνεια επίθεσης.
-
Κοινά τρωτά σημεία ιστότοπου: Να σαρώνετε τακτικά και να αντιμετωπίζετε ευπάθειες όπως η ένεση SQL, η δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) και η πλαστογράφηση αιτημάτων μεταξύ τοποθεσιών (CSRΦΑ).
-
Διατηρήστε τη σωστή υγεία κωδικού πρόσβασης: Βεβαιωθείτε ότι οι κωδικοί πρόσβασης είναι πολύπλοκοι, ενσωματώνοντας ένα συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και ειδικών χαρακτήρων. Ενθαρρύνετε όσους έχουν πρόσβαση στους διακομιστές σας ή στο CRM να ενημερώνουν τακτικά τους κωδικούς πρόσβασής τους και να αποφεύγουν την επαναχρησιμοποίηση κωδικών πρόσβασης από άλλους ιστότοπους. Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) ή χρησιμοποιήστε πιστοποιητικά clientAuth.
Απαιτήσεις ασφάλειας δικτύου και συστημάτων πιστοποιητικών CA/B Forum
-
Τριμηνιαίες σαρώσεις ευπάθειας: Διεξάγετε τακτικές σαρώσεις ευπάθειας κάθε τρίμηνο για να εντοπίσετε και να διορθώσετε πιθανά ζητήματα ασφάλειας.
-
Ετήσια δοκιμή διείσδυσης: Συμμετέχετε σε ετήσιες δοκιμές διείσδυσης για την προσομοίωση πιθανών επιθέσεων και τον εντοπισμό αδύνατων σημείων στο σύστημα.
-
Προωθήστε τις απαιτήσεις ασφαλείας: Τονίστε τη σημασία της τήρησης των Απαιτήσεων Ασφαλείας Δικτύου Φόρουμ CA/B και Συστημάτων Πιστοποιητικών για τη διατήρηση της εμπιστοσύνης και της ασφάλειας.
Προώθηση βέλτιστων πρακτικών τελικού χρήστη με τη δημιουργία ιδιωτικού κλειδιού, την αποθήκευση και CSRs
-
Εκπαιδεύστε για τη Γενιά Βασικών: Καθοδηγήστε τους τελικούς χρήστες να χρησιμοποιούν εργαλεία που έχουν ελεγχθεί από την CA για τη δημιουργία κλειδιών και CSRμικρό. Αυτό εξασφαλίζει συμβατότητα και ασφάλεια.
-
Μήκος κλειδιού και αλγόριθμος: Συμβουλέψτε τους τελικούς χρήστες να χρησιμοποιούν ισχυρούς κρυπτογραφικούς αλγόριθμους και κατάλληλα μήκη κλειδιών (π.χ. RSA 2048-bit ή υψηλότερο).
-
Έλεγχος πρόσβασης και έλεγχος ταυτότητας πολλαπλών παραγόντων: Εφαρμόστε αυστηρούς ελέγχους πρόσβασης και προωθήστε τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων, ειδικά για ενέργειες που ενεργοποιούν αλληλεπιδράσεις API CA, όπως επαναφορά κλειδιού πιστοποιητικού, ανανέωση και ανάκληση.
Ασφαλής αποθήκευση ιδιωτικών κλειδιών
-
Συνεχής περιστροφή κλειδιού: Η εναλλαγή κλειδιού σε τακτική βάση ελαχιστοποιεί την ποσότητα των δεδομένων που εκτίθενται σε περίπτωση παραβίασης ενός κλειδιού και μειώνει τον χρόνο που χρειάζεται ένας εισβολέας για να σπάσει ένα κλειδί.
-
Κρυπτογραφημένος χώρος αποθήκευσης και δημιουργία αντιγράφων ασφαλείας: Ενθαρρύνετε τα κρυπτογραφημένα αντίγραφα ασφαλείας των ιδιωτικών κλειδιών, αποθηκευμένα με ασφάλεια και χωριστά.
-
Ανάκληση και καταστροφή κλειδιού: Ενθαρρύνετε πολιτικές στους τελικούς χρήστες σας που επιτρέπουν την άμεση και αποτελεσματική ανάκληση εάν ένα κλειδί έχει παραβιαστεί ή δεν χρειάζεται πλέον. Το κλειδί δεν θα πρέπει να χρησιμοποιείται για κρυπτογραφικές λειτουργίες μετά την ανάκληση και θα πρέπει να καταστραφεί.
-
Θέτοντας μια βασική ιεραρχία: Αυτή η δομή δημιουργεί στρώματα κρυπτογραφικών κλειδιών, το καθένα με διαφορετικά επίπεδα πρόσβασης και ελέγχου. Το κύριο κλειδί, το οποίο βρίσκεται στο κέντρο αυτής της ιεραρχίας και είναι εξαιρετικά ασφαλές, χρησιμοποιείται για την κρυπτογράφηση πρόσθετων κλειδιών, τα οποία συχνά αναφέρονται ως "υπόστατα" ή "κρυπτογράφηση δεδομένων".
-
Έχοντας μια στρατηγική αντιμετώπισης καταστροφών: Αναπτύξτε καθορισμένες ενέργειες που πρέπει να γίνουν καθώς και υπεύθυνους σε περίπτωση σημαντικού συμβιβασμού ή απώλειας κλειδιού.
Η εμπιστοσύνη στην ΑΠ μας και στους επώνυμους μεταπωλητές μας είναι πρωταρχικής σημασίας. Τηρώντας αυτές τις ολοκληρωμένες βέλτιστες πρακτικές, μπορούμε να διασφαλίσουμε την ασφάλεια και την ακεραιότητα της διαδικασίας έκδοσης πιστοποιητικού, να προστατεύσουμε τα δεδομένα των χρηστών και να διατηρήσουμε την εμπιστοσύνη των τελικών χρηστών μας. Ενθαρρύνουμε όλους τους μεταπωλητές μας να εφαρμόζουν επιμελώς αυτές τις πρακτικές και να επικοινωνούν μαζί μας για οποιαδήποτε περαιτέρω καθοδήγηση ή διευκρίνιση.