Guía de mejores prácticas de seguridad de autoridades certificadoras para revendedores de marca: medidas de seguridad integrales

Ver todas las guías

Introducción

Como autoridad certificadora (CA) líder y empresa de servicios fiduciarios, priorizamos la seguridad y confiabilidad de nuestros certificados digitales y nuestros procedimientos de validación de identidad. Esta guía se centra en nuestros socios revendedores de marca que poseen autoridades de certificación subordinadas encadenadas a la raíz confiable de SSL.com (denominadas "subCA") y son responsables de recopilar evidencia de validación, enviarla a nuestro portal de autoridad de registro y facilitar la emisión de certificados de las subCA de marca asociada administradas por SSL.com. El propósito de esta guía es garantizar la integridad y seguridad del proceso de envío de evidencia de validación y el ciclo de vida del certificado, ya que los revendedores no tienen acceso directo al material raíz y solo pueden interactuar con las operaciones del ciclo de vida del certificado a través de una API designada o mediante una cuenta en el portal de la autoridad de registro (RA) administrado por SSL.com.

Recopilación segura de evidencia de validación para los tipos de validación extendida, organizacional e individual

  • Minimización de datos: Recopile únicamente la evidencia de validación necesaria para el proceso de emisión del certificado. Evite recopilar información superflua o sensible.
  • Métodos de recolección segura: Utilice canales seguros, como formularios o portales cifrados, al recopilar pruebas de validación de los usuarios finales.
  • Control de acceso: Implemente estrictos controles de acceso para recopilar evidencia de validación. Sólo el personal autorizado debería tener acceso y la autenticación multifactor debería ser obligatoria.
  • Integridad de los datos: Asegúrese de que la evidencia de validación permanezca inalterada durante el proceso de recolección.
  • Validación del control de dominio: Utilice servicios y métodos de validación de control de dominio estrictamente proporcionados por SSL.com.

Envío seguro de evidencia de validación a la CA raíz

  • Seguridad API: Utilice siempre la API designada para enviar pruebas de validación. Asegúrese de que las llamadas API se realicen a través de canales seguros, como HTTPS.
  • Cargas del portal: Otro método seguro de envío de pruebas es cargar pruebas directamente en el pedido relacionado que verá en su cuenta SSL.com; asegúrese de cargar solo pruebas relacionadas con el pedido específico.
  • Auditorías periódicas: Realice auditorías periódicas de los registros de envío para garantizar que no se realicen envíos no autorizados.
  • Respuesta al incidente: Tenga un plan claro de respuesta a incidentes para cualquier discrepancia o incumplimiento en el proceso de envío. Notificar la CA raíz us inmediatamente si se detecta alguna irregularidad.

Mejores prácticas para utilizar la API de operaciones del ciclo de vida de certificados

  • Gestión de claves API: Proteja sus claves API. Guárdelos de forma segura, rótelos periódicamente y nunca los exponga en el código del lado del cliente o en repositorios públicos.
  • Limitación de velocidad: Tenga en cuenta los límites de velocidad impuestos a la API para evitar interrupciones involuntarias del servicio.
  • Monitoreo y registro: Supervise todas las actividades de la API. Mantenga registros detallados y revíselos periódicamente para detectar actividades sospechosas o no autorizadas.
  • Manejo de errores: Implementar mecanismos robustos de manejo de errores. En caso de fallas o discrepancias en las respuestas de la API, tenga un procedimiento claro para abordarlas.

Mantener un sitio web seguro

  • Apropiado TLS Configuración del servidor: Asegúrese de que el servidor solo admita cifrados y protocolos criptográficos sólidos. Actualice y parchee periódicamente el servidor para evitar vulnerabilidades conocidas.
  • Endurecimiento del sistema operativo: Minimice la cantidad de servicios que se ejecutan en el servidor, aplique parches de seguridad con prontitud y utilice configuraciones de seguridad para reducir la superficie de ataque.
  • Vulnerabilidades comunes de los sitios web: Escanee y solucione periódicamente vulnerabilidades como inyección SQL, secuencias de comandos entre sitios (XSS) y falsificación de solicitudes entre sitios (CSRF).
  • Mantenga la salud adecuada de la contraseña: Asegúrese de que las contraseñas sean complejas e incorporen una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Anime a quienes tienen acceso a sus servidores o CRM a actualizar sus contraseñas periódicamente y evitar reutilizar contraseñas de otros sitios. Implemente la autenticación multifactor (MFA) o utilice certificados clientAuth.

Requisitos de seguridad de los sistemas de certificados y redes del foro CA/B

  • Escaneos de vulnerabilidad trimestrales: Realice análisis periódicos de vulnerabilidades cada trimestre para identificar y rectificar posibles problemas de seguridad.
  • Pruebas de penetración anuales: Participar en pruebas de penetración anuales para simular ataques potenciales e identificar puntos débiles en el sistema.
  • Promover requisitos de seguridad: Enfatice la importancia de cumplir con los requisitos de seguridad de los sistemas de certificados y redes del Foro CA/B para mantener la confianza y la seguridad.

Promoción de las mejores prácticas para el usuario final con generación, almacenamiento y almacenamiento de claves privadas. CSRs

  • Educar sobre la generación de claves: Guiar a los usuarios finales para que utilicen herramientas aprobadas por CA para generar claves y CSRs. Esto garantiza la compatibilidad y la seguridad.
  • Longitud de clave y algoritmo: Aconseje a los usuarios finales que utilicen algoritmos criptográficos sólidos y longitudes de clave adecuadas (por ejemplo, RSA de 2048 bits o superior).
  • Control de acceso y autenticación multifactor: Implemente controles de acceso estrictos y promueva el uso de la autenticación multifactor, especialmente para acciones que desencadenan interacciones de la API de CA, como la recodificación, renovación y revocación de certificados.

Almacenamiento seguro de claves privadas

  • Rotación continua de claves: La rotación de claves de forma regular minimiza la cantidad de datos expuestos si una clave se ve comprometida y acorta el tiempo que le toma a un atacante descifrar una clave.
  • Almacenamiento cifrado y copia de seguridad: Fomentar copias de seguridad cifradas de claves privadas, almacenadas de forma segura y por separado.
  • Revocación y destrucción de claves: Fomente políticas en sus usuarios finales que permitan una revocación rápida y eficiente si una clave se ve comprometida o ya no es necesaria. La clave no debe utilizarse para ninguna operación criptográfica después de haber sido revocada y debe destruirse.
  • Establecer una jerarquía clave: Esta estructura crea capas de claves criptográficas, cada una con diferentes niveles de acceso y control. La clave maestra, que está en el centro de esta jerarquía y es extremadamente segura, se utiliza para cifrar claves adicionales, a las que con frecuencia se hace referencia como “subordinadas” o “cifrado de datos”.
  • Tener una estrategia de respuesta a desastres: Desarrollar acciones definidas que deben tomarse, así como partes responsables en caso de un compromiso clave importante o una pérdida clave.
La confianza en nuestra CA y nuestros revendedores de marca es primordial. Al adherirnos a estas mejores prácticas integrales, podemos garantizar la seguridad y la integridad del proceso de emisión de certificados, proteger los datos de los usuarios y mantener la confianza de nuestros usuarios finales. Alentamos a todos nuestros revendedores a implementar estas prácticas con diligencia y comunicarse con nosotros para obtener más orientación o aclaración.
Twitter
Facebook
Etiqueta LinkedIn
Reddit
Correo electrónico

Equipo de soporte de SSL

Todos los mensajes "

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.

Tomar encuesta