Varmenteen myöntäjän turvallisuuden parhaiden käytäntöjen opas merkkijälleenmyyjille: kattavat suojaustoimenpiteet

esittely

Johtavana varmentajana (CA) ja luottamuspalveluyrityksenä asetamme etusijalle digitaalisten sertifikaattiemme turvallisuuden ja luotettavuuden sekä henkilöllisyyden vahvistusmenettelyjemme. Tämä opas on keskittynyt merkkijälleenmyyjäkumppaneihimme, joilla on alisteiset varmenneviranomaiset ketjutettuna SSL.comin luotettuun juureen (jota kutsutaan "aliCA:iksi") ja jotka ovat vastuussa validointitodistusten keräämisestä, lähettämisestä rekisteröintiviranomaisportaaliimme ja helpottaa varmenteiden myöntämistä. SSL.comin hallinnoimien kumppanien alivarmentajien varmenteita. Tämän oppaan tarkoituksena on varmistaa validointitodistusten toimitusprosessin ja varmenteen elinkaaren eheys ja turvallisuus, sillä jälleenmyyjillä ei ole suoraa pääsyä juurimateriaaliin ja he voivat olla vuorovaikutuksessa varmenteen elinkaaren toimintojen kanssa vain määritetyn API:n tai tilin kautta. SSL.comin hallinnoima rekisteröintiviranomaisen (RA) portaali.

---

Turvallinen validointitodistusten kokoelma laajennetun, organisaation ja yksittäisen validoinnin tyypeille

• Tietojen minimointi: Kerää vain tarvittavat validointitodisteet, joita tarvitaan varmenteen myöntämisprosessissa. Vältä keräämästä ylimääräisiä tai arkaluonteisia tietoja.
• Suojatut keräysmenetelmät: Käytä suojattuja kanavia, kuten salattuja lomakkeita tai portaaleja, kun keräät validointitodisteita loppukäyttäjiltä.
• Kulunvalvonta: Ota käyttöön tiukat pääsynvalvontatoimenpiteet validointitodisteiden keräämiseksi. Vain valtuutetulla henkilökunnalla pitäisi olla pääsy, ja monivaiheisen todennuksen tulisi olla pakollista.
• Tietojen eheys: Varmista, että validointitodistus säilyy muuttumattomana keräysprosessin aikana.
• Domain Control Validation: Hyödynnä SSL.comin tiukasti tarjoamia toimialueen hallinnan validointipalveluita ja menetelmiä.

---

Vahvistustodistusten turvallinen toimittaminen päävarmentajalle

• API-suojaus: Käytä aina määritettyä API:ta validointitodistusten toimittamiseen. Varmista, että API-kutsut tehdään suojattujen kanavien, kuten HTTPS:n, kautta.
• Portaalin lataukset: Toinen turvallinen tapa toimittaa todisteita on ladata todisteet suoraan siihen liittyvään järjestykseen, jonka näet SSL.com-tililläsi. varmista, että lataat vain tiettyyn tilaukseen liittyviä todisteita.
• Säännölliset tarkastukset: Suorita lähetyslokien säännöllisiä tarkastuksia varmistaaksesi, ettei luvatta lähetetä.
• Tapahtumavastaus: Laadi selkeä suunnitelma häiriötilanteiden hallintaan mahdollisia eroavaisuuksia tai rikkomuksia varten lähetysprosessissa. Ilmoittaa juuri CA us heti jos sääntöjenvastaisuuksia havaitaan.

---

Parhaat käytännöt Certificate Lifecycle Operations -sovellusliittymän käyttöön

• API-avainten hallinta: Suojaa API-avaimesi. Säilytä ne turvallisesti, kierrä niitä säännöllisesti äläkä koskaan paljasta niitä asiakaspuolen koodissa tai julkisissa arkistoissa.
• Hintarajoitus: Ota huomioon kaikki API:lle asetetut nopeusrajoitukset, jotta vältyt tahattomilta palvelukatkoilta.
• Valvonta ja kirjaaminen: Seuraa kaikkia API-toimintoja. Säilytä yksityiskohtaisia ​​lokeja ja tarkista ne säännöllisesti epäilyttävän tai luvattoman toiminnan varalta.
• Virheiden käsittely: Ota käyttöön vahvat virheenkäsittelymekanismit. Jos API-vastauksissa ilmenee virheitä tai ristiriitaisuuksia, käytä selkeää menettelyä niiden korjaamiseksi.

Turvallisen verkkosivuston ylläpito

• asianmukainen TLS Palvelimen kokoonpano: Varmista, että palvelin tukee vain vahvoja kryptografisia salauksia ja protokollia. Päivitä ja korjaa palvelin säännöllisesti estääksesi tunnetut haavoittuvuudet.
• Käyttöjärjestelmän karkaisu: Minimoi palvelimella käytettävien palveluiden määrä, asenna tietoturvakorjaukset nopeasti ja käytä suojausmäärityksiä vähentääksesi hyökkäyspintaa.
• Verkkosivustojen yleiset haavoittuvuudet: Etsi ja korjaa säännöllisesti haavoittuvuuksia, kuten SQL-injektio, Cross-Site Scripting (XSS) ja Cross-Site Request Forgery (CSRF).
• Säilytä salasanan oikea kunto: Varmista, että salasanat ovat monimutkaisia ​​ja sisältävät isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Kannusta niitä, joilla on pääsy palvelimiin tai CRM:ään, päivittämään salasanansa säännöllisesti ja välttämään muiden sivustojen salasanojen uudelleenkäyttöä. Ota käyttöön monitekijätodennus (MFA) tai käytä clientAuth-varmenteita.

---

CA/B Forum -verkko- ja varmennejärjestelmien suojausvaatimukset

• Neljännesvuosittaiset haavoittuvuustarkistukset: Suorita säännölliset haavoittuvuustarkistukset neljännesvuosittain mahdollisten tietoturvaongelmien tunnistamiseksi ja korjaamiseksi.
• Vuosittainen tunkeutumistesti: Osallistu vuotuiseen levinneisyystestaukseen simuloidaksesi mahdollisia hyökkäyksiä ja tunnistaaksesi järjestelmän heikkoja kohtia.
• Mainosta turvallisuusvaatimukset: Korosta CA/B-foorumin verkko- ja varmennejärjestelmien suojausvaatimusten noudattamisen tärkeyttä luottamuksen ja turvallisuuden ylläpitämiseksi.

Loppukäyttäjien parhaiden käytäntöjen mainostaminen yksityisten avainten luomisen, tallennuksen ja CSRs

• Opi avainten luomiseen: Ohjaa loppukäyttäjiä käyttämään CA-tarkastettuja työkaluja avainten ja avainten luomiseen CSRs. Tämä takaa yhteensopivuuden ja turvallisuuden.
• Avaimen pituus ja algoritmi: Neuvo käyttäjiä käyttämään vahvoja salausalgoritmeja ja asianmukaisia ​​avainten pituuksia (esim. RSA 2048-bittinen tai uudempi).
• Kulunvalvonta ja monivaiheinen todennus: Ota käyttöön tiukat käyttöoikeudet ja edistä monitekijätodennuksen käyttöä erityisesti toimissa, jotka käynnistävät CA API -vuorovaikutuksia, kuten varmenteen uudelleenavaimen, uusimisen ja peruutuksen.

---

Yksityisten avainten turvallinen säilytys

• Jatkuva avainten kierto: Avainten säännöllinen kierto minimoi paljastettavan tiedon määrän, jos avain vaarantuu, ja lyhentää aikaa, joka hyökkääjältä kuluu avaimen murtamiseen.
• Salattu tallennus ja varmuuskopiointi: Rohkaise yksityisten avainten salattuja varmuuskopioita, jotka on tallennettu turvallisesti ja erikseen.
• Peruuttaminen ja avaimen tuhoaminen: Kannustaa käyttäjiäsi käytäntöihin, jotka mahdollistavat nopean ja tehokkaan peruutuksen, jos avain vaarantuu tai sitä ei enää tarvita. Avainta ei tule käyttää salaustoimintoihin sen peruutuksen jälkeen, ja se tulee tuhota.
• Avainhierarkian käyttöönotto: Tämä rakenne luo salausavaimia, joilla kullakin on eri käyttö- ja hallintatasot. Pääavainta, joka on tämän hierarkian keskipiste ja on erittäin turvallinen, käytetään salaamaan lisäavaimia, joita kutsutaan usein "alaisiksi" tai "datasalauksiksi".
• Katastrofireagointistrategia: Kehitä määritellyt toimenpiteet, joihin on ryhdyttävä, sekä vastuulliset osapuolet merkittävän avainkompromissin tai avaimen katoamisen tapauksessa.

Luottamus CA:ta ja merkkijälleenmyyjiämme kohtaan on ensiarvoisen tärkeää. Noudattamalla näitä kattavia parhaita käytäntöjä voimme varmistaa varmenteiden myöntämisprosessin turvallisuuden ja eheyden, suojata käyttäjätietoja ja ylläpitää loppukäyttäjiemme luottamuksen. Kannustamme kaikkia jälleenmyyjiämme ottamaan nämä käytännöt ahkerasti käyttöön ja ottamaan meihin yhteyttä saadaksesi lisäohjeita tai selvennyksiä.