Leçons apprises, implications en matière de sécurité et bonnes pratiques pour les sous-autorités de marque

Les propriétaires d’autorités de certification de confiance publique (PT-CA) sont essentiels au fonctionnement sécurisé d’Internet. Ils sont chargés par le grand public, le public mondial et les principaux fournisseurs de navigateurs de fournir l'infrastructure à clé publique essentielle (PKI) nécessaires pour établir la confiance, sécuriser les communications et faciliter les transactions en ligne sécurisées. Pour maintenir leur fiabilité, les CA de confiance du public doivent investir des ressources importantes dans la sécurité de leurs opérations et le respect des normes les plus récentes, et ils sont soumis à des audits et à une supervision indépendants rigoureux.

Les PT-CA, en tant qu'entreprises, ont un intérêt légitime à créer un réseau de revendeurs de confiance pour distribuer leurs produits et étendre leur présence sur le marché. Puisqu'ils agissent comme des « ancres de confiance », ils reçoivent souvent des demandes de parties intéressées qui souhaiteraient inclure la fourniture de certificats de confiance publique dans leurs offres, parfois sous leur propre nom ; celles-ci sont appelées sous-CA « en marque blanche » ou « de marque ».

De nombreux membres de la communauté PT-CA, revendeurs et abonnés trouvent les sous-CA de marque utiles pour contribuer à bâtir une réputation sans avoir à investir dans une infrastructure de CA entièrement dédiée, et la plupart des clients revendeurs gèrent de manière responsable le privilège d'avoir leur propre marque au sein d'une sous-CA. Malheureusement, il existe des cas où de mauvaises pratiques de sécurité ou des abus, intentionnels ou non, peuvent survenir.

Ce livre blanc analyse les risques de sécurité liés aux revendeurs subCA de marque et suggère de bonnes pratiques basées sur l'expérience recueillie grâce à notre enquête et les leçons tirées de l'analyse de cas récents dans le secteur. Nos conclusions devraient être utiles aux décideurs politiques (Forum CA/B, propriétaires de magasins racine), aux PT-CA qui sont en fin de compte responsables de la fiabilité de leurs services, et à toute autre partie intéressée.

Sondage

Une enquête a été menée par SSL.com au cours du second semestre 2023 pour recueillir les informations de la communauté qui seraient utiles pour ce rapport. Notre enquête comprenait des questions qui couvraient les aspects suivants :

  1. Popularité du modèle subCA de marque
  2. Étendue du changement de marque : répondeurs CRL/OCSP de marque, portails utilisateur, noms de produits personnalisés
  3. Processus de sélection/vérification des clients subCA de marque
  4. Utilisation de leur propre portail utilisateur
  5. Audit et inspection de ces portails
  6. Leçons apprises basées sur l'expérience avec les clients de marque subCA
  7. Défis techniques liés à la génération, au contrôle ou à la révocation des sous-CA de marque

L'enquête a été adressée à 9 PT-CA qui, sur la base de l'analyse des données du CCADB, semblent avoir le plus d'expérience avec le modèle de sous-CA de marque.

Résultats du sondage

Nous avons reçu des réponses de 5 des 9 PT-CA et nous avons effectué un suivi pour obtenir des éclaircissements. Les réponses ont été analysées pour identifier les points communs et les différences dans le modèle de sous-CA de marque et les pratiques pertinentes, telles qu'appliquées par le secteur de l'AC.

Points saillants des résultats de l’enquête :

  1. Plusieurs termes synonymes sont utilisés dans l'industrie pour ce modèle de sous-CA ou des modèles similaires : marqué, en marque blanche, dévoué, vanité.

  2. 4 des 5 AC participantes ont confirmé que les sous-CA de marque font partie de leurs offres. Le produit s'adresse à des clients sélectionnés, tels que les fournisseurs d'hébergement et les grands revendeurs. Elle est également applicable dans le cas de grands comptes qui ont besoin de certificats pour leur propre usage ; par exemple, un CA a déclaré appliquer le modèle aux établissements universitaires et de recherche.

  3. La stratégie de marque inclut généralement la délivrance de certificats sous-CA comportant le nom du client/revendeur dans le champ subjectDN. La personnalisation étendue peut également inclure des URL de répondeur CRL/OCSP de marque et des micro-portails de marque pour les petits clients/revendeurs qui ne disposent pas de leurs propres portails RA.

  4. Le processus de sélection des SubCA repose principalement sur des critères commerciaux, tels que le type d'activité, le nombre prévu de certificats et l'utilisation prévue. Certaines PT-CA ont indiqué qu'elles pourraient suggérer ou décider elles-mêmes de créer des sous-CA dédiées, portant ou non une marque, pour les distinguer de leurs AC émettrices à usage général lorsqu'elles servent des clients ou des projets importants, afin d'isoler l'impact/les risques en cas de problème. d'un incident (par exemple compromission, défaut de conformité ou autre) qui nécessite une révocation.

  5. Le contrôle implique généralement les activités de validation suivantes :

    un. vérification du nom, de l'adresse et de l'existence de l'organisation (similaire à un processus OV ou EV) ; et

    b. vérification de l’autorisation de la demande.

  6. L'une des PT-CA participantes a indiqué qu'avant de signer un contrat, une consultation interne avait lieu avec l'équipe de conformité pour vérifier la réputation du demandeur de sous-CA de marque. Cela inclut la recherche dans les ressources publiques de rapports faisant état d’une implication dans des activités de falsification de données ou de blanchiment d’argent. CCADB et Bugzilla sont des sources d'informations supplémentaires lorsqu'un candidat est déjà lui-même un PT-CA.

  7. Aucun n’a déclaré avoir refusé un client subCA de marque pour des raisons autres que commerciales/financières.

  8. Presque toutes les PT-CA ont indiqué que la plupart des sous-CA de marque disposent de leur propre portail utilisateur ; une PT-CA l'a quantifié à 80 % de son nombre total de partenaires sous-CA de marque. À titre d’exception, une PT-AC n’avait connaissance d’aucun de ses clients de sous-CA de marque utilisant son propre portail utilisateur.

  9. Aucune PT-CA n'a déclaré avoir audité ou autrement inspecté le portail utilisateur tiers de sa sous-CA de marque (sauf si la sous-CA de marque est également une PT-CA, ce qui signifie que ses portails utilisateur sont de toute façon soumis à un audit).

  10. Un PT-AC a rapporté les leçons apprises suivantes :

    un. Le nombre de certificats délivrés doit être suffisamment important pour justifier le maintien d’une sous-AC de marque.

    b. Il vaut la peine de vérifier leur expérience dans l’industrie avant de procéder au contrat.

    c. Il convient également de veiller à la durée appropriée du contrat.

  11. Quelques PT-CA ont indiqué qu'elles ne voyaient pas de difficultés techniques particulières liées à la génération, au contrôle ou à la révocation des sous-CA de marque.

Revendeurs à valeur ajoutée

Selon les résultats de l'enquête et les informations que nous avons recueillies lors de notre propre enquête, presque toutes les PT-CA proposent des programmes de revendeurs ; des entreprises ou des particuliers qui bénéficient de remises en gros et revendent des produits CA avec une marge (revendeurs simples) aux entités qui intègrent des produits CA à leurs propres offres ou fournissent des services à valeur ajoutée au profit de leurs clients. Les premiers (« revendeurs ordinaires ») ne sont impliqués dans aucune partie du service autre que la vente elle-même, c'est pourquoi ils sont considérés comme hors du champ d'application du présent document.

D’un autre côté, les revendeurs à valeur ajoutée (VAR) peuvent avoir une implication faible ou significative dans la facilitation du processus de cycle de vie des clés/certificats. Étant donné que cela a des implications en matière de sécurité et de conformité, ce document se concentre sur les VAR et considère les risques (et les avantages) inhérents.

Notre recherche a révélé qu'il existe différents types/pratiques pour les VAR dans l'industrie, en fonction de leur implication dans les processus du cycle de vie des clés/certificats, de l'utilisation du portail du PT-CA ou de leur propre portail/systèmes, de l'utilisation de sous-CA délivrées avec le nom de la PT-CA/Root CA ou des sous-CA de marque.

Les cas les plus courants que nous avons identifiés sont les suivants :

  • VAR qui utilisent les systèmes des PT-CA/Root CA: Ils assistent généralement les entités possédant/contrôlent les noms de domaine en utilisant le portail de l'autorité d'enregistrement de l'AC ; leur assistance se concentre généralement sur l'enregistrement et la gestion des certificats au nom de ces propriétaires de domaine.
  • VAR avec portails d'autorités d'enregistrement indépendants : Ils disposent généralement de leur propre portail pour enregistrer les utilisateurs indépendamment de l'autorité de certification et utilisent l'API de l'autorité de certification dans le backend pour effectuer les activités du cycle de vie des certificats.
    • Les activités de validation de domaine sont généralement effectuées par l'autorité de certification. Par exemple, si un message électronique avec une valeur aléatoire doit être envoyé au demandeur pour prouver le contrôle d'un nom de domaine, il est envoyé directement depuis les systèmes du PT-CA, et non depuis ceux du revendeur.

    • Selon la section 6.1.1.3 des BR, les PT-CA ne sont pas autorisés à générer des paires de clés au nom des abonnés. Certains abonnés peuvent utiliser des VAR pour générer et éventuellement stocker ces clés.

  • Revendeurs subCA de marque : Dans la plupart des cas, il s'agit de VAR qui ont conclu un accord avec le PT-CA pour acquérir une autorité de certification émettrice personnalisée contenant la « marque » du VAR.
    • Il s'agit généralement d'un sous-CA gérée en interne, de sorte que l'opérateur d'autorité de certification parent (généralement racine) gère généralement les clés et les événements du cycle de vie de cette sous-autorité de certification.

    • Sous-CA gérées en externe peut également contenir la marque de l'entité exploitant la sous-CA, mais étant donné que cette entité contrôle une clé privée associée à un certificat d'AC émetteur, elle doit être correctement auditée conformément à la section 8.1 du TLS Exigence de base, ou elle doit être techniquement limitée conformément aux sections 7.1.2.3, 7.1.2.4, 7.1.2.5 et auditée en interne conformément à la section 8.7 du TLS Exigences de base. Cette question est considérée comme hors de portée dans ce livre blanc.

En plus des revendeurs de sous-CA de marque, les abonnés de grande taille peuvent également demander à une sous-CA de marque d'émettre des certificats sous le nom de leur organisation (c'est-à-dire pour leur propre usage). Ce modèle n'est pas examiné ici car il comporte les mêmes risques qu'avec un simple Abonné, dans le sens de commander et de gérer de gros volumes de certificats pour sa propre Organisation.

De même, les revendeurs qui ne sont impliqués dans aucune partie de la gestion du cycle de vie des clés/certificats (par exemple, les revendeurs qui font partie d'un programme de parrainage avec des ventes commissionnables) ne sont pas concernés par ce livre blanc.

Sous-CA de marque

Les sous-CA gérées en externe, un modèle qui était populaire dans le passé (basé sur l'analyse des données de la CCADB), ont été considérablement réduites au cours des dernières années (dans la CCADB, il y avait 93 sous-CA serverAuth avec « Audit différent de celui du parent » toujours actives et enchaîné à une racine de confiance) et continue d'être utilisé dans certains cas. Lorsqu'il est utilisé, le certificat subCA inclut le nom du partenaire dans le nom de l'organisation du subjectDN et nécessite des audits externes distincts.

Le secteur utilise deux pratiques pour l'organisation subCA de marque gérée en interne :

  • Certaines autorités de certification incluent le nom de l'autorité de certification émettrice (opérateur racine) dans le nom de l'organisation du sujetDN du certificat d'autorité de certification intermédiaire de marque.
  • Certaines autorités de certification incluent le nom de la sous-autorité de certification de marque dans le nom de l'organisation du sujetDN du certificat d'autorité de certification intermédiaire de marque.

Avec les exigences actuelles, il est difficile pour une partie utilisatrice d'identifier facilement si l'AC émettrice est réalisés par l'autorité de certification racine ou une autre entité.

Risques du modèle VAR

Après avoir analysé les retours de l’enquête et les différentes pratiques VAR dans ce secteur, nous avons identifié certains risques applicables principalement aux VAR agissant pour le compte d’un Abonné :

  1. Génération de clés (facultatif) stockage de la clé privée : il s'agit d'une fonction critique pour laquelle aucune exigence ou audit n'est imposé aux VAR par les normes actuelles. Le manque de visibilité sur leur posture de sécurité augmente le risque de compromission des clés privées de l'abonné.

  2. Stockage des informations personnelles identifiables, et éventuellement d'autres informations sensibles (par exemple, carte de crédit), avec le risque d'exposition de données privées. Ce risque est similaire à celui mentionné ci-dessus ; en outre, il existe un risque d'utilisation inappropriée des informations personnelles, c'est-à-dire une utilisation des informations personnelles à des fins autres que celles approuvées par l'abonné.

  3. Révocation de certificat, avec le risque de déni de service pour les Abonnés. Dans le cas des VAR disposant d'un accès privilégié aux comptes de leurs clients, un incident sur le système d'un VAR ou même une action accidentelle du VAR peut entraîner une révocation massive, affectant ainsi la disponibilité de plusieurs sites Internet.

  4. Renouvellement du certificat, autorisé dans certaines circonstances à remplacer une clé publique dans un certificat sans réeffectuer la validation de domaine, avec le risque d'intercepter le trafic crypté vers/depuis les sites Web des Abonnés.

  5. Réutilisation des preuves utilisées pour la validation de domaine : Lors de l'émission initiale, il y a une interaction directe avec le propriétaire du domaine qui permet au PT-CA d'avoir un contrôle total sur le processus DCV. Dans le cas de la réutilisation des preuves DCV, cette étape n'est pas applicable, ce qui signifie qu'il existe un risque que le VAR puisse demander avec succès l'émission d'un nouveau certificat pour les domaines en question sans l'autorisation de l'Abonné.

  6. Les VAR ont un impact accru et deviennent ainsi un « pot de miel » en cas de compromis. Un VAR serait considéré comme une cible plus attrayante, et si un attaquant réussissait à pénétrer/compromettre les systèmes d'un VAR (par exemple son portail), cela pourrait affecter davantage d'abonnés indépendants, ce qui aurait un impact beaucoup plus important que les attaques contre des abonnés individuels.

  7. L'utilisation d'une coutume portail revendeur ajoute un élément supplémentaire dans la chaîne de sécurité, étendant ainsi la surface d'attaque. Les risques spécifiques à un portail revendeur incluent :

    • Menaces de cybersécurité

    • Mauvaise hygiène de la sécurité des informations

    • Faibles mécanismes d’authentification/autorisation/comptabilité

  8. Ajouter plus de personnes de l'entreprise du revendeur à positions privilégiées du processus de gestion du cycle de vie des certificats entraîne une surface d’attaque accrue.

  9. Actes malveillants par le VAR ; ceci est inhérent à toute activité déléguée où une entité agissant pour le compte du véritable bénéficiaire d'un service (dans notre cas, l'Abonné au Certificat), peut agir de manière malveillante. Un exemple simple serait un VAR malveillant « aidant » un candidat à générer une paire de clés et vendant ensuite la clé privée à un attaquant.

Au cours de notre analyse, nous avons identifié que si un VAR se voit accorder une sous-CA de marque gérée en interne, les risques sont les mêmes, bien que conceptuellement, la sous-CA de marque soit désormais considérée comme « digne de confiance », car l'AC racine se porte essentiellement « garante » de la sous-CA. Veuillez noter que les URL CRL, OCSP et CAIssuer doivent également être gérées en interne par l'autorité de certification racine.

Bonnes pratiques

Après avoir examiné les risques ci-dessus, nous aimerions suggérer quelques bonnes pratiques qui peuvent minimiser le potentiel de lacunes ou d'actions inappropriées de la part des clients de la sous-CA.

Pour les sous-CA de marque :

  • Connaissez votre partenaire potentiel: La délivrance d'un certificat subCA de marque accorde conceptuellement au revendeur la réputation et la fiabilité du PT-CA. Par conséquent, il est important pour les opérateurs Root CA de vérifier leur revendeur potentiel, de la validation de l'identité (en suivant les directives OV/EV) à la documentation juridique en passant par la recherche de la réputation de l'entreprise et de la réputation des propriétaires et de l'équipe de direction.
  • Revérification et réévaluation : Une revérification périodique de tous les enregistrements d'entreprise de revendeurs de marque subCA doit être appliquée pour garantir la légalité et la bonne réputation. En plus de l'utilisation de sources publiques, la réévaluation des revendeurs peut prendre en compte leurs performances au cours du partenariat en cours.
  • Dispositions contractuelles et politiques: Les PT-CA doivent s'assurer de garder le contrôle sur le contrat, de sorte que toute résiliation de contrat et révocation de sous-AC résultant d'une rupture de contrat soit à leur seule discrétion. Les accords de sous-CA de marque pourraient inclure des dispositions qui donnent au PT-CA plus de visibilité sur les pratiques du revendeur et fixer des exigences minimales en matière de sécurité interne, de service client et de respect des BR (dans le cas où ils agissent en tant que tiers délégués).
  • Environnement légal: Il est nécessaire de prendre en compte les lois et coutumes de la juridiction où le revendeur exercera ses activités avant d'accorder une sous-CA de marque à des entités étrangères. Cela peut inclure la compatibilité des lois sur la confidentialité et des exigences en matière de licence.
  • Gardez le contrôle des ressources : Certaines juridictions peuvent exiger que seules des entreprises localisées opèrent dans leur zone ; cela peut inclure la propriété de noms de domaine ou d’infrastructures clés. Certains clients demandent une image de marque « étendue », par exemple des URL de répondeur OCSP de marque et d'autres ressources qui font partie des obligations du PT-CA. Le PT-CA doit s'assurer que son contrôle sur ces ressources survivra à une éventuelle résiliation d'un tel accord, sinon il risque de violer les exigences du CA/Browser Forum.
  • Analyse coûts-avantages et traitement des risques: Le modèle subCA de marque peut être lucratif, mais il comporte également des risques de conformité et de réputation. Un PT-CA prudent les analyse avant d’accorder réputation et fiabilité à un partenaire potentiel. En plus de la simple approbation ou du rejet, la décision peut inclure des contrôles permettant de remédier aux risques identifiés.
  • Transparence: Grâce à l'image de marque, les revendeurs (voudront peut-être) se présenter comme des « autorités de certification de confiance publique ». La transparence exige que les consommateurs et les parties utilisatrices aient au moins une indication de l’entité réelle à laquelle ils accordent leur confiance. Une méthode suggérée consiste à conserver le nom du tiers dans le Nom commun des sujetDN du certificat de sous-CA de marque et utilisez le nom d'organisation de l'opérateur de CA réel (par exemple, le PT-CA) dans le nom de l'organisation.

Pour tous les VAR :

  • Mesures de sécurité: Pour les VAR, SSL.com a émis le «Guide des meilleures pratiques de sécurité des autorités de certification pour les revendeurs de marque : mesures de sécurité complètes». Il comprend une série complète de mesures de sécurité possibles et des références aux exigences NetSec. Dans le cas le plus simple où un VAR n'utilise pas ses propres systèmes (par exemple, portail utilisateur) pour le cycle de vie du certificat, certaines exigences peuvent ne pas être applicables.
  • Protection des abonnés: Les PT-CA devraient identifier et traiter les risques associés à l’accès au système mis à la disposition des VAR. Un PT-CA devrait avoir différents niveaux d'accès pour les comptes revendeurs et non-revendeurs, permettant davantage de restrictions sur le niveau d'accès revendeur afin de protéger les comptes d'abonnés contre les abus. Par exemple, cela peut inclure des contrôles pour empêcher la réutilisation des preuves de validation de domaine précédentes par les VAR. À cette fin, les exigences de base pourraient également exiger que toute personne qui n'est pas une « entreprise RA » (c'est-à-dire qui demande uniquement ses propres organisations et domaines) doit effectuer la validation de domaine pour chaque émission (émission, réémission, nouvelle clé, duplication et renouvellement).
  • Accords d'abonnement et de revendeur: Les PT-CA pourraient proposer deux types de contrats d'abonnement : un contrat d'abonnement qui n'autorise pas la revente et un contrat de revendeur dédié qui contient des clauses et des attentes supplémentaires. Par exemple, les contrats de revendeur pourraient inclure des dispositions liées à la gestion des comptes d'abonnés et promouvoir la sécurité des informations. désinfection comme décrit dans le Guide des meilleures pratiques de sécurité des autorités de certification pour les revendeurs de marque : mesures de sécurité complètes.
Pour les VAR disposant de leur propre portail :

Remarque : Nous ne considérons pas le cas d'un hébergeur qui participe au cycle de vie du certificat, généralement de manière automatisée via des panneaux de contrôle d'hébergement Web communs (Plesk, VirtualMin, CPanel).

  • Dispositions contractuelles et politiques : Inclure des dispositions supplémentaires dans l'accord de revendeur, telles que le droit d'effectuer un audit, de suggérer/exiger des tests d'intrusion annuels, d'examiner les configurations du système, de mettre en œuvre des contrôles MFA ou d'authentification au moins au même niveau que le PT-CA, la surveillance et la divulgation des incidents.
  • Intégration sécurisée : imposer l'utilisation d'API sécurisées, par exemple appliquer une authentification sécurisée via un canal crypté, une durée de session limitée, une portée appropriée aux comptes/enregistrements affectant uniquement le VAR et ses clients/abonnés, etc.
  • Gestion des vulnérabilités : Assurez-vous que des analyses de vulnérabilité périodiques sont effectuées sur le portail revendeur. Cela peut être requis par le contrat de revendeur ou peut faire partie des services offerts par le PT-CA pour aider à la bonne hygiène de sécurité du portail du revendeur.
  • Évaluation de leur posture de sécurité : Collecte d'informations liées à la sécurité et évaluation des risques dans le cadre du processus d'intégration du revendeur. Cela peut être appliqué à l’aide de questionnaires structurés ou de logiciels spécialisés.
  • Évaluation annuelle : Les PT-CA ne devraient pas se contenter d’établir des relations VAR non surveillées. Il est important de mettre en œuvre un processus d’évaluation mené au moins une fois par an.
  • Bulletins de sensibilisation: L'envoi périodique de newsletters de sensibilisation à la sécurité aide les revendeurs à améliorer leur compréhension des menaces de cybersécurité et à mieux se préparer contre les attaques. Ces newsletters peuvent contenir des informations sur tout nouvel avertissement de sécurité lié à PKI systèmes, un décompte des attaques tentées (ou réussies), ou des instructions sur la manière d'utiliser les outils et techniques nécessaires pour améliorer l'hygiène de sécurité.

Conclusions

Comme toute opportunité, la vente de sous-CA de marque présente des aspects à la fois positifs et négatifs. Plus encore que la vente de certificats d'entité finale, les sous-CA de marque exposent l'autorité de certification de confiance à des dommages potentiels basés sur les activités du client-revendeur, tout en offrant potentiellement de grands avantages. Les VAR ne doivent cependant pas être négligés ; leurs pratiques commerciales et de sécurité peuvent présenter des risques pour les abonnés et donc pour la réputation et la fiabilité du PT-CA.

Avant d'entrer dans une relation de marque sous-CA ou VAR, les PT-CA sont invités à faire preuve d'une diligence raisonnable approfondie, à considérer toutes les ramifications potentielles, à prendre des décisions éclairées et à conclure des contrats bien élaborés qui protègent la confiance du PT-CA. Ce document montre qu'il existe des options disponibles, des leçons apprises et des bonnes pratiques à suivre.

 

Découvrez les risques et les meilleures pratiques pour les sous-CA de marque et les revendeurs à valeur ajoutée dans notre livre blanc détaillé.

 

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.