Guide des meilleures pratiques de sécurité des autorités de certification pour les revendeurs de marque : mesures de sécurité complètes

Voir tous les guides

Introduction

En tant qu'autorité de certification (CA) leader et société de services de confiance, nous accordons la priorité à la sécurité et à la fiabilité de nos certificats numériques et de nos procédures de validation d'identité. Ce guide est axé sur nos partenaires revendeurs de marque qui détiennent des autorités de certification subordonnées liées à la racine de confiance de SSL.com (appelées « sous-CA ») et sont responsables de la collecte des preuves de validation, de leur soumission à notre portail d'autorité d'enregistrement et de faciliter l'émission de certificats des sous-CA de marque partenaire gérées par SSL.com. L'objectif de ce guide est de garantir l'intégrité et la sécurité du processus de soumission des preuves de validation et du cycle de vie des certificats, car les revendeurs n'ont pas d'accès direct au matériel racine et ne peuvent interagir avec les opérations du cycle de vie des certificats que via une API désignée ou via un compte dans le portail de l'autorité d'enregistrement (RA) géré par SSL.com.

Collecte sécurisée de preuves de validation pour les types de validation étendue, organisationnelle et individuelle

  • Minimisation des données : Collectez uniquement les preuves de validation nécessaires au processus de délivrance du certificat. Évitez de collecter des informations superflues ou sensibles.
  • Méthodes de collecte sécurisées : Utilisez des canaux sécurisés, tels que des formulaires ou des portails cryptés, lors de la collecte de preuves de validation auprès des utilisateurs finaux.
  • Contrôle d'Accès : Mettez en œuvre des contrôles d’accès stricts pour collecter des preuves de validation. Seul le personnel autorisé devrait y avoir accès et l'authentification multifacteur devrait être obligatoire.
  • Intégrité des données: Assurez-vous que les preuves de validation restent inchangées pendant le processus de collecte.
  • Validation du contrôle de domaine : Utilisez les services et méthodes de validation de contrôle de domaine strictement fournis par SSL.com.

Soumission sécurisée des preuves de validation à l’autorité de certification racine

  • Sécurité des API : Utilisez toujours l'API désignée pour soumettre des preuves de validation. Assurez-vous que les appels d'API sont effectués via des canaux sécurisés, tels que HTTPS.
  • Téléchargements du portail : Une autre méthode sûre de soumission de preuves consiste à télécharger les preuves directement dans l'ordre correspondant que vous verriez dans votre compte SSL.com ; assurez-vous de télécharger uniquement les preuves liées à la commande spécifique.
  • Audits réguliers : Effectuer des audits réguliers des journaux de soumission pour garantir qu’aucune soumission non autorisée n’est effectuée.
  • Réponse à l'incident: Ayez un plan clair de réponse aux incidents pour toute divergence ou violation dans le processus de soumission. Notifier l'autorité de certification racine us immédiatement si des irrégularités sont détectées.

Meilleures pratiques d'utilisation de l'API Certificate Lifecycle Operations

  • Gestion des clés API : Protégez vos clés API. Stockez-les en toute sécurité, faites-les pivoter périodiquement et ne les exposez jamais dans du code côté client ou dans des référentiels publics.
  • Limitation de débit : Soyez conscient de toutes les limites de débit imposées à l'API pour éviter les interruptions de service involontaires.
  • Surveillance et journalisation : Surveillez toutes les activités de l'API. Tenez des journaux détaillés et examinez-les régulièrement pour détecter toute activité suspecte ou non autorisée.
  • La gestion des erreurs: Implémentez des mécanismes robustes de gestion des erreurs. En cas d'échecs ou de divergences dans les réponses de l'API, disposez d'une procédure claire pour y remédier.

Maintenir un site Web sécurisé

  • Correct TLS Configuration du serveur: Assurez-vous que le serveur prend uniquement en charge les chiffrements et protocoles cryptographiques puissants. Mettez régulièrement à jour et corrigez le serveur pour éviter les vulnérabilités connues.
  • Renforcement du système d'exploitation : Minimisez le nombre de services exécutés sur le serveur, appliquez rapidement les correctifs de sécurité et utilisez les configurations de sécurité pour réduire la surface d'attaque.
  • Vulnérabilités courantes des sites Web : Recherchez et corrigez régulièrement les vulnérabilités telles que l'injection SQL, le Cross-Site Scripting (XSS) et la falsification de requêtes intersites (CSRF).
  • Maintenir une bonne santé des mots de passe : Assurez-vous que les mots de passe sont complexes et intègrent un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Encouragez les personnes ayant accès à vos serveurs ou CRM à mettre régulièrement à jour leurs mots de passe et à éviter de réutiliser les mots de passe d'autres sites. Implémentez l’authentification multifacteur (MFA) ou utilisez des certificats clientAuth.

Exigences de sécurité du réseau et des systèmes de certificats du CA/B Forum

  • Analyses de vulnérabilité trimestrielles : Effectuez régulièrement des analyses de vulnérabilité tous les trimestres pour identifier et corriger les problèmes de sécurité potentiels.
  • Tests d'intrusion annuels : Effectuez des tests d'intrusion annuels pour simuler des attaques potentielles et identifier les points faibles du système.
  • Promouvoir les exigences de sécurité : Insistez sur l'importance d'adhérer aux exigences de sécurité du réseau et des systèmes de certificats du Forum CA/B pour maintenir la confiance et la sécurité.

Promouvoir les meilleures pratiques des utilisateurs finaux en matière de génération, de stockage et de clé privée CSRs

  • Éduquer sur la génération de clés : Guider les utilisateurs finaux à utiliser des outils approuvés par CA pour générer des clés et CSRs. Cela garantit la compatibilité et la sécurité.
  • Longueur de clé et algorithme : Conseillez aux utilisateurs finaux d'utiliser des algorithmes cryptographiques puissants et des longueurs de clé appropriées (par exemple, RSA 2048 XNUMX bits ou supérieur).
  • Contrôle d'accès et authentification multifacteur : Mettez en œuvre des contrôles d'accès stricts et promouvez l'utilisation de l'authentification multifacteur, en particulier pour les actions déclenchant des interactions avec l'API CA telles que la nouvelle clé, le renouvellement et la révocation des certificats.

Stockage sécurisé des clés privées

  • Rotation continue des clés : La rotation régulière des clés minimise la quantité de données exposées si une clé est compromise et réduit le temps nécessaire à un attaquant pour pirater une clé.
  • Stockage et sauvegarde cryptés : Encouragez les sauvegardes cryptées des clés privées, stockées en toute sécurité et séparément.
  • Révocation et destruction de clé : Encouragez vos utilisateurs finaux à adopter des politiques permettant une révocation rapide et efficace si une clé est compromise ou n'est plus nécessaire. La clé ne doit pas être utilisée pour des opérations cryptographiques après avoir été révoquée et doit être détruite.
  • Mise en place d'une hiérarchie de clés : Cette structure crée des couches de clés cryptographiques, chacune avec différents niveaux d'accès et de contrôle. La clé principale, qui est au centre de cette hiérarchie et est extrêmement sécurisée, est utilisée pour chiffrer des clés supplémentaires, fréquemment appelées « subordonnées » ou « chiffrement de données ».
  • Avoir une stratégie de réponse aux catastrophes : Développer des actions définies qui doivent être prises ainsi que les parties responsables en cas de compromission majeure ou de perte de clé.
La confiance en notre CA et nos revendeurs de marque est primordiale. En adhérant à ces meilleures pratiques complètes, nous pouvons garantir la sécurité et l'intégrité du processus de délivrance de certificats, protéger les données des utilisateurs et maintenir la confiance de nos utilisateurs finaux. Nous encourageons tous nos revendeurs à mettre en œuvre ces pratiques avec diligence et à nous contacter pour toute orientation ou clarification supplémentaire.
Twitter
Facebook
LinkedIn
Reddit
Email

Équipe d'assistance SSL

Tous les messages "

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.

Répondez au sondage