A tanúsító hatóság biztonsági bevált gyakorlatai útmutatója márkás viszonteladóknak: Átfogó biztonsági intézkedések

Bevezetés

Vezető tanúsító hatóságként (CA) és megbízható szolgáltató vállalatként kiemelten kezeljük digitális tanúsítványaink és személyazonosság-ellenőrzési eljárásaink biztonságát és megbízhatóságát. Ez az útmutató azokra a márkanévvel rendelkező viszonteladói partnereinkre összpontosít, akik alárendelt tanúsító hatóságokat az SSL.com megbízható gyökérkönyvtárához láncolnak (a továbbiakban: „alCA-k”), és felelősek az érvényesítési bizonyítékok összegyűjtéséért, a regisztrációs hatósági portálunkra való benyújtásáért, valamint a tanúsítványok kiadásának elősegítéséért. tanúsítványok az SSL.com által kezelt, partner márkanévvel rendelkező alCA-któl. Ennek az útmutatónak az a célja, hogy biztosítsa az érvényesítési bizonyítékok benyújtási folyamatának és a tanúsítvány életciklusának integritását és biztonságát, mivel a viszonteladóknak nincs közvetlen hozzáférésük a gyökéranyaghoz, és csak egy kijelölt API-n vagy egy fiókon keresztül léphetnek kapcsolatba a tanúsítvány életciklus-műveleteivel. az SSL.com által kezelt regisztrációs hatóság (RA) portálja.

---

Érvényesítési bizonyítékok biztonságos gyűjtése kiterjesztett, szervezett és egyéni érvényesítési típusokhoz

• Adatminimalizálás: Csak a tanúsítvány kiállításához szükséges érvényesítési bizonyítékokat gyűjtse össze. Kerülje az idegen vagy érzékeny információk gyűjtését.
• Biztonságos gyűjtési módszerek: Használjon biztonságos csatornákat, például titkosított űrlapokat vagy portálokat, amikor érvényesítési bizonyítékokat gyűjt a végfelhasználóktól.
• Hozzáférés-szabályozás: Vezessen be szigorú hozzáférés-ellenőrzést az érvényesítési bizonyítékok gyűjtéséhez. Csak az arra jogosult személyzetnek szabad hozzáférést biztosítania, és a többtényezős hitelesítésnek kötelezőnek kell lennie.
• Adatintegritás: Győződjön meg arról, hogy az érvényesítési bizonyíték változatlan marad a gyűjtési folyamat során.
• Domainvezérlés érvényesítése: Használja az SSL.com által szigorúan biztosított tartományvezérlés-ellenőrzési szolgáltatásokat és módszereket.

---

Az érvényesítési bizonyíték biztonságos benyújtása a root CA-hoz

• API biztonság: Az érvényesítési bizonyítékok benyújtásához mindig a kijelölt API-t használja. Győződjön meg arról, hogy az API-hívások biztonságos csatornákon, például HTTPS-en keresztül történnek.
• Portálfeltöltések: A bizonyítékok benyújtásának egy másik biztonságos módja a bizonyítékok közvetlenül az SSL.com-fiókjában látható kapcsolódó sorrendbe történő feltöltése; ügyeljen arra, hogy csak az adott megrendeléshez kapcsolódó bizonyítékokat töltsön fel.
• Rendszeres ellenőrzések: Rendszeresen ellenőrizze a benyújtási naplókat, hogy megbizonyosodjon arról, hogy nem történik jogosulatlan benyújtás.
• Az incidensre adott válasz: Legyen világos incidensreagálási terve a benyújtási folyamatban észlelt eltérésekre vagy megsértésekre. Értesítés a gyökér CA us azonnal ha bármilyen szabálytalanságot észlelnek.

---

A Certificate Lifecycle Operations API használatának bevált gyakorlatai

• API kulcskezelés: Óvja API-kulcsait. Tárolja őket biztonságosan, időnként forgassa el őket, és soha ne tegye őket ügyféloldali kódba vagy nyilvános tárolókba.
• Díjkorlátozás: A nem szándékos szolgáltatáskimaradások elkerülése érdekében ügyeljen az API-ra vonatkozó díjkorlátokra.
• Felügyelet és naplózás: Kövesse nyomon az összes API-tevékenységet. Vezessen részletes naplókat, és rendszeresen ellenőrizze azokat minden gyanús vagy jogosulatlan tevékenység szempontjából.
• Hibakezelés: Robusztus hibakezelési mechanizmusok alkalmazása. Bármilyen hiba vagy eltérés esetén az API-válaszokban, legyen egyértelmű eljárás a megoldásra.

Biztonságos webhely fenntartása

• Megfelelő TLS Szerver konfiguráció: Győződjön meg arról, hogy a kiszolgáló csak az erős kriptográfiai titkosításokat és protokollokat támogatja. Rendszeresen frissítse és javítsa a kiszolgálót az ismert sebezhetőségek elkerülése érdekében.
• Az operációs rendszer keményítése: Minimalizálja a kiszolgálón futó szolgáltatások számát, azonnal telepítse a biztonsági javításokat, és biztonsági konfigurációkkal csökkentse a támadási felületet.
• A webhely gyakori sebezhetőségei: Rendszeresen keresse és kezelje a biztonsági réseket, például az SQL-befecskendezést, a Cross-Site Scripting (XSS) és a Cross-Site Request Forgery (CSRF).
• A megfelelő jelszó állapotának fenntartása: Győződjön meg arról, hogy a jelszavak összetettek, és vegyesen tartalmaznak nagy- és kisbetűket, számokat és speciális karaktereket. Bátorítsa azokat, akik hozzáférnek a szervereihez vagy a CRM-hez, hogy rendszeresen frissítsék jelszavaikat, és kerüljék a más webhelyekről származó jelszavak újrafelhasználását. Valósítson meg többtényezős hitelesítést (MFA) vagy használjon clientAuth-tanúsítványokat.

---

CA/B Fórum Hálózati és tanúsítványrendszerek biztonsági követelményei

• Negyedéves sebezhetőségi vizsgálatok: Végezzen rendszeres sebezhetőségi vizsgálatokat negyedévente a lehetséges biztonsági problémák azonosítása és kijavítása érdekében.
• Éves penetrációs teszt: Vegyen részt éves penetrációs tesztelésben, hogy szimulálja a potenciális támadásokat és azonosítsa a rendszer gyenge pontjait.
• Biztonsági követelmények reklámozása: Hangsúlyozza a CA/B fórum hálózat és tanúsítványrendszerek biztonsági követelményeinek betartásának fontosságát a bizalom és a biztonság fenntartása érdekében.

A végfelhasználói bevált gyakorlatok népszerűsítése a privát kulcsok generálásával, tárolásával és CSRs

• Oktatás a kulcsgenerálásról: Útmutató a végfelhasználóknak a CA által ellenőrzött eszközök használatához kulcsok generálásához és CSRs. Ez biztosítja a kompatibilitást és a biztonságot.
• Kulcs hossza és algoritmusa: Tanácsolja a végfelhasználókat erős kriptográfiai algoritmusok és megfelelő kulcshosszúságok használatára (pl. RSA 2048 bites vagy magasabb).
• Belépésvezérlés és többtényezős hitelesítés: Vezessen be szigorú hozzáférés-ellenőrzést, és mozdítsa elő a többtényezős hitelesítés használatát, különösen a CA API interakciókat kiváltó műveletek esetében, mint például a tanúsítvány kulcsának újbóli megújítása, megújítása és visszavonása.

---

A privát kulcsok biztonságos tárolása

• Folyamatos billentyűforgatás: A rendszeres kulcsforgatás minimálisra csökkenti a feltárt adatok mennyiségét, ha egy kulcsot feltörnek, és lerövidíti a támadónak a kulcs feltöréséhez szükséges időt.
• Titkosított tárolás és biztonsági mentés: Ösztönözze a privát kulcsok titkosított biztonsági mentését, biztonságosan és külön-külön tárolva.
• Visszavonás és kulcs megsemmisítése: Ösztönözze a végfelhasználóknál olyan irányelveket, amelyek lehetővé teszik az azonnali és hatékony visszavonást, ha egy kulcs sérül, vagy már nincs rá szükség. A kulcsot nem szabad kriptográfiai műveletekhez használni a visszavonás után, és meg kell semmisíteni.
• Kulcshierarchia felállítása: Ez a struktúra kriptográfiai kulcsrétegeket hoz létre, amelyek mindegyike különböző szintű hozzáféréssel és vezérléssel rendelkezik. A hierarchia középpontjában található és rendkívül biztonságos mesterkulcsot további kulcsok titkosítására használják, amelyeket gyakran „alárendelt” vagy „adattitkosításnak” neveznek.
• Katasztrófaelhárítási stratégiával rendelkezik: Határozott intézkedések kidolgozása, amelyeket meg kell tenni, valamint a felelős feleket egy jelentős kulcskompromittálódás vagy kulcs elvesztése esetén.

A CA-nkba és a márkás viszonteladóinkba vetett bizalom a legfontosabb. Ezen átfogó bevált gyakorlatok betartásával biztosíthatjuk a tanúsítványkiadási folyamat biztonságát és integritását, megvédhetjük a felhasználói adatokat, és megőrizhetjük végfelhasználóink ​​bizalmát. Arra biztatjuk minden viszonteladónkat, hogy szorgalmasan alkalmazzák ezeket a gyakorlatokat, és további útmutatásért vagy felvilágosításért forduljanak hozzánk.