Bevezetés
Vezető tanúsító hatóságként (CA) és megbízható szolgáltató vállalatként kiemelten kezeljük digitális tanúsítványaink és személyazonosság-ellenőrzési eljárásaink biztonságát és megbízhatóságát. Ez az útmutató azokra a márkanévvel rendelkező viszonteladói partnereinkre összpontosít, akik alárendelt tanúsító hatóságokat az SSL.com megbízható gyökérkönyvtárához láncolnak (a továbbiakban: „alCA-k”), és felelősek az érvényesítési bizonyítékok összegyűjtéséért, a regisztrációs hatósági portálunkra való benyújtásáért, valamint a tanúsítványok kiadásának elősegítéséért. tanúsítványok az SSL.com által kezelt, partner márkanévvel rendelkező alCA-któl. Ennek az útmutatónak az a célja, hogy biztosítsa az érvényesítési bizonyítékok benyújtási folyamatának és a tanúsítvány életciklusának integritását és biztonságát, mivel a viszonteladóknak nincs közvetlen hozzáférésük a gyökéranyaghoz, és csak egy kijelölt API-n vagy egy fiókon keresztül léphetnek kapcsolatba a tanúsítvány életciklus-műveleteivel. az SSL.com által kezelt regisztrációs hatóság (RA) portálja.
Érvényesítési bizonyítékok biztonságos gyűjtése kiterjesztett, szervezett és egyéni érvényesítési típusokhoz
-
Adatminimalizálás: Csak a tanúsítvány kiállításához szükséges érvényesítési bizonyítékokat gyűjtse össze. Kerülje az idegen vagy érzékeny információk gyűjtését.
-
Biztonságos gyűjtési módszerek: Használjon biztonságos csatornákat, például titkosított űrlapokat vagy portálokat, amikor érvényesítési bizonyítékokat gyűjt a végfelhasználóktól.
-
Hozzáférés-szabályozás: Vezessen be szigorú hozzáférés-ellenőrzést az érvényesítési bizonyítékok gyűjtéséhez. Csak az arra jogosult személyzetnek szabad hozzáférést biztosítania, és a többtényezős hitelesítésnek kötelezőnek kell lennie.
-
Adatintegritás: Győződjön meg arról, hogy az érvényesítési bizonyíték változatlan marad a gyűjtési folyamat során.
-
Domainvezérlés érvényesítése: Használja az SSL.com által szigorúan biztosított tartományvezérlés-ellenőrzési szolgáltatásokat és módszereket.
Az érvényesítési bizonyíték biztonságos benyújtása a root CA-hoz
-
API biztonság: Az érvényesítési bizonyítékok benyújtásához mindig a kijelölt API-t használja. Győződjön meg arról, hogy az API-hívások biztonságos csatornákon, például HTTPS-en keresztül történnek.
-
Portálfeltöltések: A bizonyítékok benyújtásának egy másik biztonságos módja a bizonyítékok közvetlenül az SSL.com-fiókjában látható kapcsolódó sorrendbe történő feltöltése; ügyeljen arra, hogy csak az adott megrendeléshez kapcsolódó bizonyítékokat töltsön fel.
-
Rendszeres ellenőrzések: Rendszeresen ellenőrizze a benyújtási naplókat, hogy megbizonyosodjon arról, hogy nem történik jogosulatlan benyújtás.
-
Az incidensre adott válasz: Legyen világos incidensreagálási terve a benyújtási folyamatban észlelt eltérésekre vagy megsértésekre. Értesítés a gyökér CA ha bármilyen szabálytalanságot észlelnek.
A Certificate Lifecycle Operations API használatának bevált gyakorlatai
-
API kulcskezelés: Óvja API-kulcsait. Tárolja őket biztonságosan, időnként forgassa el őket, és soha ne tegye őket ügyféloldali kódba vagy nyilvános tárolókba.
-
Díjkorlátozás: A nem szándékos szolgáltatáskimaradások elkerülése érdekében ügyeljen az API-ra vonatkozó díjkorlátokra.
-
Felügyelet és naplózás: Kövesse nyomon az összes API-tevékenységet. Vezessen részletes naplókat, és rendszeresen ellenőrizze azokat minden gyanús vagy jogosulatlan tevékenység szempontjából.
-
Hibakezelés: Robusztus hibakezelési mechanizmusok alkalmazása. Bármilyen hiba vagy eltérés esetén az API-válaszokban, legyen egyértelmű eljárás a megoldásra.
Biztonságos webhely fenntartása
-
Megfelelő TLS Szerver konfiguráció: Győződjön meg arról, hogy a kiszolgáló csak az erős kriptográfiai titkosításokat és protokollokat támogatja. Rendszeresen frissítse és javítsa a kiszolgálót az ismert sebezhetőségek elkerülése érdekében.
-
Az operációs rendszer keményítése: Minimalizálja a kiszolgálón futó szolgáltatások számát, azonnal telepítse a biztonsági javításokat, és biztonsági konfigurációkkal csökkentse a támadási felületet.
-
A webhely gyakori sebezhetőségei: Rendszeresen keresse és kezelje a biztonsági réseket, például az SQL-befecskendezést, a Cross-Site Scripting (XSS) és a Cross-Site Request Forgery (CSRF).
-
A megfelelő jelszó állapotának fenntartása: Győződjön meg arról, hogy a jelszavak összetettek, és vegyesen tartalmaznak nagy- és kisbetűket, számokat és speciális karaktereket. Bátorítsa azokat, akik hozzáférnek a szervereihez vagy a CRM-hez, hogy rendszeresen frissítsék jelszavaikat, és kerüljék a más webhelyekről származó jelszavak újrafelhasználását. Valósítson meg többtényezős hitelesítést (MFA) vagy használjon clientAuth-tanúsítványokat.
CA/B Fórum Hálózati és tanúsítványrendszerek biztonsági követelményei
-
Negyedéves sebezhetőségi vizsgálatok: Végezzen rendszeres sebezhetőségi vizsgálatokat negyedévente a lehetséges biztonsági problémák azonosítása és kijavítása érdekében.
-
Éves penetrációs teszt: Vegyen részt éves penetrációs tesztelésben, hogy szimulálja a potenciális támadásokat és azonosítsa a rendszer gyenge pontjait.
-
Biztonsági követelmények reklámozása: Hangsúlyozza a CA/B fórum hálózat és tanúsítványrendszerek biztonsági követelményeinek betartásának fontosságát a bizalom és a biztonság fenntartása érdekében.
A végfelhasználói bevált gyakorlatok népszerűsítése a privát kulcsok generálásával, tárolásával és CSRs
-
Oktatás a kulcsgenerálásról: Útmutató a végfelhasználóknak a CA által ellenőrzött eszközök használatához kulcsok generálásához és CSRs. Ez biztosítja a kompatibilitást és a biztonságot.
-
Kulcs hossza és algoritmusa: Tanácsolja a végfelhasználókat erős kriptográfiai algoritmusok és megfelelő kulcshosszúságok használatára (pl. RSA 2048 bites vagy magasabb).
-
Belépésvezérlés és többtényezős hitelesítés: Vezessen be szigorú hozzáférés-ellenőrzést, és mozdítsa elő a többtényezős hitelesítés használatát, különösen a CA API interakciókat kiváltó műveletek esetében, mint például a tanúsítvány kulcsának újbóli megújítása, megújítása és visszavonása.
A privát kulcsok biztonságos tárolása
-
Folyamatos billentyűforgatás: A rendszeres kulcsforgatás minimálisra csökkenti a feltárt adatok mennyiségét, ha egy kulcsot feltörnek, és lerövidíti a támadónak a kulcs feltöréséhez szükséges időt.
-
Titkosított tárolás és biztonsági mentés: Ösztönözze a privát kulcsok titkosított biztonsági mentését, biztonságosan és külön-külön tárolva.
-
Visszavonás és kulcs megsemmisítése: Ösztönözze a végfelhasználóknál olyan irányelveket, amelyek lehetővé teszik az azonnali és hatékony visszavonást, ha egy kulcs sérül, vagy már nincs rá szükség. A kulcsot nem szabad kriptográfiai műveletekhez használni a visszavonás után, és meg kell semmisíteni.
-
Kulcshierarchia felállítása: Ez a struktúra kriptográfiai kulcsrétegeket hoz létre, amelyek mindegyike különböző szintű hozzáféréssel és vezérléssel rendelkezik. A hierarchia középpontjában található és rendkívül biztonságos mesterkulcsot további kulcsok titkosítására használják, amelyeket gyakran „alárendelt” vagy „adattitkosításnak” neveznek.
-
Katasztrófaelhárítási stratégiával rendelkezik: Határozott intézkedések kidolgozása, amelyeket meg kell tenni, valamint a felelős feleket egy jelentős kulcskompromittálódás vagy kulcs elvesztése esetén.
A CA-nkba és a márkás viszonteladóinkba vetett bizalom a legfontosabb. Ezen átfogó bevált gyakorlatok betartásával biztosíthatjuk a tanúsítványkiadási folyamat biztonságát és integritását, megvédhetjük a felhasználói adatokat, és megőrizhetjük végfelhasználóink bizalmát. Arra biztatjuk minden viszonteladónkat, hogy szorgalmasan alkalmazzák ezeket a gyakorlatokat, és további útmutatásért vagy felvilágosításért forduljanak hozzánk.