Panduan Praktik Terbaik Keamanan Otoritas Sertifikat untuk Pengecer Bermerek: Tindakan Keamanan Komprehensif

Pengantar

Sebagai Otoritas Sertifikat (CA) terkemuka dan perusahaan layanan kepercayaan, kami memprioritaskan keamanan dan kepercayaan sertifikat digital serta prosedur validasi identitas kami. Panduan ini difokuskan pada mitra pengecer bermerek kami yang memegang otoritas sertifikat bawahan yang terikat pada akar terpercaya SSL.com (disebut sebagai “subCA”) dan bertanggung jawab untuk mengumpulkan bukti validasi, mengirimkannya ke portal otoritas pendaftaran kami, dan memfasilitasi penerbitan sertifikat dari subCA bermerek mitra yang dikelola oleh SSL.com. Tujuan dari panduan ini adalah untuk memastikan integritas dan keamanan proses penyerahan bukti validasi dan siklus hidup sertifikat, karena pengecer tidak memiliki akses langsung ke materi root dan hanya dapat berinteraksi dengan operasi siklus hidup sertifikat melalui API yang ditunjuk atau melalui akun di portal otoritas pendaftaran (RA) yang dikelola oleh SSL.com.

---

Pengumpulan Bukti Validasi yang Aman untuk Jenis Validasi yang Diperluas, Organisasi, dan Individu

• Minimisasi Data: Kumpulkan hanya bukti validasi yang diperlukan untuk proses penerbitan sertifikat. Hindari mengumpulkan informasi asing atau sensitif.
• Metode Pengumpulan Aman: Gunakan saluran aman, seperti formulir atau portal terenkripsi, saat mengumpulkan bukti validasi dari pengguna akhir.
• Kontrol akses: Menerapkan kontrol akses yang ketat untuk mengumpulkan bukti validasi. Hanya personel yang berwenang yang boleh memiliki akses, dan autentikasi multifaktor harus diwajibkan.
• Integritas data: Pastikan bukti validasi tetap tidak berubah selama proses pengumpulan.
• Validasi Kontrol Domain: Manfaatkan layanan dan metode validasi kontrol domain yang disediakan secara ketat oleh SSL.com.

---

Pengiriman Bukti Validasi yang Aman ke Root CA

• Keamanan API: Selalu gunakan API yang ditunjuk untuk mengirimkan bukti validasi. Pastikan panggilan API dilakukan melalui saluran aman, seperti HTTPS.
• Unggahan Portal: Metode penyerahan bukti aman lainnya adalah dengan mengunggah bukti langsung ke pesanan terkait yang Anda lihat di akun SSL.com Anda; pastikan Anda hanya mengunggah bukti terkait pesanan tertentu.
• Audit Reguler: Lakukan audit rutin terhadap log pengiriman untuk memastikan tidak ada pengiriman tanpa izin yang dilakukan.
• Tanggapan Insiden: Miliki rencana respons insiden yang jelas untuk setiap perbedaan atau pelanggaran dalam proses penyerahan. Memberitahu akar CA us segera jika ditemukan kejanggalan.

---

Praktik Terbaik untuk Menggunakan API Operasi Siklus Hidup Sertifikat

• Manajemen Kunci API: Lindungi kunci API Anda. Simpan dengan aman, rotasikan secara berkala, dan jangan pernah mengeksposnya dalam kode sisi klien atau repositori publik.
• Pembatasan Tarif: Waspadai batasan tarif apa pun yang dikenakan pada API untuk menghindari gangguan layanan yang tidak disengaja.
• Pemantauan dan Pencatatan: Pantau semua aktivitas API. Simpan catatan terperinci dan tinjau secara berkala untuk mengetahui adanya aktivitas mencurigakan atau tidak sah.
• Penanganan Kesalahan: Menerapkan mekanisme penanganan kesalahan yang kuat. Jika terjadi kegagalan atau perbedaan dalam respons API, miliki prosedur yang jelas untuk mengatasinya.

Mempertahankan Situs Web yang Aman

• Tepat TLS Konfigurasi Server: Pastikan server hanya mendukung sandi dan protokol kriptografi yang kuat. Perbarui dan tambal server secara berkala untuk mencegah kerentanan yang diketahui.
• Pengerasan Sistem Operasi: Minimalkan jumlah layanan yang berjalan di server, segera terapkan patch keamanan, dan gunakan konfigurasi keamanan untuk mengurangi permukaan serangan.
• Kerentanan Situs Web Umum: Pindai dan atasi kerentanan secara berkala seperti injeksi SQL, Skrip Lintas Situs (XSS), dan Pemalsuan Permintaan Lintas Situs (CSRF).
• Pertahankan Kesehatan Kata Sandi yang Benar: Pastikan kata sandi rumit, menggabungkan campuran huruf besar dan kecil, angka, dan karakter khusus. Dorong mereka yang memiliki akses ke server atau CRM Anda untuk memperbarui kata sandi mereka secara rutin dan menghindari penggunaan ulang kata sandi dari situs lain. Terapkan autentikasi multi-faktor (MFA) atau gunakan sertifikat clientAuth.

---

Persyaratan Keamanan Jaringan Forum CA/B dan Sistem Sertifikat

• Pemindaian Kerentanan Kuartalan: Lakukan pemindaian kerentanan rutin setiap triwulan untuk mengidentifikasi dan memperbaiki potensi masalah keamanan.
• Pengujian Penetrasi Tahunan: Terlibat dalam pengujian penetrasi tahunan untuk mensimulasikan potensi serangan dan mengidentifikasi titik lemah dalam sistem.
• Promosikan Persyaratan Keamanan: Tekankan pentingnya mematuhi Persyaratan Keamanan Jaringan Forum CA/B dan Sistem Sertifikat untuk menjaga kepercayaan dan keamanan.

Mempromosikan Praktik Terbaik Pengguna Akhir dengan Pembuatan Kunci Pribadi, Penyimpanan, dan CSRs

• Mendidik tentang Pembuatan Kunci: Pandu pengguna akhir untuk menggunakan alat yang diperiksa CA untuk menghasilkan kunci dan CSRS. Ini memastikan kompatibilitas dan keamanan.
• Panjang Kunci dan Algoritma: Anjurkan pengguna akhir untuk menggunakan algoritme kriptografi yang kuat dan panjang kunci yang sesuai (misalnya RSA 2048-bit atau lebih tinggi).
• Kontrol Akses dan Otentikasi Multi-faktor: Menerapkan kontrol akses yang ketat dan mendorong penggunaan autentikasi multifaktor, terutama untuk tindakan yang memicu interaksi CA API seperti kunci ulang sertifikat, perpanjangan, dan pencabutan.

---

Penyimpanan Kunci Pribadi yang Aman

• Rotasi Kunci Berkelanjutan: Rotasi kunci secara teratur meminimalkan jumlah data yang terekspos jika kunci disusupi dan mempersingkat waktu yang dibutuhkan penyerang untuk memecahkan kunci.
• Penyimpanan dan Cadangan Terenkripsi: Dorong pencadangan kunci pribadi terenkripsi, disimpan dengan aman dan terpisah.
• Pencabutan dan Pemusnahan Kunci: Dorong kebijakan pada pengguna akhir Anda yang memungkinkan pencabutan cepat dan efisien jika kunci disusupi atau tidak diperlukan lagi. Kuncinya tidak boleh digunakan untuk operasi kriptografi apa pun setelah dicabut dan harus dimusnahkan.
• Menerapkan Hirarki Kunci: Struktur ini menciptakan lapisan kunci kriptografi, masing-masing dengan tingkat akses dan kontrol berbeda. Kunci master, yang berada di pusat hierarki ini dan sangat aman, digunakan untuk mengenkripsi kunci tambahan, yang sering disebut sebagai “bawahan” atau “enkripsi data.”
• Memiliki strategi tanggap bencana: Kembangkan tindakan pasti yang perlu diambil serta pihak-pihak yang bertanggung jawab jika terjadi kompromi kunci besar atau kehilangan kunci.

Kepercayaan terhadap CA dan pengecer bermerek kami adalah yang terpenting. Dengan mematuhi praktik terbaik yang komprehensif ini, kami dapat memastikan keamanan dan integritas proses penerbitan sertifikat, melindungi data pengguna, dan menjaga kepercayaan pengguna akhir kami. Kami mendorong semua pengecer kami untuk menerapkan praktik ini dengan rajin dan menghubungi kami untuk mendapatkan panduan atau klarifikasi lebih lanjut.