I proprietari di autorità di certificazione (PT-CA) di fiducia pubblica sono fondamentali per il funzionamento sicuro di Internet. Il pubblico generale, il pubblico globale e i principali fornitori di browser incaricano loro di fornire l'infrastruttura a chiave pubblica essenziale (PKI) necessarie per instaurare un clima di fiducia, proteggere le comunicazioni e agevolare transazioni online sicure. Per mantenere la propria affidabilità, le CA di fiducia pubblica devono investire risorse significative nella sicurezza delle loro operazioni e nel rispetto degli standard più recenti e sono soggette a rigorosi audit e supervisione indipendenti.

Le PT-CA, in quanto aziende, hanno un legittimo interesse a creare una rete di rivenditori fidati per distribuire i propri prodotti ed espandere la propria presenza sul mercato. Poiché agiscono come “ancora di fiducia”, spesso ricevono richieste da parti interessate che vorrebbero includere nella loro offerta la fornitura di certificati di fiducia pubblica, a volte sotto il proprio nome; queste sono chiamate subCA “white label” o “branded”.

Molti membri della comunità PT-CA, rivenditori e abbonati ritengono che le subCA con marchio siano preziose per contribuire a costruire la reputazione senza dover investire in un'infrastruttura CA completamente dedicata e la maggior parte dei clienti rivenditori gestisce il privilegio di avere il proprio marchio all'interno di una SubCA in modo responsabile. Sfortunatamente, ci sono casi in cui possono verificarsi pratiche di sicurezza inadeguate o abusi, intenzionali o meno.

Questo white paper analizza i rischi per la sicurezza relativi ai rivenditori subCA con marchio e suggerisce buone pratiche basate sull'esperienza raccolta attraverso il nostro sondaggio e sulle lezioni apprese dall'analisi di casi recenti nel settore. I nostri risultati dovrebbero essere utili ai decisori politici (Forum CA/B, proprietari di root store), ai PT-CA che sono in ultima analisi responsabili dell’affidabilità dei loro servizi e a qualsiasi altra parte interessata.

Indagine

SSL.com ha condotto un sondaggio nella seconda metà del 2023 per raccogliere informazioni dalla comunità che sarebbero utili per questo rapporto. Il nostro sondaggio includeva domande che coprivano i seguenti aspetti:

1. Popolarità del modello subCA con marchio
2. Entità del rebranding: risponditori CRL/OCSP con marchio, portali utente, nomi di prodotti personalizzati
3. Processo di selezione/verifica dei clienti subCA con marchio
4. Utilizzo del proprio portale utenti
5. Audit e ispezione di questi portali
6. Lezioni apprese sulla base dell'esperienza con i clienti subCA con marchio
7. Sfide tecniche legate alla generazione, al controllo o alla revoca delle subCA con marchio

L'indagine è stata indirizzata a 9 PT-CA che, sulla base dell'analisi dei dati CCADB, sembrano avere la maggiore esperienza con il modello subCA branded.

Risultati del sondaggio

Abbiamo ricevuto risposte da 5 dei 9 PT-CA e abbiamo proseguito per ottenere chiarimenti. Le risposte sono state analizzate per identificare punti comuni e differenze nel modello di subCA con marchio e nelle pratiche pertinenti, così come applicate dal settore delle CA.

Punti salienti dei risultati del sondaggio:

1. Nel settore vengono utilizzati diversi termini sinonimi per questo o modelli subCA simili: marcato, con etichetta bianca, dedicato, vanità.

2. 4 delle 5 CA partecipanti hanno confermato che le subCA con marchio fanno parte delle loro offerte. Il prodotto è rivolto a una clientela selezionata, come hosting provider e grandi rivenditori. È applicabile anche nei casi di grandi conti che necessitano di certificati per uso proprio; ad esempio, un'autorità competente ha riferito di aver applicato il modello a istituti accademici e di ricerca.

3. Il branding in genere include l'emissione di certificati subCA che hanno il nome del cliente/rivenditore nel campo objectDN. Il branding esteso può includere anche URL di risponditori CRL/OCSP brandizzati e microportali brandizzati per clienti/rivenditori più piccoli che non dispongono di propri portali RA.

4. Il processo di selezione della SubCA si basa principalmente su criteri aziendali/commerciali, come il tipo di attività, il numero previsto di certificati e l'uso previsto. Alcune PT-CA hanno riferito che potrebbero suggerire o decidere autonomamente di creare subCA dedicate, con marchio o meno, per distinguerle dalle loro CA emittenti a scopo generale quando servono grandi clienti o progetti, come mezzo per isolare l'impatto/rischi nel caso in cui di un incidente (ad esempio compromissione, mancata conformità o altro tipo) che necessita di revoca.

5. Il vetting prevede tipicamente le seguenti attività di validazione:

   UN. verifica del nome, dell'indirizzo e dell'esistenza dell'organizzazione (simile a un processo OV o EV); E

   B. verifica dell'autorizzazione della richiesta.

6. Uno dei PT-CA partecipanti ha riferito che, prima di firmare un contratto, ha luogo una consultazione interna con il team di conformità per verificare la reputazione del richiedente SubCA con marchio. Ciò include la ricerca di risorse pubbliche per segnalazioni di coinvolgimento in attività di falsificazione di dati o riciclaggio di denaro. CCADB e Bugzilla sono ulteriori fonti di informazioni quando un richiedente è già esso stesso un PT-CA.

7. Nessuno ha riferito di aver rifiutato un cliente subCA con marchio per ragioni diverse da quelle commerciali/finanziarie.

8. Quasi tutti i PT-CA hanno riferito che la maggior parte delle subCA con marchio portano il proprio portale utenti; un PT-CA lo ha quantificato all'80% del numero totale di partner subCA con marchio. In via eccezionale, un PT-CA non era a conoscenza del fatto che nessuno dei suoi clienti subCA con marchio utilizzasse il proprio portale utenti.

9. Nessuna PT-CA ha riferito di aver effettuato audit o altrimenti ispezionato il portale utente di terze parti delle proprie subCA brandizzate (a meno che la subCA brandizzata non sia anche una PT-CA, il che significa che i loro portali utenti sono comunque soggetti a audit).

10. Un PT-CA ha riferito le seguenti lezioni apprese:

    UN. Il numero di certificati emessi dovrebbe essere sufficientemente elevato da giustificare il mantenimento di una subCA con marchio.

    B. Vale la pena verificare la propria esperienza nel settore prima di procedere con la stipula del contratto.

    C. Vale anche la pena prendersi cura della durata adeguata del contratto.

11. Un paio di PT-CA hanno riferito di non vedere alcuna sfida tecnica particolare nella generazione, controllo o revoca delle subCA con marchio.

Rivenditori a valore aggiunto

Secondo i risultati del sondaggio e le informazioni raccolte con la nostra indagine, quasi tutti i PT-CA offrono programmi per rivenditori; da aziende o individui che usufruiscono di sconti all'ingrosso e rivendono prodotti CA dietro un margine (rivenditori semplici) a entità che incorporano prodotti CA nelle proprie offerte o forniscono servizi a valore aggiunto a vantaggio dei propri clienti. I primi (“rivenditori semplici”) non sono coinvolti in nessuna parte del servizio diversa dalla vendita stessa, pertanto sono considerati fuori dall'ambito di questo documento.

D'altro canto, i rivenditori a valore aggiunto (VAR) possono avere un coinvolgimento piccolo o significativo nel facilitare il processo del ciclo di vita della chiave/certificato. Poiché ciò ha implicazioni in termini di sicurezza e conformità, questo documento si concentra sui VAR e considera i rischi (e i vantaggi) inerenti.

La nostra ricerca ha rivelato che esistono diverse tipologie/pratiche di VAR nel settore, a seconda del loro coinvolgimento nei processi del ciclo di vita delle chiavi/certificati, dell'utilizzo del portale PT-CA o dei propri portali/sistemi, dell'utilizzo di subCA emesse con nome della PT-CA/CA radice o delle subCA con marchio.

I casi più comuni da noi identificati sono i seguenti:

• VAR che utilizzano i sistemi della PT-CA/CA radice: comunemente assistono le entità che possiedono/controllano i nomi di dominio utilizzando il portale della Registration Authority della CA; la loro assistenza è solitamente focalizzata nella registrazione e gestione dei certificati per conto di questi proprietari di Domini.
• VAR con portali di Registration Authority indipendenti: In genere dispongono di un proprio portale per registrare gli utenti indipendentemente dalla CA e utilizzare l'API della CA nel backend per eseguire attività relative al ciclo di vita del certificato.

• • Le attività di convalida del dominio vengono generalmente eseguite dalla CA. Ad esempio, se un messaggio email con un Valore Casuale deve essere inviato al Richiedente per dimostrare il controllo di un Nome a Dominio, verrà inviato direttamente dai sistemi di PT-CA e non da quelli del rivenditore.

  • Secondo la sezione 6.1.1.3 dei BR, i PT-CA non sono autorizzati a generare coppie di chiavi per conto degli abbonati. Alcuni Abbonati possono utilizzare VAR per generare ed eventualmente archiviare tali chiavi.

• Rivenditori subCA con marchio: Nella maggior parte dei casi, si tratta di VAR che hanno un accordo con la PT-CA per acquisire una CA emittente personalizzata che contiene il “marchio” del VAR.

• • Questo è tipicamente un subCA gestita internamente, quindi l'operatore della CA padre (solitamente root) di solito gestisce le chiavi e gli eventi del ciclo di vita di quella subCA.

  • SubCA gestite esternamente può contenere anche il marchio dell'entità che gestisce la subCA, ma poiché tale entità controlla una chiave privata associata a un certificato della CA emittente, deve essere adeguatamente verificata secondo la sezione 8.1 del TLS Requisito di base, oppure deve essere tecnicamente vincolato in linea con le sezioni 7.1.2.3, 7.1.2.4, 7.1.2.5 e controllato internamente secondo la sezione 8.7 del TLS Requisiti di base. È considerato fuori ambito nel presente Libro bianco.

Oltre ai rivenditori di subCA di marca, gli abbonati di grandi dimensioni possono anche richiedere a una subCA di marca di emettere certificati con il nome della loro organizzazione (ovvero per uso proprio). Questo modello non viene qui esaminato perché presenta gli stessi rischi di un semplice Subscriber, nel senso di ordinare e gestire grandi volumi di certificati per la propria Organizzazione.

Allo stesso modo, i rivenditori non coinvolti in alcuna parte della gestione del ciclo di vita della chiave/del certificato (ad esempio, i rivenditori che fanno parte di un programma di riferimento con vendite commissionabili) non rientrano nell'ambito di questo white paper.

SubCA brandizzate

Le subCA gestite esternamente, un modello popolare in passato (sulla base dell'analisi dei dati CCADB), sono state notevolmente ridotte negli ultimi anni (nel CCADB c'erano 93 subCA serverAuth con "Audit not same as parent" ancora attive e concatenato a una radice attendibile) e continua ad essere utilizzato in alcuni casi. Quando utilizzato, il certificato subCA include il nome del partner nell'organizationName del objectDN e richiede audit esterni separati.

Il settore utilizza due pratiche per l'organizzazione subCA con marchio gestita internamente:

• Alcune CA includono il nome della CA emittente (operatore root) nell'organizzazioneNome del soggettoDN del certificato CA intermedio marchiato
• Alcune CA includono il nome della SubCA con marchio nel nome dell'organizzazione del soggettoDN del certificato CA intermedio con marchio.

Con i requisiti attuali, è difficile per una Relying Party identificare facilmente se lo sia la CA emittente operato dalla Root CA o da un'altra entità.

Rischi del modello VAR

Dopo aver analizzato il feedback del sondaggio e le varie pratiche VAR in questo settore, abbiamo identificato alcuni rischi applicabili principalmente ai VAR che agiscono per conto di un abbonato:

1. Generazione di chiavi e / o memorizzare della chiave privata: si tratta di una funzione critica per la quale gli standard attuali non impongono requisiti o controlli ai VAR. La mancanza di visibilità sul proprio livello di sicurezza aumenta il rischio di compromettere le chiavi private dell'abbonato.

2. Conservazione delle informazioni di identificazione personale, ed eventualmente altre informazioni sensibili (es. carte di credito), con il rischio di esposizione di dati privati. Questo rischio è simile a quello sopra menzionato; inoltre, esiste il rischio di uso improprio delle PII, ovvero di utilizzo delle PII per scopi diversi da quelli approvati dall'Abbonato.

3. Revoca del certificato, con il rischio di negazione del servizio per gli abbonati. Nel caso dei VAR che hanno accesso privilegiato agli account dei propri clienti, un incidente sul sistema di un VAR o anche un'azione accidentale da parte del VAR può comportare una revoca in blocco, influenzando così la disponibilità di più siti web.

4. Ri-chiave del certificato, consentito in determinate circostanze di sostituire una chiave pubblica in un certificato senza rieseguire la convalida del dominio, con il rischio di intercettare traffico crittografato verso/dai siti web dell'Abbonato.

5. Riutilizzo delle prove utilizzate per la convalida del dominio: Al momento dell’emissione iniziale, c’è un’interazione diretta con il proprietario del dominio che consente al PT-CA di avere il pieno controllo sul processo DCV. In caso di riutilizzo delle prove DCV, questo passaggio non è applicabile, il che significa che esiste il rischio che il VAR possa richiedere con successo l'emissione di un nuovo certificato ai domini in questione senza il consenso dell'Abbonato.

6. I VAR hanno un impatto maggiore e diventano così un “honeypot” in caso di compromesso. Un VAR sarebbe considerato un obiettivo più attraente e, se un utente malintenzionato penetra/compromette con successo i sistemi di un VAR (ad esempio il suo portale), ciò potrebbe colpire più abbonati indipendenti con un impatto molto maggiore rispetto agli attacchi contro singoli abbonati.

7. L'uso di una consuetudine portale rivenditori aggiunge un ulteriore elemento nella catena della sicurezza, estendendo la superficie di attacco. I rischi specifici per un portale rivenditori includono:

   • Minacce alla sicurezza informatica

   • Scarsa igiene della sicurezza delle informazioni

   • Meccanismi di autenticazione/autorizzazione/contabilità deboli

8. Aggiunta di più persone dall'attività del rivenditore a posizioni privilegiate del processo di gestione del ciclo di vita del certificato comporta un aumento della superficie di attacco.

9. Atti dannosi dal VAR; ciò è inerente a qualsiasi attività delegata in cui un soggetto che agisce per conto del reale beneficiario di un servizio (nel nostro caso, l'Abbonato al Certificato), può agire in modo dannoso. Un semplice esempio potrebbe essere un VAR dannoso che “aiuta” un richiedente a generare una coppia di chiavi e successivamente a vendere la chiave privata a un utente malintenzionato.

Durante la nostra analisi, abbiamo identificato che se a un VAR viene concessa una subCA brandizzata gestita internamente, i rischi sono gli stessi, anche se concettualmente la subCA brandizzata è ora considerata "affidabile" perché la Root CA essenzialmente "garantisce" per la subCA. Tieni presente che anche gli URL CRL, OCSP e CAI dell'emittente devono essere gestiti internamente dalla CA radice.

Buone abitudini

Dopo aver considerato i rischi di cui sopra, desideriamo suggerire alcune buone pratiche che possono ridurre al minimo il potenziale di eventuali carenze o azioni inappropriate da parte dei clienti subCA.

Per le subCA con marchio:

• Conosci il tuo potenziale partner: L'emissione di un certificato subCA brandizzato garantisce concettualmente al rivenditore la reputazione e l'affidabilità della PT-CA. Di conseguenza, è importante che gli operatori Root CA esaminino il loro potenziale rivenditore, dalla convalida dell'identità (seguendo le linee guida OV/EV) alla documentazione legale fino alla ricerca della reputazione dell'azienda e della reputazione dei proprietari e del gruppo dirigente.
• Nuova verifica e rivalutazione: Dovrebbe essere effettuata una nuova verifica periodica delle registrazioni aziendali di tutti i rivenditori subCA di marca per garantire la legalità e la buona reputazione. Oltre all'uso di fonti pubbliche, la rivalutazione dei rivenditori può prendere in considerazione le loro prestazioni durante la partnership in corso.
• Disposizioni e politiche contrattuali: I PT-CA dovrebbero assicurarsi di mantenere il controllo sul contratto, in modo che qualsiasi risoluzione del contratto e revoca della subCA derivante da una violazione del contratto sia a loro esclusiva discrezione. Gli accordi subCA con marchio potrebbero includere disposizioni che conferiscano alla PT-CA maggiore visibilità sulle pratiche del rivenditore e stabiliscano requisiti minimi per quanto riguarda la sicurezza interna, il servizio clienti e il rispetto dei BR (nel caso in cui agiscano come terze parti delegate).
• Ambiente giuridico: Prima di concedere una subCA con marchio a entità straniere, è necessario considerare le leggi e le consuetudini della giurisdizione in cui opererà il rivenditore. Ciò può includere la compatibilità delle leggi sulla privacy e dei requisiti di licenza.
• Mantenere il controllo delle risorse: Alcune giurisdizioni potrebbero richiedere che solo le imprese localizzate operino nella loro area; ciò può includere la proprietà di nomi di dominio o di infrastrutture chiave. Alcuni clienti richiedono un branding "esteso", ad esempio URL di risponditori OCSP brandizzati e altre risorse che fanno parte degli obblighi di PT-CA. La PT-CA deve garantire che il suo controllo su queste risorse sopravviva anche alla possibile risoluzione di tale accordo, altrimenti rischia di violare i requisiti della CA/Browser Forum.
• Analisi costi-benefici e trattamento dei rischi: Il modello subCA con marchio può essere redditizio, ma comporta anche rischi di conformità e reputazione. Un PT-CA prudente li analizza prima di garantire reputazione e affidabilità a un potenziale partner. Oltre alla semplice approvazione o rifiuto, la decisione può includere controlli che risolvano eventuali rischi identificati.
• Trasparenza: Attraverso il branding, i rivenditori (potrebbero volerlo) promuoversi come "AC di fiducia pubblica". La trasparenza impone che i consumatori e le parti che fanno affidamento abbiano almeno un'indicazione dell'entità effettiva a cui ripongono la loro fiducia. Un modo suggerito è quello di mantenere il nome della terza parte nel file nome comune di soggettoDN del certificato subCA brandizzato e utilizzare il nome dell'organizzazione dell'operatore CA effettivo (ad esempio il PT-CA) nel file nome dell'organizzazione.

Per tutti i VAR:

• Misure di sicurezza: Per i VAR, SSL.com ha emesso il "Guida alle migliori pratiche di sicurezza delle autorità di certificazione per rivenditori con marchio: misure di sicurezza complete”. Include una serie completa di possibili misure di sicurezza e riferimenti ai requisiti NetSec. Nel caso più semplice in cui un VAR non utilizza i propri sistemi (ad esempio il portale utente) per il ciclo di vita del certificato, alcuni requisiti potrebbero non essere applicabili.
• Tutela degli abbonati: i PT-CA dovrebbero identificare e affrontare i rischi associati all’accesso al sistema messo a disposizione dei VAR. Un PT-CA dovrebbe avere livelli di accesso diversi per gli account rivenditore e non rivenditore, consentendo maggiori restrizioni sul livello di accesso del rivenditore per proteggere gli account dell'abbonato dagli abusi. Ad esempio, ciò potrebbe includere controlli per impedire il riutilizzo di precedenti prove di convalida del dominio da parte dei VAR. A tal fine, i Requisiti di base potrebbero anche richiedere che chiunque non sia un 'Enterprise RA' (ovvero che richiede solo per le proprie organizzazioni e domini di proprietà) debba completare la convalida del dominio per ogni emissione (emissione, riemissione, nuova chiave, duplicato e rinnovo).
• Accordi di abbonamento e rivenditore: I PT-CA potrebbero offrire due tipi di contratti di abbonamento: un contratto di abbonamento che non consente la rivendita e un contratto di rivendita dedicato che contiene clausole e aspettative aggiuntive. Ad esempio, i contratti di rivendita potrebbero includere disposizioni relative alla gestione degli account di abbonato e promuovere la sicurezza delle informazioni sanificazione come descritto nel Guida alle migliori pratiche di sicurezza delle autorità di certificazione per rivenditori con marchio: misure di sicurezza complete.

Nota: non consideriamo il caso di un provider di hosting che partecipa al ciclo di vita del certificato, tipicamente in modo automatizzato tramite i comuni pannelli di controllo del web hosting (Plesk, VirtualMin, CPanel).

• Disposizioni e politiche contrattuali: Includere disposizioni aggiuntive al Contratto per rivenditori, come il diritto di audit, suggerire/richiedere test di penetrazione annuali, revisione delle configurazioni di sistema, implementare MFA o controlli di autenticazione almeno allo stesso livello del PT-CA, monitoraggio e divulgazione degli incidenti.
• Integrazione sicura: imporre l'uso di API sicure, ad esempio applicare l'autenticazione sicura tramite canale crittografato, durata limitata della sessione, ambito adeguato per account/record che interessano solo il VAR e i suoi clienti/abbonati, ecc.
• Gestione delle vulnerabilità: garantire che vengano condotte scansioni periodiche delle vulnerabilità sul portale dei rivenditori. Ciò potrebbe essere richiesto dal Contratto per rivenditori o potrebbe far parte dei servizi offerti da PT-CA per assistere nella buona igiene della sicurezza del portale del rivenditore.
• Valutazione della loro posizione di sicurezza: Raccolta di informazioni relative alla sicurezza e valutazione dei rischi come parte del processo di onboarding del rivenditore. Questo può essere applicato utilizzando questionari strutturati o software specializzati.
• Valutazione annuale: I PT-CA non dovrebbero limitarsi a impostare relazioni VAR non monitorate. È importante implementare un processo di valutazione condotto almeno su base annuale.
• Newsletter di sensibilizzazione: L'invio di newsletter periodiche di sensibilizzazione sulla sicurezza aiuta i rivenditori a migliorare la loro comprensione delle minacce alla sicurezza informatica e ad essere meglio preparati contro gli attacchi. Queste newsletter potrebbero contenere informazioni su eventuali nuovi avvisi di sicurezza relativi a PKI sistemi, un conteggio degli attacchi tentati (o riusciti) o istruzioni su come utilizzare gli strumenti e le tecniche necessarie per migliorare l'igiene della sicurezza.

Conclusioni

Come ogni opportunità, la vendita di subCA di marca presenta aspetti sia positivi che negativi. Ancor più della vendita di certificati di entità finale, le subCA con marchio espongono la CA attendibile a potenziali danni in base alle attività del cliente-rivenditore, offrendo comunque il potenziale di grandi vantaggi. I VAR però non dovrebbero essere trascurati; le loro pratiche commerciali e di sicurezza possono introdurre rischi per gli abbonati e quindi per la reputazione e l'affidabilità della PT-CA.

Prima di stipulare qualsiasi rapporto subCA o VAR con marchio, i PT-CA sono invitati a condurre un'accurata due diligence, considerare tutte le potenziali conseguenze, prendere decisioni informate e stipulare contratti ben sviluppati che tutelino la fiducia del PT-CA. Questo documento mostra che ci sono opzioni disponibili, lezioni apprese e buone pratiche da seguire.

Scopri i rischi e le migliori pratiche per le sub-CA con marchio e i rivenditori a valore aggiunto nel nostro white paper approfondito.