Guida alle migliori pratiche di sicurezza delle autorità di certificazione per rivenditori con marchio: misure di sicurezza complete

Visualizza tutte le guide

Introduzione

In qualità di autorità di certificazione (CA) leader e società di servizi fiduciari, diamo priorità alla sicurezza e all'affidabilità dei nostri certificati digitali e delle nostre procedure di convalida dell'identità. Questa guida è incentrata sui nostri partner rivenditori di marca che mantengono le autorità di certificazione subordinate concatenate alla radice attendibile di SSL.com (denominate "subCA") e sono responsabili della raccolta di prove di convalida, dell'invio al nostro portale dell'autorità di registrazione e di facilitare l'emissione di certificati dalle subCA con marchio del partner gestiti da SSL.com. Lo scopo di questa guida è garantire l'integrità e la sicurezza del processo di invio delle prove di convalida e del ciclo di vita del certificato, poiché i rivenditori non hanno accesso diretto al materiale root e possono interagire solo con le operazioni del ciclo di vita del certificato tramite un'API designata o tramite un account in il portale della Registration Authority (RA) gestito da SSL.com.

Raccolta sicura di prove di convalida per tipi di convalida estesa, organizzativa e individuale

  • Minimizzazione dei dati: Raccogliere solo le prove di convalida necessarie per il processo di emissione del certificato. Evitare di raccogliere informazioni estranee o sensibili.
  • Metodi di raccolta sicuri: Utilizza canali sicuri, come moduli o portali crittografati, quando raccogli prove di convalida dagli utenti finali.
  • Controllo di accesso: Implementare severi controlli di accesso per raccogliere prove di convalida. Dovrebbe avere accesso solo il personale autorizzato e l’autenticazione a più fattori dovrebbe essere obbligatoria.
  • Integrità dei dati: Garantire che le prove di convalida rimangano inalterate durante il processo di raccolta.
  • Convalida del controllo del dominio: Utilizza servizi e metodi di convalida del controllo del dominio rigorosamente forniti da SSL.com.

Invio sicuro delle prove di convalida alla CA principale

  • Sicurezza API: Utilizza sempre l'API designata per inviare prove di convalida. Assicurati che le chiamate API vengano effettuate su canali sicuri, come HTTPS.
  • Caricamenti del portale: Un altro metodo sicuro per inviare le prove è caricare le prove direttamente nell'ordine correlato che vedresti nel tuo account SSL.com; assicurati di caricare solo prove relative all'ordine specifico.
  • Audit regolari: Condurre controlli regolari dei registri di invio per garantire che non vengano effettuati invii non autorizzati.
  • Risposta agli incidenti: Disporre di un chiaro piano di risposta agli incidenti per eventuali discrepanze o violazioni nel processo di invio. Notificare la CA radice us subito se vengono rilevate irregolarità.

Best practice per l'utilizzo dell'API per le operazioni del ciclo di vita dei certificati

  • Gestione delle chiavi API: Proteggi le tue chiavi API. Archiviali in modo sicuro, ruotali periodicamente e non esporli mai nel codice lato client o in repository pubblici.
  • Limitazione della frequenza: Tieni presente eventuali limiti di velocità imposti all'API per evitare interruzioni involontarie del servizio.
  • Monitoraggio e registrazione: Monitora tutte le attività API. Conserva registri dettagliati ed esaminali regolarmente per individuare eventuali attività sospette o non autorizzate.
  • Gestione degli errori: Implementare robusti meccanismi di gestione degli errori. In caso di errori o discrepanze nelle risposte API, disporre di una procedura chiara per risolverli.

Mantenere un sito web sicuro

  • Corretto TLS Configurazione del server: Assicurarsi che il server supporti solo protocolli e cifrari crittografici avanzati. Aggiornare e applicare patch regolarmente al server per prevenire vulnerabilità note.
  • Rafforzamento del sistema operativo: Riduci al minimo il numero di servizi in esecuzione sul server, applica tempestivamente le patch di sicurezza e utilizza le configurazioni di sicurezza per ridurre la superficie di attacco.
  • Vulnerabilità comuni del sito Web: Esegui regolarmente la scansione e risolvi le vulnerabilità come SQL injection, Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF).
  • Mantenere la corretta integrità della password: Assicurati che le password siano complesse e contengano una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Incoraggia coloro che hanno accesso ai tuoi server o CRM ad aggiornare regolarmente le proprie password ed evitare di riutilizzare password da altri siti. Implementa l'autenticazione a più fattori (MFA) o utilizza i certificati clientAuth.

Requisiti di sicurezza della rete del forum CA/B e dei sistemi di certificazione

  • Scansioni trimestrali delle vulnerabilità: Condurre scansioni regolari delle vulnerabilità ogni trimestre per identificare e correggere potenziali problemi di sicurezza.
  • Test di penetrazione annuale: Partecipare a test di penetrazione annuali per simulare potenziali attacchi e identificare i punti deboli del sistema.
  • Promuovere i requisiti di sicurezza: Sottolineare l'importanza di aderire ai requisiti di sicurezza della rete del forum CA/B e dei sistemi di certificazione per mantenere fiducia e sicurezza.

Promozione delle migliori pratiche per gli utenti finali con generazione, archiviazione e archiviazione di chiavi private CSRs

  • Educare alla generazione delle chiavi: Guida gli utenti finali a utilizzare strumenti controllati dalla CA per generare chiavi e CSRS. Ciò garantisce compatibilità e sicurezza.
  • Lunghezza chiave e algoritmo: Consigliare agli utenti finali di utilizzare algoritmi crittografici avanzati e lunghezze di chiave appropriate (ad esempio, RSA 2048 bit o superiore).
  • Controllo degli accessi e autenticazione a più fattori: Implementa controlli di accesso rigorosi e promuovi l'uso dell'autenticazione a più fattori, in particolare per le azioni che attivano interazioni API CA come la nuova chiave di certificato, il rinnovo e la revoca.

Archiviazione sicura delle chiavi private

  • Rotazione continua dei tasti: La rotazione regolare delle chiavi riduce al minimo la quantità di dati esposti se una chiave viene compromessa e riduce il tempo impiegato da un utente malintenzionato per violare una chiave.
  • Archiviazione e backup crittografati: Incoraggiare i backup crittografati delle chiavi private, archiviati in modo sicuro e separatamente.
  • Revoca e distruzione della chiave: Incoraggia nei tuoi utenti finali policy che consentano una revoca rapida ed efficiente se una chiave viene compromessa o non è più necessaria. La chiave non deve essere utilizzata per alcuna operazione di crittografia dopo essere stata revocata e deve essere distrutta.
  • Mettere in atto una gerarchia delle chiavi: Questa struttura crea livelli di chiavi crittografiche, ciascuno con diversi livelli di accesso e controllo. La chiave principale, che è al centro di questa gerarchia ed è estremamente sicura, viene utilizzata per crittografare chiavi aggiuntive, spesso definite “subordinate” o “crittografia dei dati”.
  • Avere una strategia di risposta al disastro: Sviluppare azioni definite che devono essere intraprese e parti responsabili in caso di grave compromissione o perdita di chiavi.
La fiducia nella nostra CA e nei nostri rivenditori di marca è fondamentale. Aderendo a queste best practice complete, possiamo garantire la sicurezza e l'integrità del processo di emissione del certificato, proteggere i dati degli utenti e mantenere la fiducia dei nostri utenti finali. Incoraggiamo tutti i nostri rivenditori a implementare queste pratiche diligentemente e a contattarci per ulteriori indicazioni o chiarimenti.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Team di supporto SSL

Tutti i post »

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio