Introduzione
In qualità di autorità di certificazione (CA) leader e società di servizi fiduciari, diamo priorità alla sicurezza e all'affidabilità dei nostri certificati digitali e delle nostre procedure di convalida dell'identità. Questa guida è incentrata sui nostri partner rivenditori di marca che mantengono le autorità di certificazione subordinate concatenate alla radice attendibile di SSL.com (denominate "subCA") e sono responsabili della raccolta di prove di convalida, dell'invio al nostro portale dell'autorità di registrazione e di facilitare l'emissione di certificati dalle subCA con marchio del partner gestiti da SSL.com. Lo scopo di questa guida è garantire l'integrità e la sicurezza del processo di invio delle prove di convalida e del ciclo di vita del certificato, poiché i rivenditori non hanno accesso diretto al materiale root e possono interagire solo con le operazioni del ciclo di vita del certificato tramite un'API designata o tramite un account in il portale della Registration Authority (RA) gestito da SSL.com.
Raccolta sicura di prove di convalida per tipi di convalida estesa, organizzativa e individuale
-
Minimizzazione dei dati: Raccogliere solo le prove di convalida necessarie per il processo di emissione del certificato. Evitare di raccogliere informazioni estranee o sensibili.
-
Metodi di raccolta sicuri: Utilizza canali sicuri, come moduli o portali crittografati, quando raccogli prove di convalida dagli utenti finali.
-
Controllo di accesso: Implementare severi controlli di accesso per raccogliere prove di convalida. Dovrebbe avere accesso solo il personale autorizzato e l’autenticazione a più fattori dovrebbe essere obbligatoria.
-
Integrità dei dati: Garantire che le prove di convalida rimangano inalterate durante il processo di raccolta.
-
Convalida del controllo del dominio: Utilizza servizi e metodi di convalida del controllo del dominio rigorosamente forniti da SSL.com.
Invio sicuro delle prove di convalida alla CA principale
-
Sicurezza API: Utilizza sempre l'API designata per inviare prove di convalida. Assicurati che le chiamate API vengano effettuate su canali sicuri, come HTTPS.
-
Caricamenti del portale: Un altro metodo sicuro per inviare le prove è caricare le prove direttamente nell'ordine correlato che vedresti nel tuo account SSL.com; assicurati di caricare solo prove relative all'ordine specifico.
-
Audit regolari: Condurre controlli regolari dei registri di invio per garantire che non vengano effettuati invii non autorizzati.
-
Risposta agli incidenti: Disporre di un chiaro piano di risposta agli incidenti per eventuali discrepanze o violazioni nel processo di invio. Notificare la CA radice se vengono rilevate irregolarità.
Best practice per l'utilizzo dell'API per le operazioni del ciclo di vita dei certificati
-
Gestione delle chiavi API: Proteggi le tue chiavi API. Archiviali in modo sicuro, ruotali periodicamente e non esporli mai nel codice lato client o in repository pubblici.
-
Limitazione della frequenza: Tieni presente eventuali limiti di velocità imposti all'API per evitare interruzioni involontarie del servizio.
-
Monitoraggio e registrazione: Monitora tutte le attività API. Conserva registri dettagliati ed esaminali regolarmente per individuare eventuali attività sospette o non autorizzate.
-
Gestione degli errori: Implementare robusti meccanismi di gestione degli errori. In caso di errori o discrepanze nelle risposte API, disporre di una procedura chiara per risolverli.
Mantenere un sito web sicuro
-
Corretto TLS Configurazione del server: Assicurarsi che il server supporti solo protocolli e cifrari crittografici avanzati. Aggiornare e applicare patch regolarmente al server per prevenire vulnerabilità note.
-
Rafforzamento del sistema operativo: Riduci al minimo il numero di servizi in esecuzione sul server, applica tempestivamente le patch di sicurezza e utilizza le configurazioni di sicurezza per ridurre la superficie di attacco.
-
Vulnerabilità comuni del sito Web: Esegui regolarmente la scansione e risolvi le vulnerabilità come SQL injection, Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF).
-
Mantenere la corretta integrità della password: Assicurati che le password siano complesse e contengano una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Incoraggia coloro che hanno accesso ai tuoi server o CRM ad aggiornare regolarmente le proprie password ed evitare di riutilizzare password da altri siti. Implementa l'autenticazione a più fattori (MFA) o utilizza i certificati clientAuth.
Requisiti di sicurezza della rete del forum CA/B e dei sistemi di certificazione
-
Scansioni trimestrali delle vulnerabilità: Condurre scansioni regolari delle vulnerabilità ogni trimestre per identificare e correggere potenziali problemi di sicurezza.
-
Test di penetrazione annuale: Partecipare a test di penetrazione annuali per simulare potenziali attacchi e identificare i punti deboli del sistema.
-
Promuovere i requisiti di sicurezza: Sottolineare l'importanza di aderire ai requisiti di sicurezza della rete del forum CA/B e dei sistemi di certificazione per mantenere fiducia e sicurezza.
Promozione delle migliori pratiche per gli utenti finali con generazione, archiviazione e archiviazione di chiavi private CSRs
-
Educare alla generazione delle chiavi: Guida gli utenti finali a utilizzare strumenti controllati dalla CA per generare chiavi e CSRS. Ciò garantisce compatibilità e sicurezza.
-
Lunghezza chiave e algoritmo: Consigliare agli utenti finali di utilizzare algoritmi crittografici avanzati e lunghezze di chiave appropriate (ad esempio, RSA 2048 bit o superiore).
-
Controllo degli accessi e autenticazione a più fattori: Implementa controlli di accesso rigorosi e promuovi l'uso dell'autenticazione a più fattori, in particolare per le azioni che attivano interazioni API CA come la nuova chiave di certificato, il rinnovo e la revoca.
Archiviazione sicura delle chiavi private
-
Rotazione continua dei tasti: La rotazione regolare delle chiavi riduce al minimo la quantità di dati esposti se una chiave viene compromessa e riduce il tempo impiegato da un utente malintenzionato per violare una chiave.
-
Archiviazione e backup crittografati: Incoraggiare i backup crittografati delle chiavi private, archiviati in modo sicuro e separatamente.
-
Revoca e distruzione della chiave: Incoraggia nei tuoi utenti finali policy che consentano una revoca rapida ed efficiente se una chiave viene compromessa o non è più necessaria. La chiave non deve essere utilizzata per alcuna operazione di crittografia dopo essere stata revocata e deve essere distrutta.
-
Mettere in atto una gerarchia delle chiavi: Questa struttura crea livelli di chiavi crittografiche, ciascuno con diversi livelli di accesso e controllo. La chiave principale, che è al centro di questa gerarchia ed è estremamente sicura, viene utilizzata per crittografare chiavi aggiuntive, spesso definite “subordinate” o “crittografia dei dati”.
-
Avere una strategia di risposta al disastro: Sviluppare azioni definite che devono essere intraprese e parti responsabili in caso di grave compromissione o perdita di chiavi.
La fiducia nella nostra CA e nei nostri rivenditori di marca è fondamentale. Aderendo a queste best practice complete, possiamo garantire la sicurezza e l'integrità del processo di emissione del certificato, proteggere i dati degli utenti e mantenere la fiducia dei nostri utenti finali. Incoraggiamo tutti i nostri rivenditori a implementare queste pratiche diligentemente e a contattarci per ulteriori indicazioni o chiarimenti.