概要
大手の認証局 (CA) およびトラスト サービス会社として、当社はデジタル証明書と ID 検証手順のセキュリティと信頼性を優先しています。 このガイドは、SSL.com の信頼されたルート (「サブ CA」と呼ばれます) にチェーンされた下位の認証局を保持し、検証証拠の収集、登録局ポータルへの提出、および証明書の発行の促進を担当するブランド再販パートナーに焦点を当てています。 SSL.com によって管理されるパートナー ブランドの SubCA からの証明書。 このガイドの目的は、検証証拠の提出プロセスと証明書のライフサイクルの整合性とセキュリティを確保することです。再販業者はルート マテリアルに直接アクセスできず、指定された API またはアカウントを介してのみ証明書のライフサイクル操作を操作できるためです。 SSL.com が管理する登録局 (RA) ポータル。
拡張、組織、および個人の検証タイプの検証証拠の安全な収集
-
データの最小化: 証明書発行プロセスに必要な検証証拠のみを収集します。 無関係な情報や機密情報を収集しないようにします。
-
安全な収集方法: エンドユーザーから検証証拠を収集する場合は、暗号化されたフォームやポータルなどの安全なチャネルを使用します。
-
アクセス制御: 厳格なアクセス制御を実装して検証証拠を収集します。 許可された担当者のみがアクセスできるようにし、多要素認証を必須にする必要があります。
-
データの整合性: 収集プロセス中に検証証拠が変更されていないことを確認してください。
-
ドメインコントロールの検証: SSL.com が厳密に提供するドメイン コントロール検証サービスとメソッドを利用します。
ルート CA への検証証拠の安全な提出
-
APIセキュリティ: 検証証拠を提出するには、必ず指定された API を使用してください。 API 呼び出しが HTTPS などの安全なチャネル経由で行われるようにしてください。
-
ポータルのアップロード: 証拠を提出するもう XNUMX つの安全な方法は、SSL.com アカウントに表示される関連するオーダーに証拠を直接アップロードすることです。 特定の注文に関連する証拠のみをアップロードしてください。
-
定期的な監査: 提出ログの定期的な監査を実施して、不正な提出が行われていないことを確認します。
-
インシデント対応: 提出プロセスにおける矛盾や違反に対する明確なインシデント対応計画を立ててください。 通知する ルート CA 何らかの異常が検出された場合.
証明書ライフサイクル操作 API を使用するためのベスト プラクティス
-
API キー管理: API キーを保護します。 それらを安全に保存し、定期的にローテーションし、クライアント側のコードやパブリック リポジトリに決して公開しないでください。
-
レート制限: 意図しないサービスの中断を避けるために、API に課されるレート制限に注意してください。
-
モニタリングとロギング: すべての API アクティビティを監視します。 詳細なログを管理し、不審なアクティビティや不正なアクティビティがないか定期的に確認します。
-
エラー処理: 堅牢なエラー処理メカニズムを実装します。 API 応答に障害や矛盾が発生した場合に備えて、それらに対処するための明確な手順を用意してください。
安全なウェブサイトの維持
-
適切 TLS サーバー構成: サーバーが強力な暗号化方式とプロトコルのみをサポートしていることを確認してください。 既知の脆弱性を防ぐために、サーバーを定期的に更新してパッチを適用します。
-
オペレーティング システムの強化: サーバー上で実行されているサービスの数を最小限に抑え、セキュリティ パッチを迅速に適用し、セキュリティ構成を使用して攻撃対象領域を減らします。
-
一般的な Web サイトの脆弱性: SQL インジェクション、クロスサイト スクリプティング (XSS)、クロスサイト リクエスト フォージェリ (CSRF)。
-
パスワードの適切な状態を維持する: パスワードは大文字、小文字、数字、特殊文字を組み合わせた複雑なものにしてください。 サーバーまたは CRM にアクセスできるユーザーには、パスワードを定期的に更新し、他のサイトのパスワードを再利用しないように奨励します。 多要素認証 (MFA) を実装するか、clientAuth 証明書を利用します。
CA/B フォーラムのネットワークと証明書システムのセキュリティ要件
-
四半期ごとの脆弱性スキャン: 潜在的なセキュリティ問題を特定して修正するために、四半期ごとに定期的な脆弱性スキャンを実施します。
-
年次侵入テスト: 年に一度の侵入テストに参加して、潜在的な攻撃をシミュレートし、システムの弱点を特定します。
-
セキュリティ要件の推進: 信頼とセキュリティを維持するには、CA/B フォーラムのネットワークと証明書システムのセキュリティ要件を遵守することの重要性を強調します。
秘密鍵の生成、保管、および保管に関するエンドユーザーのベストプラクティスの推進 CSRs
-
鍵の生成について教育します。 CA が精査したツールを使用してキーを生成し、 CSRs. これにより、互換性とセキュリティが確保されます。
-
キーの長さとアルゴリズム: 強力な暗号化アルゴリズムと適切なキー長 (RSA 2048 ビット以上など) を使用するようにエンド ユーザーにアドバイスしてください。
-
アクセス制御と多要素認証: 厳密なアクセス制御を実装し、多要素認証の使用を促進します。特に、証明書の再キー、更新、失効などの CA API インタラクションをトリガーするアクションに対して多要素認証を推奨します。
秘密鍵の安全な保管
-
継続的なキーのローテーション: キーを定期的にローテーションすることで、キーが侵害された場合に公開されるデータの量が最小限に抑えられ、攻撃者がキーを解読するのにかかる時間が短縮されます。
-
暗号化されたストレージとバックアップ: 秘密鍵を暗号化してバックアップし、安全に個別に保管することを推奨します。
-
失効とキーの破棄: キーが侵害された場合、またはキーが不要になった場合に、迅速かつ効率的な取り消しを可能にするポリシーをエンド ユーザーに奨励します。 キーは取り消された後は暗号化操作に使用できず、破棄する必要があります。
-
キー階層を導入する: この構造により、それぞれに異なるレベルのアクセスと制御を持つ暗号キーのレイヤーが作成されます。 マスター キーはこの階層の中心にあり、非常に安全であり、追加キーの暗号化に使用されます。追加キーは、「下位」または「データ暗号化」と呼ばれることがよくあります。
-
災害対応戦略を立てる: 主要なキーの侵害またはキーの紛失が発生した場合に、実行する必要がある定義済みのアクションと責任者を策定します。
CA およびブランド再販業者に対する信頼が最も重要です。 これらの包括的なベスト プラクティスに従うことで、証明書発行プロセスのセキュリティと整合性を確保し、ユーザー データを保護し、エンドユーザーの信頼を維持できます。 当社では、すべての再販業者がこれらの慣行を熱心に実施し、さらなる指導や説明が必要な場合は当社までご連絡いただくことをお勧めします。
