学んだ教訓、セキュリティへの影響、およびブランド SubCA のグッド プラクティス

公的に信頼された証明機関の所有者 (PT-CA) は、インターネットの安全な機能の基盤です。これらは、一般、世界的なパブリック、および主要なブラウザ ベンダーから委託されて、必須の公開キー インフラストラクチャを提供しています (PKI) 信頼を確立し、通信を保護し、安全なオンライン取引を促進するために必要です。信頼性を維持するために、公的に信頼されている CA は、業務のセキュリティと最新の基準の順守に多大なリソースを投資する必要があり、厳格な独立した監査と監督の対象となります。

PT-CA は企業として、製品を流通させ、市場での存在感を拡大するために、信頼できる再販業者のネットワークを構築することに正当な利益を持っています。彼らは「トラストアンカー」として機能するため、公的に信頼される証明書の提供を自社のサービスに含めたいという利害関係者からの要求を、場合によっては自分の名前で受け取ることがよくあります。これらは、「ホワイトラベル」または「ブランド付き」サブ CA と呼ばれます。

PT-CA、リセラー、加入者コミュニティの多くのメンバーは、完全に専用の CA インフラストラクチャに投資することなく評判を構築するのに役立つブランドの SubCA が貴重であると考えており、ほとんどのリセラーの顧客は、SubCA 内に独自のブランドを持つ特権を責任を持って処理しています。残念ながら、意図的かどうかにかかわらず、不適切なセキュリティ慣行や悪用が発生する場合があります。

このホワイト ペーパーでは、ブランドの SubCA リセラーに関連するセキュリティ リスクを分析し、調査を通じて収集した経験と、業界の最近の事例の分析から得た教訓に基づいて、優れた実践方法を提案します。私たちの調査結果は、政策立案者 (CA/B フォーラム、ルート ストア オーナー)、サービスの信頼性に最終的な責任を負う PT-CA、およびその他の関係者にとって役立つはずです。

Survey

このレポートに役立つコミュニティからの洞察を収集するために、2023 年後半に SSL.com によって調査が実施されました。私たちの調査には、次の側面をカバーする質問が含まれていました。

  1. ブランドのサブCAモデルの人気
  2. ブランド変更の範囲: ブランド化された CRL/OCSP レスポンダー、ユーザー ポータル、カスタム製品名
  3. ブランドサブCA顧客の選択/審査プロセス
  4. 独自のユーザーポータルの使用
  5. これらのポータルの監査と検査
  6. ブランドサブCAの顧客との経験に基づいて学んだ教訓
  7. ブランドサブCAの生成、制御、取り消しに関する技術的課題

この調査は、CCADB データの分析に基づくと、ブランド化されたサブ CA モデルについて最も経験があると思われる 9 つの PT-CA を対象に行われました。

調査結果

5 人の PT-CA のうち 9 人から回答を受け取り、説明を求めてフォローアップしました。回答は、CA 業界で適用されている、ブランド化されたサブ CA モデルと関連する実践における共通点と相違点を特定するために分析されました。

調査結果のハイライト:

  1. 業界では、このモデルまたは同様の SubCA モデルに対して、いくつかの同義語が使用されています。 ブランドの, ホワイトラベル, 専用の, 虚栄心.

  2. 参加している CA 4 社のうち 5 社は、ブランド化されたサブ CA が自社のサービスの一部であることを確認しました。この製品は、ホスティング プロバイダーや大手再販業者など、選ばれた顧客を対象としています。これは、独自の使用のために証明書を必要とする大規模なアカウントの場合にも適用できます。たとえば、ある CA は、このモデルを学術機関や研究機関に適用したと報告しました。

  3. 通常、ブランディングには、subjectDN フィールドに顧客/再販業者の名前が含まれる SubCA 証明書の発行が含まれます。拡張ブランド化には、ブランド化された CRL/OCSP レスポンダー URL や、独自の RA ポータルを持たない小規模顧客/再販業者向けのブランド化されたマイクロポータルも含まれる場合があります。

  4. SubCA の選択プロセスは、主に、活動の種類、予測される証明書の数、使用目的などのビジネス/商業的な基準に基づいています。一部の PT-CA は、大規模な顧客やプロジェクトにサービスを提供する場合に、影響やリスクを分離する手段として、ブランド化されているかどうかにかかわらず、汎用の発行 CA と区別するために専用のサブ CA を作成することを独自に提案または決定する可能性があると報告しました。取り消しを必要とするインシデント(侵害、コンプライアンス違反など)の発生。

  5. 精査には通常、次の検証アクティビティが含まれます。

    a.組織の名前、住所、存在の確認 (OV または EV プロセスと同様)。そして

    b.リクエストの承認の検証。

  6. 参加している PT-CA の 1 人は、契約に署名する前に、ブランド化された SubCA 申請者の評判を確認するためにコンプライアンス チームとの内部協議が行われると報告しました。これには、データ改ざんやマネーロンダリング活動への関与に関する報告を見つけるために公的リソースを検索することが含まれます。申請者がすでに PT-CA である場合、CCADB と Bugzilla は追加の情報源です。

  7. 商業的/経済的以外の理由でブランド化された SubCA クライアントを拒否したと報告したものはありませんでした。

  8. ほぼすべての PT-CA は、ほとんどのブランドのサブ CA が独自のユーザー ポータルを導入していると報告しました。ある PT-CA は、これをブランド化されたサブ CA パートナーの総数の 80% と定量化しました。例外として、ある PT-CA は、独自のユーザー ポータルを使用しているブランドのサブ CA 顧客を認識していませんでした。

  9. PT-CA は、ブランド化されたサブ CA のサードパーティ ユーザー ポータルを監査またはその他の方法で検査したと報告していません (ブランド化されたサブ CA が PT-CA でもある場合を除き、つまりユーザー ポータルがいずれにせよ監査の対象となることを意味します)。

  10. ある PT-CA は次のような教訓を報告しました。

    a.発行される証明書の数は、ブランド付きサブ CA を維持するのに十分な数である必要があります。

    b.契約を進める前に、業界での経験を確認する価値があります。

    c.適切な契約期間に注意することも重要です。

  11. いくつかの PT-CA は、ブランド付きサブ CA の生成、制御、取り消しに関して特別な技術的課題は見当たらないと報告しました。

付加価値再販業者

調査結果と独自の調査で収集した情報によると、ほぼすべての PT-CA が再販プログラムを提供しています。卸売割引を享受し、利幅を得るために CA 製品を再販する企業や個人 (普通の再販業者) から、CA 製品を自社の製品に組み込んだり、顧客の利益のために付加価値サービスを提供したりする事業体まで。前者 (「通常の再販業者」) は、販売自体以外のサービスには一切関与していないため、この文書では対象外とみなされます。

一方、付加価値再販業者 (VAR) は、キー/証明書のライフサイクル プロセスの促進に小規模または大幅に関与する場合があります。これにはセキュリティとコンプライアンスへの影響があるため、このホワイト ペーパーでは VAR に焦点を当て、固有のリスク (および利点) について検討します。

私たちの調査により、キー/証明書のライフサイクル プロセスへの関与、PT-CA のポータルまたは独自のポータル/システムの使用、PT-CA で発行されたサブ CA の使用に応じて、業界にはさまざまなタイプ/実践方法があることが明らかになりました。 PT-CA/ルート CA、またはブランド化されたサブ CA の名前。

私たちが特定した最も一般的なケースは次のとおりです。

  • PT-CA またはルート CA のシステムを利用する VAR: 通常、CA の登録局ポータルを使用して、ドメイン名を所有/管理するエンティティを支援します。通常、これらのドメイン所有者に代わって証明書の登録と管理を支援します。
  • 独立した登録局ポータルを備えた VAR: 通常、CA とは独立してユーザーを登録するための独自のポータルがあり、バックエンドで CA の API を使用して証明書ライフサイクル アクティビティを実行します。
    • ドメイン検証アクティビティは通常、CA によって実行されます。たとえば、ドメイン名の管理を証明するためにランダム値を含む電子メール メッセージが申請者に送信される場合、そのメッセージはリセラーのシステムではなく PT-CA のシステムから直接送信されます。

    • BR のセクション 6.1.1.3 によると、PT-CA は加入者に代わってキー ペアを生成することを許可されていません。一部の加入者は、VAR を使用してこれらのキーを生成し、場合によっては保存する場合があります。

  • ブランドの subCA 再販業者: ほとんどの場合、これらは、VAR の「ブランド」を含むカスタム発行 CA を取得するために PT-CA と契約を結んだ VAR です。
    • これは通常、 内部運用のサブCAしたがって、親 (通常はルート) CA オペレーターが通常、そのサブ CA のキーとライフサイクル イベントを管理します。

    • 外部運用のサブCA サブ CA を運営するエンティティのブランドも含まれる場合がありますが、このエンティティは発行 CA 証明書に関連付けられた秘密キーを管理するため、証明書のセクション 8.1 に従って適切に監査される必要があります。 TLS ベースライン要件、またはセクション 7.1.2.3、7.1.2.4、7.1.2.5 に従って技術的に制約され、本書のセクション 8.7 に従って内部監査される必要があります。 TLS ベースライン要件。このホワイトペーパーでは、これは範囲外とみなされます。

ブランドのサブCAリセラーに加えて、大規模な加入者も、ブランドのサブCAに、組織名で(つまり、自分で使用するための)証明書を発行するよう要求する場合があります。このモデルは、独自の組織のために大量の証明書を注文して管理するという意味で、単純な加入者の場合と同じリスクがあるため、ここでは検討しません。

同様に、キー/証明書のライフサイクル管理のどの部分にも関与していない再販業者 (たとえば、販売手数料がかかる紹介者プログラムの一部である再販業者) は、このホワイト ペーパーの対象外です。

ブランドのサブCA

過去に人気があったモデル(CCADB データの分析に基づく)である外部運用のサブ CA は、ここ数年で大幅に減少しました(CCADB には、「親と同じではない監査」がまだアクティブな 93 のserverAuth サブ CA がありました。信頼されたルートにチェーンされている)、場合によっては引き続き使用されます。使用する場合、subCA 証明書には subjectDN の OrganizationName にパートナーの名前が含まれており、個別の外部監査が必要です。

業界では、社内で運営されているブランドの SubCA 組織に対して次の 2 つのプラクティスを使用しています。

  • 一部の CA には、ブランド化された中間 CA 証明書の subjectDN の組織名に発行 CA (ルート オペレーター) 名が含まれています。
  • 一部の CA では、ブランド付き中間 CA 証明書の subjectDN の組織名にブランド付きサブ CA の名前が含まれています。

現在の要件では、証明書利用者が発行 CA が認証されているかどうかを簡単に識別することは困難です。 運営 ルート CA または別のエンティティによる。

VAR モデルのリスク

調査からのフィードバックとこの業界のさまざまな VAR 慣行を分析した結果、主に加入者に代わって動作する VAR に当てはまるリスクをいくつか特定しました。

  1. 鍵の生成 および 保存 秘密キーの: これは重要な機能であり、現在の標準では VAR に対して要件や監査が強制されていません。セキュリティ体制が可視化されていないため、加入者の秘密鍵が漏洩するリスクが高まります。

  2. 個人を特定できる情報の保管、および場合によってはその他の機密情報 (クレジット カードなど) が含まれる可能性があり、個人データが漏洩するリスクがあります。このリスクは上記のリスクと同様です。さらに、PII の不適切な使用、つまり加入者が承認した目的以外の目的での PII の使用のリスクがあります。

  3. 証明書の失効、加入者に対するサービス拒否のリスクを伴います。顧客のアカウントへの特権アクセスを持つ VAR の場合、VAR のシステム上のインシデントや、VAR による偶発的なアクションによっても一括取り消しが発生し、複数の Web サイトの可用性に影響を与える可能性があります。

  4. 証明書の再キー化、特定の状況では、ドメイン検証を再実行せずに証明書内の公開キーを置き換えることが許可されますが、加入者の Web サイトとの間で送受信される暗号化されたトラフィックが傍受されるリスクがあります。

  5. ドメイン検証に使用された証拠の再利用: 最初の発行時には、ドメイン所有者と直接対話が行われ、PT-CA が DCV プロセスを完全に制御できるようになります。 DCV 証拠の再利用の場合、この手順は適用されません。つまり、VAR が加入者の許可なしに問題のドメインへの新しい証明書の発行を要求してしまうリスクがあります。

  6. VAR の影響力が増大し、「ハニーポット」となる 妥協の場合。 VAR はより魅力的なターゲットとみなされ、攻撃者が VAR のシステム (ポータルなど) への侵入や侵害に成功した場合、より独立した加入者に影響を与える可能性があり、その結果、個々の加入者に対する攻撃と比較して、はるかに大きな影響が生じる可能性があります。

  7. カスタムの使用 再販業者ポータル セキュリティ チェーンに要素が 1 つ追加され、攻撃対象領域が拡大します。再販業者ポータルに対する具体的なリスクには次のようなものがあります。

    • サイバーセキュリティの脅威

    • 情報セキュリティ衛生が不十分

    • 弱い認証/認可/アカウンティングメカニズム

  8. 再販業者のビジネスからさらに人員を追加する 特権階級 証明書のライフサイクル管理プロセスの影響により、攻撃対象領域が増加します。

  9. 悪質な行為 VARによる。これは、サービスの実際の受益者 (この場合は証明書加入者) の代理として行動するエンティティが悪意を持って行動する可能性がある、委任されたアクティビティに固有のものです。簡単な例としては、申請者がキー ペアを生成するのを「支援」し、その後秘密キーを攻撃者に販売する悪意のある VAR が挙げられます。

分析中に、ルート CA が本質的にサブ CA を「保証」しているため、概念的にはブランド付きサブ CA が「信頼できる」とみなされるものの、VAR に内部運用のブランド サブ CA が付与されている場合、リスクは同じであることが判明しました。 CRL、OCSP、CAIssuer URL もルート CA によって内部的に操作される必要があることに注意してください。

グッドプラクティス

上記のリスクを考慮した後、SubCA の顧客による欠点や不適切な行為の可能性を最小限に抑えることができるいくつかの優れた実践方法を提案したいと思います。

ブランド付きサブCAの場合:

  • 潜在的なパートナーを知る: ブランドのサブ CA 証明書を発行すると、概念的には、リセラーに PT-CA の評判と信頼性が付与されます。したがって、ルート CA オペレーターは、身元検証 (OV/EV ガイドラインに従う) から法的文書、会社の評判や所有者や管理チームの評判の調査に至るまで、潜在的なリセラーを精査することが重要です。
  • 再検証と再評価: 合法性と良好な状態を確保するために、すべてのブランドのサブCA再販業者のビジネス登録を定期的に再検証する必要があります。再販業者の再評価では、公的情報源の使用に加えて、継続的なパートナーシップ中のパフォーマンスも考慮される場合があります。
  • 契約条項とポリシー: PT-CA は、契約違反による契約の終了とサブ CA の取り消しが独自の裁量で行われるように、契約に対する管理を確実に維持する必要があります。ブランドのサブ CA 契約には、PT-CA が再販業者の慣行をより詳細に把握できるようにし、内部セキュリティ、顧客サービス、および BR の遵守 (委任された第三者として機能する場合) に関する最小要件を設定する条項を含めることができます。
  • 法的環境: 外国法人にブランドサブ CA を付与する前に、再販業者が営業する管轄区域の法律と慣習を考慮する必要があります。これには、プライバシー法の互換性とライセンス要件が含まれる場合があります。
  • リソースの制御を維持します。 一部の管轄区域では、その地域で地元密着型の企業のみが営業することを要求している場合があります。これには、ドメイン名または主要なインフラストラクチャの所有権が含まれる場合があります。一部の顧客は、「拡張」ブランディング、たとえば、PT-CA の義務の一部であるブランド化された OCSP レスポンダー URL やその他のリソースを要求します。 PT-CA は、これらのリソースに対する管理が、契約が終了する可能性があっても存続することを保証する必要があります。そうしないと、CA/ブラウザ フォーラムの要件に違反する危険があります。
  • 費用対効果の分析とリスク処理: ブランド化された SubCA モデルは儲かるかもしれませんが、コンプライアンスと評判のリスクも伴います。賢明な PT-CA は、潜在的なパートナーに評判と信頼性を与える前に、これらを分析します。単なる承認または拒否に加えて、決定には、特定されたリスクを修正するための制御が含まれる場合があります。
  • 透明性: ブランド化を通じて、再販業者は自分自身を「公的に信頼されている CA」として宣伝します (希望する場合があります)。透明性により、消費者と依存当事者は、信頼を置く実際のエンティティを少なくとも示すことができます。推奨される方法の 1 つは、サードパーティの名前を 一般名 件名DN ブランドのサブ CA 証明書の名前を指定し、実際の CA オペレータ (PT-CA など) の組織名を使用します。 組織名.

すべての VAR の場合:

  • 安全対策: VAR については、SSL.com が「ブランド再販業者向け認証局セキュリティ ベスト プラクティス ガイド: 包括的なセキュリティ対策”。これには、考えられる一連の包括的なセキュリティ対策と NetSec 要件への参照が含まれています。 VAR が証明書のライフサイクルに独自のシステム (ユーザー ポータルなど) を使用していない最も単純なケースでは、要件の一部が適用されない可能性があります。
  • 加入者の保護: PT-CA は、VAR が利用できるシステム アクセスに関連するリスクを特定し、対処する必要があります。 PT-CA は、再販業者アカウントと非再販業者アカウントに対して異なるアクセス レベルを設定し、加入者アカウントを悪用から保護するために再販業者のアクセス レベルに対する制限を強化する必要があります。たとえば、これには、VAR による以前のドメイン検証証拠の再利用を防ぐ制御が含まれる場合があります。この目的を達成するために、ベースライン要件では、「エンタープライズ RA」ではない人 (つまり、自分が所有する組織およびドメインのみを要求する人) がすべての発行 (発行、再発行、キーの再生成、複製、およびリニューアル)。
  • 加入者および再販業者の契約: PT-CA は、2 種類の加入者契約を提供できます。1 つは再販を許可しない加入者契約、もう 1 つは追加条項と期待事項を含む専用リセラー契約です。たとえば、リセラー契約には、加入者アカウントの管理と情報セキュリティの促進に関する条項を含めることができます。に記載されている消毒 ブランド再販業者向け認証局セキュリティ ベスト プラクティス ガイド: 包括的なセキュリティ対策.
独自のポータルを持つ VAR の場合:

注: 通常、一般的な Web ホスティング コントロール パネル (Plesk、VirtualMin、CPanel) を介して自動化された方法で、証明書のライフサイクルに参加するホスティング プロバイダーのケースは考慮されていません。

  • 契約条項とポリシー: 監査、年次侵入テストの提案/要求、システム構成のレビュー、少なくとも PT-CA と同じレベルでの MFA または認証制御の実装、監視およびインシデントの開示を行う権利など、リセラー契約に追加条項を含めます。
  • 安全な統合: 安全な API の使用を強制します。たとえば、暗号化されたチャネルによる安全な認証、限られたセッション期間、VAR とその顧客/加入者のみに影響を与えるアカウント/レコードへの適切な範囲設定などを適用します。
  • 脆弱性管理: リセラー ポータルに対して定期的な脆弱性スキャンが実行されていることを確認します。これは、再販業者契約によって要求される場合もあれば、再販業者のポータルの適切なセキュリティ衛生を支援するために PT-CA が提供するサービスの一部である場合もあります。
  • セキュリティ体制の評価: 再販業者のオンボーディング プロセスの一環としてのセキュリティ関連情報の収集とリスク評価。これは、構造化されたアンケートや専用のソフトウェアを使用して適用できます。
  • 年次評価: PT-CA は、単に監視されていない VAR 関係を設定するべきではありません。少なくとも年に一度の評価プロセスを実施することが重要です。
  • 啓発ニュースレター: 定期的なセキュリティ意識向上ニュースレターの送信は、再販業者がサイバーセキュリティの脅威に対する理解を深め、攻撃に対する備えを強化するのに役立ちます。これらのニュースレターには、以下に関連する新しいセキュリティ警告に関する情報が含まれる可能性があります。 PKI システム、試行された (または成功した) 攻撃の集計、またはセキュリティ衛生を改善するために必要なツールやテクニックの利用方法に関する指示。

結論

他の機会と同様に、ブランドサブ CA の販売にはプラスの面とマイナスの面の両方があります。エンドエンティティ証明書の販売以上に、ブランド付きサブ CA は、信頼できる CA を再販業者クライアントの活動に基づく潜在的な損害にさらすと同時に、大きな利益をもたらす可能性を提供します。ただし、VAR を無視してはなりません。彼らのビジネスおよびセキュリティ慣行は、加入者にリスクをもたらし、ひいては PT-CA の評判と信頼性にリスクをもたらす可能性があります。

ブランドのサブ CA または VAR 関係を結ぶ前に、PT-CA は徹底的なデューデリジェンスを実施し、あらゆる潜在的な影響を考慮し、十分な情報に基づいて決定を下し、PT-CA の信頼を保護するよく練られた契約を締結するよう警告されます。このペーパーでは、利用可能なオプションがあり、学んだ教訓があり、従うべき良い実践があることを示しています。

 

詳細なホワイト ペーパーで、ブランドのサブ CA と付加価値再販業者のリスクとベスト プラクティスを確認してください。

 

SSL.comのニュースレターを購読する

SSL.comからの新しい記事と更新をお見逃しなく

常に最新情報を入手して安全を確保

SSL.com サイバーセキュリティの世界的リーダーであり、 PKI そしてデジタル証明書。サインアップして、最新の業界ニュース、ヒント、製品のお知らせを受け取ります。 SSL.com.

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。