개요
선도적인 인증 기관(CA)이자 신뢰 서비스 회사로서 우리는 디지털 인증서와 신원 확인 절차의 보안과 신뢰성을 최우선으로 생각합니다. 이 가이드는 SSL.com의 신뢰할 수 있는 루트(“하위 CA”라고 함)에 연결된 하위 인증 기관을 보유하고 검증 증거를 수집하여 등록 기관 포털에 제출하고 발급을 촉진하는 브랜드 리셀러 파트너에 중점을 둡니다. SSL.com에서 관리하는 파트너 브랜드 하위 CA의 인증서. 이 가이드의 목적은 검증 증거 제출 프로세스와 인증서 수명 주기의 무결성과 보안을 보장하는 것입니다. 리셀러는 루트 자료에 직접 액세스할 수 없고 지정된 API 또는 계정을 통해서만 인증서 수명 주기 작업과 상호 작용할 수 있기 때문입니다. SSL.com에서 관리하는 등록 기관(RA) 포털입니다.
확장, 조직 및 개인 검증 유형에 대한 검증 증거의 안전한 수집
-
데이터 최소화: 인증서 발급 과정에 꼭 필요한 검증 증거만을 수집합니다. 관련성이 없거나 민감한 정보를 수집하지 마세요.
-
안전한 수집 방법: 최종 사용자로부터 검증 증거를 수집할 때 암호화된 양식이나 포털과 같은 보안 채널을 사용하십시오.
-
액세스 제어: 검증 증거를 수집하기 위해 엄격한 액세스 제어를 구현합니다. 승인된 직원만 접근할 수 있어야 하며 다단계 인증이 필수입니다.
-
데이터 무결성: 수집 프로세스 중에 검증 증거가 변경되지 않은 상태로 유지되는지 확인하십시오.
-
도메인 제어 검증: SSL.com에서 엄격하게 제공하는 도메인 제어 검증 서비스 및 방법을 활용하세요.
검증 증거를 루트 CA에 안전하게 제출
-
API 보안: 검증 증거 제출을 위해 항상 지정된 API를 사용하십시오. API 호출이 HTTPS와 같은 보안 채널을 통해 이루어졌는지 확인하세요.
-
포털 업로드: 증거를 제출하는 또 다른 안전한 방법은 SSL.com 계정에 표시되는 관련 순서에 직접 증거를 업로드하는 것입니다. 특정 주문과 관련된 증거만 업로드해야 합니다.
-
정기 감사: 승인되지 않은 제출이 이루어지지 않도록 제출 로그를 정기적으로 감사합니다.
-
사고 대응: 제출 프로세스의 불일치나 위반에 대한 명확한 사고 대응 계획을 마련하십시오. 알림 루트 CA 이상이 발견된 경우.
Certificate Lifecycle Operations API 사용 모범 사례
-
API 키 관리: API 키를 보호하세요. 안전하게 저장하고 주기적으로 교체하며 클라이언트 측 코드나 공개 저장소에 절대 노출하지 마세요.
-
속도 제한: 의도하지 않은 서비스 중단을 방지하려면 API에 적용되는 속도 제한을 숙지하세요.
-
모니터링 및 로깅: 모든 API 활동을 모니터링합니다. 자세한 로그를 유지하고 의심스럽거나 승인되지 않은 활동이 있는지 정기적으로 검토하십시오.
-
오류 처리: 강력한 오류 처리 메커니즘을 구현합니다. API 응답에 오류나 불일치가 있는 경우 이를 해결하기 위한 명확한 절차를 마련하십시오.
안전한 웹사이트 유지
-
적절한 TLS 서버 구성 : 서버가 강력한 암호화 암호 및 프로토콜만 지원하는지 확인하십시오. 알려진 취약점을 방지하려면 서버를 정기적으로 업데이트하고 패치하세요.
-
운영 체제 강화: 서버에서 실행되는 서비스 수를 최소화하고, 보안 패치를 즉시 적용하고, 보안 구성을 사용하여 공격 표면을 줄입니다.
-
일반적인 웹사이트 취약점: SQL 주입, XSS(교차 사이트 스크립팅), 교차 사이트 요청 위조(Cross-Site Request Forgery)와 같은 취약점을 정기적으로 검사하고 해결합니다(CSR에프).
-
적절한 비밀번호 상태 유지: 비밀번호는 대문자와 소문자, 숫자, 특수 문자를 혼합하여 복잡하게 만드세요. 귀하의 서버나 CRM에 액세스하는 사람들에게 비밀번호를 정기적으로 업데이트하고 다른 사이트의 비밀번호를 재사용하지 않도록 권장하세요. MFA(다단계 인증)를 구현하거나 clientAuth 인증서를 활용하세요.
CA/B 포럼 네트워크 및 인증서 시스템 보안 요구 사항
-
분기별 취약점 스캔: 잠재적인 보안 문제를 식별하고 수정하기 위해 매 분기마다 정기적인 취약점 검사를 수행합니다.
-
연간 침투 테스트: 매년 침투 테스트에 참여하여 잠재적인 공격을 시뮬레이션하고 시스템의 약점을 식별합니다.
-
보안 요구사항 홍보: 신뢰와 보안을 유지하기 위해 CA/B 포럼 네트워크 및 인증서 시스템 보안 요구 사항을 준수하는 것이 중요하다는 점을 강조합니다.
개인 키 생성, 저장 및 최종 사용자 모범 사례 홍보 CSRs
-
키 생성에 대한 교육: 최종 사용자에게 키 생성을 위해 CA 검증 도구를 사용하도록 안내하고 CSR에스. 이는 호환성과 보안을 보장합니다.
-
키 길이 및 알고리즘: 최종 사용자에게 강력한 암호화 알고리즘과 적절한 키 길이(예: RSA 2048비트 이상)를 사용하도록 조언하십시오.
-
액세스 제어 및 다단계 인증: 엄격한 액세스 제어를 구현하고 다단계 인증의 사용을 장려합니다. 특히 인증서 키 재설정, 갱신, 해지 등 CA API 상호 작용을 트리거하는 작업에 대해 더욱 그렇습니다.
개인 키의 안전한 저장
-
지속적인 키 순환: 정기적인 키 순환은 키가 손상된 경우 노출되는 데이터의 양을 최소화하고 공격자가 키를 해독하는 데 걸리는 시간을 단축합니다.
-
암호화된 스토리지 및 백업: 안전하게 별도로 저장되는 개인 키의 암호화된 백업을 권장합니다.
-
해지 및 키 파기: 키가 손상되거나 더 이상 필요하지 않은 경우 신속하고 효율적으로 취소할 수 있는 정책을 최종 사용자에게 권장합니다. 키는 취소된 후에는 암호화 작업에 사용되어서는 안 되며 폐기되어야 합니다.
-
주요 계층 구조 마련: 이 구조는 각각 서로 다른 수준의 액세스 및 제어를 갖는 암호화 키 계층을 생성합니다. 이 계층 구조의 중심에 있고 매우 안전한 마스터 키는 종종 "하위" 또는 "데이터 암호화"라고 불리는 추가 키를 암호화하는 데 사용됩니다.
-
재난 대응 전략을 가지고 있습니다: 주요 키 손상 또는 키 손실의 경우 책임 당사자와 함께 취해야 할 정의된 조치를 개발합니다.
CA와 브랜드 리셀러에 대한 신뢰가 가장 중요합니다. 이러한 포괄적인 모범 사례를 준수함으로써 우리는 인증서 발급 프로세스의 보안과 무결성을 보장하고 사용자 데이터를 보호하며 최종 사용자의 신뢰를 유지할 수 있습니다. 우리는 모든 리셀러가 이러한 관행을 부지런히 구현하고 추가 지침이나 설명이 필요하면 우리에게 연락할 것을 권장합니다.