Best practices voor het inschakelen van LTV-handtekeningen voor het ondertekenen van documenten met behulp van zelfbeheerde HSM's

SSL.com biedt kant-en-klare diensten voor ondertekening in de cloud via onze eSigner-API voor ondertekeningsactiviteiten, die de opslag en het beheer van privésleutels omvat.

Veel gebruikers geven er echter de voorkeur aan om hun eigen HSM- of cloud-HSM-service te gebruiken om privésleutels op te slaan die worden gebruikt om documenten te ondertekenen. 

LTV-handtekeningen maken verificatie mogelijk zonder afhankelijk te zijn van externe systemen of opslagplaatsen. Alle noodzakelijke validatie-informatie is opgenomen in het document zelf, waardoor het op zichzelf staat. Dit is vooral belangrijk voor verificatie op de lange termijn, omdat externe systemen of opslagplaatsen na verloop van tijd niet meer beschikbaar kunnen zijn of kunnen veranderen.

Met LTV-handtekeningen blijft het verificatieproces onafhankelijk en zelfvoorzienend.

Hieronder vindt u een lijst met best practices waar gebruikers naar kunnen verwijzen om LTV-handtekeningen in te schakelen voor het ondertekenen van documenten bij gebruik van uw eigen HSM- of cloud-HSM-service.

  1. Bereid het document voor: Zorg ervoor dat het document dat u wilt ondertekenen een geschikt formaat heeft, zoals PDF/A of een eenvoudig PDF-document. PDF/A is speciaal ontworpen voor archivering op lange termijn en zorgt ervoor dat de integriteit van het document in de loop van de tijd behouden blijft.

  2. Gebruik cryptografische tijdstempels: LTV-handtekeningen vereisen een betrouwbare en vertrouwde bron van tijd. Cryptografische tijdstempels zorgen hiervoor door de handtekening veilig aan een specifieke tijd te koppelen, waardoor antedateren of geknoei wordt voorkomen. Gebruik een vertrouwde tijdstempelautoriteit zoals SSL.com of een interne tijdstempelservice binnen uw organisatie.
    De tijdstempelserver van SSL.com is op http://ts.ssl.com/. SSL.com ondersteunt standaard tijdstempels van ECDSA-sleutels.

    Als u deze fout tegenkomt: Het tijdstempelcertificaat voldoet niet aan de minimale vereiste lengte van de openbare sleutel, kan het zijn dat uw HSM-leverancier geen tijdstempels van ECDSA-sleutels toestaat, tenzij er een verzoek wordt ingediend.

    Als uw HSM-leverancier het gebruik van het normale eindpunt niet kan toestaan, kunt u dit verouderde eindpunt gebruiken http://ts.ssl.com/legacy om een ​​tijdstempel te krijgen van een RSA-tijdstempeleenheid.

  3. Bewaar informatie over certificaatintrekking: Om de geldigheid van handtekeningen in de loop van de tijd te behouden, is het van cruciaal belang dat de informatie over de intrekking van het certificaat behouden blijft. Dit omvat de Certificate Revocation Lists (CRL's) of de Online Certificate Status Protocol (OCSP)-reacties die worden gebruikt om het certificaat van de ondertekenaar te verifiëren. 

    Voor gebruikers van de Java-taal kunt u de PDFBox Java-bibliotheek die voorbeelden bevat om LTV-handtekeningen te maken. Het bevat ook voorbeelden van handtekening-tijdstempels. 

    Hier is een voorbeeldcode voor het insluiten van intrekkingsinformatie (CRL's) van de certificaatketen voor documentondertekening in het PDF-document: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup

  4. Archiveer ondertekende documenten: Houd een veilig en georganiseerd archief bij van alle ondertekende documenten, inclusief eventuele tussenversies. Dit zorgt ervoor dat de ondertekende documenten en de bijbehorende validatie-informatie, zoals tijdstempels en intrekkingsgegevens, direct beschikbaar zijn voor verificatie op lange termijn. Implementeer de juiste opslagmechanismen om ongeoorloofde toegang, manipulatie of verlies van gegevens te voorkomen.

  5. Controleer de handtekening: Implementeer een verificatieproces om ervoor te zorgen dat de handtekening correct kan worden gevalideerd. Dit omvat het gebruik van de openbare sleutel die is gekoppeld aan het handtekeningcertificaat om de integriteit van de handtekening te verifiëren, het controleren van de tijdstempel op geldigheid en het verifiëren van de intrekkingsstatus van het certificaat.

  6. Configureer HSM's correct: Zorg ervoor dat de HSM's op de juiste manier worden geconfigureerd en onderhouden, en voldoen aan de industrienormen en best practices voor sleutelbeheer, zoals sleutelroulatie, strenge toegangscontroles en regelmatige audits.

  7. Beveiligingscontroles bewaken en bijwerken: Controleer regelmatig de beveiligingscontroles en configuraties van uw ondertekeningsinfrastructuur, inclusief de HSM's, tijdstempelservices en opslagsystemen. Blijf op de hoogte met beveiligingspatches, firmware-updates en best practices uit de branche voor HSM- en documentondertekeningstechnologieën.

Neem voor zelfbeheerde oplossingen voor het ondertekenen van HSM-documenten contact op sales@ssl.com.

Bezoek dit artikel voor een handleiding over door SSL.com ondersteunde cloud-HSM's: Ondersteunde cloud-HSM's voor documentondertekening en EV-codeondertekening.

Meer informatie over door SSL.com ondersteunde cloud-HSM's

Ga naar boven

Cloud HSM-serviceaanvraagformulier

Als u digitale certificaten wilt bestellen voor installatie op een ondersteund cloud-HSM-platform (AWS CloudHSM of Azure Dedicated HSM), vul dan het onderstaande formulier in en verzend het. Nadat we uw verzoek hebben ontvangen, zal een medewerker van SSL.com contact met u opnemen met meer informatie over het bestel- en attestatieproces.

Ga naar boven

SSL-ondersteuningsteam

Alle berichten

Gerelateerde blogberichten

Bekijk alle blogberichten
Facebook Linkedin Twitter YouTube GitHub

Wat is SSL /TLS?

Video afspelen

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.

Enquête invullen