Geleerde lessen, beveiligingsimplicaties en goede praktijken voor merksubCA's

gerelateerde inhoud

Wil je blijven leren?

Abonneer u op de nieuwsbrief van SSL.com, blijf op de hoogte en veilig.

Publiek vertrouwde eigenaren van certificeringsinstanties (PT-CA's) zijn van fundamenteel belang voor het veilig functioneren van internet. Het algemene, mondiale publiek en grote browserleveranciers hebben hen toevertrouwd om de essentiële Public Key Infrastructure (Public Key Infrastructure) te leveren (PKI) die nodig zijn om vertrouwen te scheppen, communicatie te beveiligen en veilige online transacties mogelijk te maken. Om hun betrouwbaarheid te behouden moeten CA's die door het publiek worden vertrouwd aanzienlijke middelen investeren in de veiligheid van hun activiteiten en de naleving van de nieuwste normen, en zijn zij onderworpen aan strenge onafhankelijke audits en toezicht.

PT-CA's hebben als bedrijven een legitiem belang bij het creëren van een netwerk van vertrouwde wederverkopers om hun producten te distribueren en hun marktaanwezigheid uit te breiden. Omdat ze fungeren als ‘trust anchors’ krijgen ze vaak verzoeken van geïnteresseerde partijen die het aanbieden van publiek vertrouwde certificaten in hun aanbod willen opnemen, soms onder hun eigen naam; dit worden “white-labeled” of “branded” subCA’s genoemd.

Veel leden in de PT-CA-, reseller- en abonneegemeenschap vinden merksubCA's waardevol om reputatie op te bouwen zonder te hoeven investeren in een volledig toegewijde CA-infrastructuur, en de meeste resellerklanten gaan op verantwoorde wijze om met het voorrecht om hun eigen merk binnen een SubCA te hebben. Helaas zijn er gevallen waarin slechte beveiligingspraktijken of misbruik, al dan niet opzettelijk, de kop kunnen opsteken.

Dit witboek analyseert de veiligheidsrisico's die verband houden met merksubCA-resellers en stelt goede praktijken voor op basis van de ervaring die is verzameld via ons onderzoek en de lessen die zijn getrokken uit het analyseren van recente gevallen in de branche. Onze bevindingen zouden nuttig moeten zijn voor beleidsmakers (CA/B Forum, Root Store-eigenaren), voor PT-CA's die uiteindelijk verantwoordelijk zijn voor de betrouwbaarheid van hun diensten, en voor elke andere geïnteresseerde partij.

Enquête

In de tweede helft van 2023 is door SSL.com een ​​onderzoek uitgevoerd om inzichten uit de gemeenschap te verzamelen die nuttig zouden kunnen zijn voor dit rapport. Onze enquête bevatte vragen die de volgende aspecten bestreken:

  1. Populariteit van het merksubCA-model
  2. Omvang van de rebranding: CRL/OCSP-responders met merknaam, gebruikersportals, aangepaste productnamen
  3. Selectie-/controleproces van subCA-klanten met een merknaam
  4. Gebruik van een eigen gebruikersportaal
  5. Audit en inspectie van deze portalen
  6. Geleerde lessen op basis van ervaringen met merksubCA-klanten
  7. Technische uitdagingen bij het genereren, controleren of intrekken van merksubCA's

De enquête was gericht aan negen PT-CA's die, op basis van analyse van CCADB-gegevens, de meeste ervaring lijken te hebben met het merksubCA-model.

Resultaten van de enquête

We hebben reacties ontvangen van vijf van de negen PT-CA’s en we hebben opheldering gevraagd. De reacties werden geanalyseerd om overeenkomsten en verschillen in het branded subCA-model en relevante praktijken, zoals toegepast door de CA-industrie, te identificeren.

Hoogtepunten uit de enquêteresultaten:

  1. Voor deze of soortgelijke subCA-modellen worden in de branche verschillende synonieme termen gebruikt: branded, wit gelabeld, toegewijd aan, ijdelheid.

  2. Vier van de vijf deelnemende CA's bevestigden dat subCA's met merknaam deel uitmaken van hun aanbod. Het product is gericht op geselecteerde klanten, zoals hostingproviders en grote resellers. Het is ook van toepassing bij grote accounts die certificaten nodig hebben voor eigen gebruik; Eén CA rapporteerde bijvoorbeeld dat het model werd toegepast op academische en onderzoeksinstellingen.

  3. Branding omvat doorgaans het uitgeven van subCA-certificaten met de naam van de klant/reseller in het subjectDN-veld. Uitgebreide branding kan ook merkgerelateerde CRL/OCSP-responder-URL's en merkmicroportals omvatten voor kleinere klanten/wederverkopers die niet over hun eigen RA-portals beschikken.

  4. Het SubCA-selectieproces is grotendeels gebaseerd op zakelijke/commerciële criteria, zoals het soort activiteit, het voorspelde aantal certificaten en het beoogde gebruik. Sommige PT-CA's meldden dat zij zelf kunnen voorstellen of besluiten om speciale subCA's op te richten, al dan niet met een merknaam, om zich te onderscheiden van hun uitgevende CA's voor algemene doeleinden bij het bedienen van grote klanten of projecten, als een middel om de impact/risico's te isoleren in het geval dat van een incident (bijvoorbeeld een compromittering, een mislukte naleving van de voorschriften of een ander type) dat intrekking noodzakelijk maakt.

  5. De doorlichting omvat doorgaans de volgende validatieactiviteiten:

    A. verificatie van de naam, het adres en het bestaan ​​van de organisatie (vergelijkbaar met een OV- of EV-proces); En

    B. verificatie van de autorisatie van het verzoek.

  6. Eén van de deelnemende PT-CA’s meldde dat er, voordat een contract wordt getekend, een intern overleg plaatsvindt met het Compliance-team om de reputatie van de merkgebonden SubCA-aanvrager te controleren. Dit omvat het doorzoeken van openbare bronnen op meldingen van betrokkenheid bij gegevensvervalsing of het witwassen van geld. CCADB en Bugzilla zijn aanvullende informatiebronnen wanneer een aanvrager zelf al een PT-CA is.

  7. Geen van hen meldde dat hij een subCA-klant met een merknaam weigerde om andere dan commerciële/financiële redenen.

  8. Bijna alle PT-CA's meldden dat de meeste merk-subCA's hun eigen gebruikersportaal hebben; één PT-CA kwantificeerde dit tot 80% van hun totale aantal subCA-partners met merknaam. Bij wijze van uitzondering was één PT-CA er niet van op de hoogte dat subCA-klanten onder haar merk hun eigen gebruikersportaal gebruikten.

  9. Geen enkele PT-CA heeft melding gemaakt van een audit of anderszins inspectie van het externe gebruikersportaal van hun merk-subCA's (tenzij de merk-subCA ook een PT-CA is, wat betekent dat hun gebruikersportals hoe dan ook onderworpen zijn aan een audit).

  10. Eén PT-CA rapporteerde de volgende geleerde lessen:

    A. Het aantal uitgegeven certificaten moet groot genoeg zijn om het behoud van een subCA met merknaam te rechtvaardigen.

    B. Het is de moeite waard om hun ervaring in de branche te controleren voordat u doorgaat met het contract.

    C. Het is ook de moeite waard om op de juiste duur van het contract te letten.

  11. Een aantal PT-CA's meldden dat ze geen specifieke technische problemen zien bij het genereren, controleren of intrekken van merk-subCA's.

Wederverkopers met toegevoegde waarde

Volgens de resultaten van het onderzoek en de informatie die we tijdens ons eigen onderzoek hebben verzameld, bieden bijna alle PT-CA's resellerprogramma's aan; van bedrijven of individuen die groothandelskortingen genieten en CA-producten tegen een marge doorverkopen (gewone wederverkopers) tot entiteiten die CA-producten in hun eigen aanbod opnemen of diensten met toegevoegde waarde leveren ten behoeve van hun klanten. De eerste (“gewone wederverkopers”) zijn bij geen enkel onderdeel van de service betrokken, behalve bij de verkoop zelf, en worden daarom in dit document als buiten de reikwijdte beschouwd.

Aan de andere kant kunnen Value-Added Resellers (VAR) een kleine of significante betrokkenheid hebben bij het faciliteren van het levenscyclusproces van sleutels/certificaten. Omdat dit implicaties heeft op het gebied van beveiliging en naleving, concentreert dit artikel zich op VAR's en worden de inherente risico's (en voordelen) in beschouwing genomen.

Uit ons onderzoek is gebleken dat er in de sector verschillende soorten/praktijken voor VAR’s bestaan, afhankelijk van hun betrokkenheid bij de levenscyclusprocessen van sleutels/certificaten, het gebruik van het portaal van de PT-CA of hun eigen portaal/systemen, het gebruik van subCA’s uitgegeven met de naam van de PT-CA/Root CA, of subCA's met merknaam.

De meest voorkomende gevallen die we hebben geïdentificeerd zijn de volgende:

  • VAR's die gebruik maken van de systemen van de PT-CA/Root CA: Zij assisteren doorgaans de entiteiten die domeinnamen bezitten/controleren door gebruik te maken van het Registration Authority Portal van de CA; hun hulp is doorgaans gericht op de registratie en het beheer van certificaten namens deze Domeineigenaren.
  • VAR's met onafhankelijke registratieautoriteitsportals: Ze hebben doorgaans hun eigen portal om gebruikers onafhankelijk van de CA te registreren en gebruiken de API van de CA in de backend om certificaatlevenscyclusactiviteiten uit te voeren.
    • Domeinvalidatieactiviteiten worden doorgaans uitgevoerd door de CA. Als er bijvoorbeeld een e-mailbericht met een willekeurige waarde naar de aanvrager moet worden verzonden om de controle over een domeinnaam te bewijzen, wordt dit rechtstreeks vanuit de systemen van de PT-CA verzonden, niet die van de wederverkoper.

    • Volgens paragraaf 6.1.1.3 van de BR's mogen PT-CA's geen sleutelparen genereren namens Abonnees. Sommige Abonnees kunnen VAR's gebruiken om deze sleutels te genereren en mogelijk op te slaan.

  • MerksubCA-wederverkopers: In de meeste gevallen zijn dit VAR's die een overeenkomst hebben met de PT-CA om een ​​op maat gemaakte uitgevende CA aan te schaffen waarin het 'merk' van de VAR is opgenomen.
    • Dit is doorgaans een intern bediende subCA, dus de bovenliggende (meestal root) CA-operator beheert meestal de sleutels en levenscyclusgebeurtenissen van die subCA.

    • Extern bediende subCA's kan ook het merk bevatten van de entiteit die de subCA beheert, maar aangezien deze entiteit een privésleutel beheert die is gekoppeld aan een uitgevend CA-certificaat, moet deze naar behoren worden gecontroleerd volgens sectie 8.1 van de TLS Basisvereiste, of het moet technisch beperkt zijn in overeenstemming met secties 7.1.2.3, 7.1.2.4, 7.1.2.5 en intern worden gecontroleerd volgens sectie 8.7 van de TLS Basisvereisten. In dit witboek wordt dit als buiten de reikwijdte beschouwd.

Naast branded subCA Resellers kunnen grote Abonnees ook een branded subCA aanvragen om certificaten uit te geven onder de naam van hun organisatie (dwz voor eigen gebruik). Dit model wordt hier niet onderzocht omdat het dezelfde risico's met zich meebrengt als bij een eenvoudige Abonnee, in de zin van het bestellen en beheren van grote hoeveelheden certificaten voor de eigen Organisatie.

Op dezelfde manier vallen resellers die niet betrokken zijn bij enig onderdeel van het beheer van de sleutel-/certificaatlevenscyclus (bijvoorbeeld resellers die deel uitmaken van een verwijzerprogramma met verkopen waarvoor commissie wordt betaald) niet in de reikwijdte van dit witboek.

MerksubCA's

Extern bediende subCA's, een model dat in het verleden populair was (gebaseerd op analyse van CCADB-gegevens), zijn de afgelopen jaren aanzienlijk verminderd (in de CCADB waren er 93 serverAuth-subCA's met "Audit niet hetzelfde als bovenliggende" nog steeds actief en gekoppeld aan een vertrouwde root), en wordt in sommige gevallen nog steeds gebruikt. Bij gebruik bevat het subCA-certificaat de naam van de partner in de organisatienaam van de subjectDN en zijn afzonderlijke externe audits vereist.

De sector hanteert twee praktijken voor de intern beheerde subCA-organisatie:

  • Sommige CA's nemen de naam van de Issuing CA (Root Operator) op in de organisatienaam van de subjectDN van het merk Intermediate CA-certificaat
  • Sommige CA's nemen de naam van de gemerkte SubCA op in de organisatienaam van de subjectDN van het gemerkte Intermediate CA-certificaat.

Met de huidige vereisten is het voor een Vertrouwende Partij moeilijk om eenvoudig te identificeren of de Uitgevende CA dat is bediend door de root-CA of een andere entiteit.

Risico's van het VAR-model

Na analyse van de feedback uit de enquête en de verschillende VAR-praktijken in deze sector hebben we enkele risico’s geïdentificeerd die vooral van toepassing zijn op VAR’s die namens een Abonnee handelen:

  1. Sleutelgeneratie en / of bewaartemperatuur van de privésleutel: Dit is een kritieke functie waarvoor volgens de huidige normen geen vereisten of audits worden opgelegd aan VAR's. Het gebrek aan inzicht in hun beveiligingspositie vergroot het risico dat de privésleutels van de abonnee in gevaar komen.

  2. Opslag van persoonlijk identificeerbare informatieen mogelijk andere gevoelige informatie (bijvoorbeeld creditcardgegevens), met het risico van blootstelling van privégegevens. Dit risico is vergelijkbaar met het hierboven genoemde risico; bovendien bestaat het risico van oneigenlijk gebruik van PII, dat wil zeggen gebruik van PII voor andere doeleinden dan die welke door de Abonnee zijn goedgekeurd.

  3. Certificaat intrekking, met het Denial-of-Service-risico voor abonnees. In het geval van VAR's die geprivilegieerde toegang hebben tot de accounts van hun klanten, kan een incident op het systeem van een VAR of zelfs een onbedoelde actie van de VAR resulteren in een bulkherroeping, waardoor de beschikbaarheid van meerdere websites wordt beïnvloed.

  4. Certificaat opnieuw sleutel, onder bepaalde omstandigheden toegestaan ​​om een ​​openbare sleutel in een certificaat te vervangen zonder de domeinvalidatie opnieuw uit te voeren, met het risico dat versleuteld verkeer naar/van websites van abonnees wordt onderschept.

  5. Hergebruik van bewijsmateriaal gebruikt voor domeinvalidatie: Bij de eerste uitgifte is er een directe interactie met de domeineigenaar, waardoor de PT-CA volledige controle heeft over het DCV-proces. In het geval van hergebruik van DCV-bewijsmateriaal is deze stap niet van toepassing, waardoor het risico bestaat dat de VAR succesvol kan verzoeken om uitgifte van een nieuw certificaat voor de betreffende domeinen zonder toestemming van de Abonnee.

  6. VAR’s hebben een grotere impact en worden zo een “honingpot” in geval van een compromis. Een VAR zou als een aantrekkelijker doelwit worden beschouwd, en als een aanvaller met succes de systemen van een VAR binnendringt/compromitteert (bijvoorbeeld het portaal), zou dit invloed kunnen hebben op meer onafhankelijke Abonnees, wat een veel grotere impact zou hebben vergeleken met aanvallen op individuele Abonnees.

  7. Het gebruik van een gewoonte resellerportaal voegt nog een element toe aan de beveiligingsketen, waardoor het aanvalsoppervlak wordt vergroot. Specifieke risico's voor een resellerportaal zijn onder meer:

    • Cybersecurity-bedreigingen

    • Slechte informatiebeveiligingshygiëne

    • Zwakke mechanismen voor authenticatie/autorisatie/boekhouding

  8. Meer mensen uit het bedrijf van de reseller toevoegen aan bevoorrechte posities van het certificaatlevenscyclusbeheerproces leidt tot een groter aanvalsoppervlak.

  9. Kwaadwillige daden door de VAR; dit is inherent aan elke gedelegeerde activiteit waarbij een entiteit die handelt namens de werkelijke begunstigde van een dienst (in ons geval de Certificaatabonnee) kwaadwillig kan handelen. Een eenvoudig voorbeeld is een kwaadwillende VAR die een aanvrager ‘helpt’ om een ​​sleutelpaar te genereren en de privésleutel later aan een aanvaller te verkopen.

Tijdens onze analyse hebben we vastgesteld dat als aan een VAR een intern beheerde merk-subCA wordt toegekend, de risico's hetzelfde zijn, hoewel de merk-subCA conceptueel nu als “betrouwbaar” wordt beschouwd omdat de Root-CA in wezen “instaat” voor de subCA. Houd er rekening mee dat CRL-, OCSP- en CAIssuer-URL's ook intern moeten worden beheerd door de root-CA.

Goede oefeningen

Nadat we de bovenstaande risico's hebben overwogen, willen we enkele goede praktijken voorstellen die de kans op eventuele tekortkomingen of ongepaste acties door subCA-klanten kunnen minimaliseren.

Voor merksubCA's:

  • Ken uw potentiële partner: Het uitgeven van een subCA-certificaat met merknaam verleent de wederverkoper conceptueel de reputatie en betrouwbaarheid van de PT-CA. Daarom is het belangrijk voor Root CA-operators om hun potentiële wederverkoper te onderzoeken, van identiteitsvalidatie (volgens de OV/EV-richtlijnen) tot juridische documentatie tot het onderzoeken van de reputatie van het bedrijf en de reputatie van de eigenaren en het managementteam.
  • Herverificatie en herevaluatie: Periodieke herverificatie van de bedrijfsregistraties van alle merksubCA-wederverkopers moet worden toegepast om de wettigheid en goede reputatie te garanderen. Naast het gebruik van openbare bronnen kan bij de herevaluatie van wederverkopers rekening worden gehouden met hun prestaties tijdens het lopende partnerschap.
  • Contractuele bepalingen en beleid: PT-CA's moeten ervoor zorgen dat zij de controle over het contract behouden, zodat elke contractbeëindiging en subCA-intrekking als gevolg van een contractbreuk naar eigen goeddunken gebeurt. Branded subCA-overeenkomsten kunnen bepalingen bevatten die de PT-CA meer zichtbaarheid geven over de praktijken van de wederverkoper en minimumvereisten stellen met betrekking tot interne veiligheid, klantenservice en naleving van de BR's (in het geval deze optreden als gedelegeerde derde partijen).
  • Juridische omgeving: Het is noodzakelijk om rekening te houden met de wetten en gewoonten van het rechtsgebied waar de wederverkoper actief zal zijn voordat een merk-subCA aan buitenlandse entiteiten wordt verleend. Dit kan de compatibiliteit van privacywetten en licentievereisten omvatten.
  • Behoud de controle over de middelen: Sommige rechtsgebieden vereisen mogelijk dat alleen lokale bedrijven in hun gebied actief zijn; dit kan het eigendom van domeinnamen of belangrijke infrastructuur omvatten. Sommige klanten vragen om 'uitgebreide' branding, bijvoorbeeld gemerkte OCSP-responder-URL's en andere bronnen die deel uitmaken van de verplichtingen van de PT-CA. De PT-CA moet ervoor zorgen dat haar controle over deze bronnen blijft voortbestaan ​​na een mogelijke beëindiging van een dergelijke overeenkomst, anders riskeert zij schending van de CA/Browser Forum-vereisten.
  • Kosten-batenanalyse en risicobehandeling: Het merk-subCA-model kan lucratief zijn, maar brengt ook compliance- en reputatierisico's met zich mee. Een voorzichtige PT-CA analyseert deze voordat hij een potentiële partner reputatie en betrouwbaarheid toekent. Naast goedkeuring of afwijzing kan de beslissing ook controles omvatten die eventuele geïdentificeerde risico's verhelpen.
  • Transparantie: Via branding willen wederverkopers zichzelf (mogelijk) promoten als “publiek vertrouwde CA’s”. Transparantie vereist dat consumenten en vertrouwende partijen op zijn minst een indicatie hebben van de feitelijke entiteit waaraan zij hun vertrouwen stellen. Eén voorgestelde manier is om de naam van de derde partij in het gemeenschappelijke naam van de onderwerpDN van het merksubCA-certificaat en gebruik de organisatienaam van de feitelijke CA-exploitant (bijvoorbeeld de PT-CA) in de organisatie naam.

Voor alle VAR's:

  • Beveiligingsmaatregelen: Voor VAR's heeft SSL.com de “Gids voor beste praktijken op het gebied van beveiliging van certificeringsinstanties voor merkresellers: uitgebreide beveiligingsmaatregelen”. Het bevat een uitgebreide reeks mogelijke beveiligingsmaatregelen en verwijzingen naar NetSec-vereisten. In het eenvoudigste geval dat een VAR zijn eigen systemen (bijvoorbeeld een gebruikersportaal) niet gebruikt voor de certificaatlevenscyclus, zijn sommige vereisten mogelijk niet van toepassing.
  • Bescherming van abonnees: PT-CA's moeten de risico's identificeren en aanpakken die verband houden met systeemtoegang die aan VAR's beschikbaar wordt gesteld. Een PT-CA moet verschillende toegangsniveaus hebben voor reseller- en niet-reselleraccounts, waardoor meer beperkingen op het resellertoegangsniveau mogelijk zijn om abonneeaccounts tegen misbruik te beschermen. Dit kan bijvoorbeeld controles omvatten om hergebruik van eerder bewijsmateriaal uit Domeinvalidatie door VAR's te voorkomen. Met het oog hierop zouden de basisvereisten ook kunnen vereisen dat iedereen die geen 'Enterprise RA' is (dat wil zeggen alleen aanvragen doet voor zijn eigen organisaties en domeinen) de domeinvalidatie moet voltooien voor elke uitgifte (uitgifte, heruitgave, nieuwe sleutel, duplicaat en vernieuwing).
  • Abonnee- en resellerovereenkomsten: PT-CA's kunnen twee soorten abonneeovereenkomsten aanbieden: een abonneeovereenkomst die wederverkoop niet toestaat en een speciale wederverkoperovereenkomst die extra clausules en verwachtingen bevat. Resellerovereenkomsten kunnen bijvoorbeeld bepalingen bevatten met betrekking tot het beheer van abonneeaccounts en het bevorderen van informatiebeveiliging ontsmetting zoals beschreven in de Gids voor beste praktijken op het gebied van beveiliging van certificeringsinstanties voor merkresellers: uitgebreide beveiligingsmaatregelen.
Voor VAR's met een eigen portaal:

Opmerking: we houden geen rekening met het geval van een hostingprovider die deelneemt aan de levenscyclus van het certificaat, doorgaans op geautomatiseerde wijze via algemene webhostingcontrolepanelen (Plesk, VirtualMin, CPanel).

  • Contractuele bepalingen en beleid: Voeg aanvullende bepalingen toe aan de Resellerovereenkomst, zoals het recht op audit, het voorstellen/vereisen van jaarlijkse penetratietests, het beoordelen van systeemconfiguraties, het implementeren van MFA of authenticatiecontroles op minimaal hetzelfde niveau als de PT-CA, monitoring en openbaarmaking van incidenten.
  • Veilige integratie: Het gebruik van veilige API's afdwingen, bijvoorbeeld veilige authenticatie toepassen via gecodeerd kanaal, beperkte sessieduur, juiste reikwijdte van de accounts/records die alleen van invloed zijn op de VAR en zijn klanten/abonnees, enz.
  • Beheer van kwetsbaarheden: Zorg ervoor dat periodieke kwetsbaarheidsscans worden uitgevoerd op het resellerportaal. Dit kan vereist zijn op grond van de Resellerovereenkomst of kan deel uitmaken van de diensten die door de PT-CA worden aangeboden om te helpen bij de goede veiligheidshygiëne van het resellerportaal.
  • Evaluatie van hun beveiligingspositie: Verzameling van beveiligingsgerelateerde informatie en risico-evaluatie als onderdeel van het onboardingproces van reseller. Dit kan worden toegepast met behulp van gestructureerde vragenlijsten of gespecialiseerde software.
  • Jaarlijkse evaluatie: PT-CA's mogen niet zomaar ongecontroleerde VAR-relaties opzetten. Het is belangrijk om een ​​evaluatieproces te implementeren dat minstens jaarlijks wordt uitgevoerd.
  • Bewustmakingsnieuwsbrieven: Het verzenden van periodieke nieuwsbrieven over beveiligingsbewustzijn helpt wederverkopers hun inzicht in cyberbeveiligingsbedreigingen te verbeteren en beter voorbereid te zijn op aanvallen. Deze nieuwsbrieven kunnen informatie bevatten over nieuwe beveiligingswaarschuwingen die hiermee verband houden PKI systemen, een overzicht van pogingen (of succesvolle) aanvallen, of instructies over hoe de tools en technieken kunnen worden ingezet die nodig zijn om de veiligheidshygiëne te verbeteren.

Conclusies

Net als elke andere mogelijkheid heeft de verkoop van merk-subCA's zowel positieve als negatieve aspecten. Meer nog dan de verkoop van certificaten van eindentiteiten stellen branded subCA's de vertrouwde CA open voor potentiële schade op basis van de activiteiten van de reseller-klant, terwijl ze nog steeds het potentieel van grote voordelen bieden. VAR's mogen echter niet over het hoofd worden gezien; hun bedrijfs- en beveiligingspraktijken kunnen risico's met zich meebrengen voor abonnees en daarmee voor de reputatie en betrouwbaarheid van de PT-CA.

Voordat PT-CA's een merkgebonden subCA- of VAR-relatie aangaan, worden zij gewaarschuwd een grondig due diligence-onderzoek uit te voeren, alle mogelijke gevolgen in overweging te nemen, weloverwogen beslissingen te nemen en goed ontwikkelde contracten aan te gaan die het vertrouwen van de PT-CA beschermen. Dit document laat zien dat er opties beschikbaar zijn, dat er lessen zijn geleerd en dat er goede praktijken zijn die moeten worden gevolgd.

 

Ontdek de risico's en best practices voor merksub-CA's en resellers met toegevoegde waarde in ons diepgaande whitepaper.

 

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.