Gids voor beste praktijken op het gebied van beveiliging van certificeringsinstanties voor merkresellers: uitgebreide beveiligingsmaatregelen

Introductie

Als toonaangevende certificeringsinstantie (CA) en vertrouwensdienstenbedrijf geven we prioriteit aan de veiligheid en betrouwbaarheid van onze digitale certificaten en onze identiteitsvalidatieprocedures. Deze gids is gericht op onze resellerpartners die ondergeschikte certificeringsinstanties hebben die zijn gekoppeld aan de vertrouwde root van SSL.com (ook wel 'subCA's' genoemd) en die verantwoordelijk zijn voor het verzamelen van validatiebewijs, het indienen ervan bij ons registratie-autoriteitportaal en het faciliteren van de uitgifte van certificaten van de subCA's van partners die worden beheerd door SSL.com. Het doel van deze handleiding is om de integriteit en veiligheid van het proces voor het indienen van validatiebewijs en de levenscyclus van certificaten te garanderen, want wederverkopers hebben geen directe toegang tot basismateriaal en kunnen alleen communiceren met de levenscyclusactiviteiten van certificaten via een aangewezen API of via een account in het portaal van de registratieautoriteit (RA) beheerd door SSL.com.

---

Veilig verzamelen van validatiebewijs voor uitgebreide, organisatorische en individuele validatietypen

• Gegevensminimalisatie: Verzamel alleen het noodzakelijke validatiebewijs dat nodig is voor het certificaatuitgifteproces. Vermijd het verzamelen van externe of gevoelige informatie.
• Veilige verzamelmethoden: Gebruik veilige kanalen, zoals gecodeerde formulieren of portalen, bij het verzamelen van validatiebewijs van eindgebruikers.
• Toegangscontrole: Implementeer strikte toegangscontroles om validatiebewijs te verzamelen. Alleen geautoriseerd personeel mag toegang hebben en meervoudige authenticatie moet verplicht zijn.
• Data-integriteit: Zorg ervoor dat het validatiebewijs tijdens het verzamelproces ongewijzigd blijft.
• Validatie van domeincontrole: Maak gebruik van de validatieservices en -methoden voor domeincontrole die strikt worden aangeboden door SSL.com.

---

Veilige indiening van validatiebewijs bij root-CA

• API-beveiliging: Gebruik altijd de aangewezen API voor het indienen van validatiebewijs. Zorg ervoor dat API-aanroepen plaatsvinden via beveiligde kanalen, zoals HTTPS.
• Portal-uploads: Een andere veilige methode voor het indienen van bewijsmateriaal is om bewijsmateriaal rechtstreeks te uploaden in de gerelateerde volgorde die u in uw SSL.com-account zou zien; Zorg ervoor dat u alleen bewijsmateriaal uploadt dat verband houdt met de specifieke bestelling.
• Regelmatige audits: Voer regelmatig audits uit van de inzendingslogboeken om er zeker van te zijn dat er geen ongeautoriseerde inzendingen worden gedaan.
• Incident Response: Zorg voor een duidelijk incidentresponsplan voor eventuele discrepanties of inbreuken in het indieningsproces. Informeer de root-CA us per direct als er onregelmatigheden worden geconstateerd.

---

Best practices voor het gebruik van de Certificate Lifecycle Operations API

• API-sleutelbeheer: Bescherm uw API-sleutels. Bewaar ze veilig, wissel ze regelmatig af en stel ze nooit bloot in code aan de clientzijde of in openbare opslagplaatsen.
• Tariefbeperking: Houd rekening met eventuele tarieflimieten die aan de API worden opgelegd om onbedoelde serviceonderbrekingen te voorkomen.
• Monitoring en logboekregistratie: Bewaak alle API-activiteiten. Houd gedetailleerde logboeken bij en controleer deze regelmatig op verdachte of ongeautoriseerde activiteiten.
• Foutafhandeling: Implementeer robuuste foutafhandelingsmechanismen. In het geval van eventuele fouten of discrepanties in de API-reacties, zorg dan voor een duidelijke procedure om deze aan te pakken.

Een veilige website onderhouden

• Proper TLS Serverconfiguratie: Zorg ervoor dat de server alleen sterke cryptografische cijfers en protocollen ondersteunt. Update en patch de server regelmatig om bekende kwetsbaarheden te voorkomen.
• Verharding van het besturingssysteem: Minimaliseer het aantal services dat op de server draait, pas onmiddellijk beveiligingspatches toe en gebruik beveiligingsconfiguraties om het aanvalsoppervlak te verkleinen.
• Veelvoorkomende kwetsbaarheden op websites: Scan regelmatig op kwetsbaarheden en adresseer deze, zoals SQL-injectie, Cross-Site Scripting (XSS) en Cross-Site Request Forgery (CSRF).
• Zorg voor een goede wachtwoordstatus: Zorg ervoor dat wachtwoorden complex zijn en een combinatie van hoofdletters en kleine letters, cijfers en speciale tekens bevatten. Moedig degenen met toegang tot uw servers of CRM aan om hun wachtwoorden regelmatig bij te werken en te voorkomen dat wachtwoorden van andere sites opnieuw worden gebruikt. Implementeer multi-factor authenticatie (MFA) of gebruik clientAuth-certificaten.

---

CA/B Forum Netwerk- en certificaatsysteembeveiligingsvereisten

• Kwetsbaarheidsscans per kwartaal: Voer elk kwartaal regelmatig kwetsbaarheidsscans uit om potentiële beveiligingsproblemen te identificeren en te verhelpen.
• Jaarlijkse penetratietesten: Voer jaarlijkse penetratietests uit om potentiële aanvallen te simuleren en zwakke punten in het systeem te identificeren.
• Beveiligingsvereisten promoten: Benadruk het belang van het naleven van de beveiligingsvereisten van het CA/B-forumnetwerk en certificaatsystemen om het vertrouwen en de veiligheid te behouden.

Het promoten van best practices voor eindgebruikers met het genereren, opslaan en opslaan van privésleutels CSRs

• Geef voorlichting over het genereren van sleutels: Begeleid eindgebruikers bij het gebruik van CA-gecertificeerde tools voor het genereren van sleutels en CSRS. Dit garandeert compatibiliteit en veiligheid.
• Sleutellengte en algoritme: Adviseer eindgebruikers om sterke cryptografische algoritmen en de juiste sleutellengtes te gebruiken (bijvoorbeeld RSA 2048-bit of hoger).
• Toegangscontrole en meervoudige authenticatie: Implementeer strikte toegangscontroles en promoot het gebruik van meervoudige authenticatie, vooral voor acties die CA API-interacties activeren, zoals het opnieuw sleutelen van certificaten, verlenging en intrekking.

---

Veilige opslag van privésleutels

• Voortdurende sleutelrotatie: Regelmatige sleutelrotatie minimaliseert de hoeveelheid gegevens die vrijkomt als een sleutel wordt aangetast, en verkort de tijd die een aanvaller nodig heeft om een ​​sleutel te kraken.
• Gecodeerde opslag en back-up: Stimuleer gecodeerde back-ups van privésleutels, veilig en afzonderlijk opgeslagen.
• Intrekking en sleutelvernietiging: Stimuleer beleid bij uw eindgebruikers dat snelle en efficiënte intrekking mogelijk maakt als een sleutel in gevaar komt of niet langer nodig is. De sleutel mag na intrekking niet worden gebruikt voor cryptografische bewerkingen en moet worden vernietigd.
• Een sleutelhiërarchie invoeren: Deze structuur creëert lagen van cryptografische sleutels, elk met verschillende niveaus van toegang en controle. De hoofdsleutel, die centraal staat in deze hiërarchie en uiterst veilig is, wordt gebruikt om extra sleutels te versleutelen, waarnaar vaak wordt verwezen als ‘ondergeschikte’ of ‘gegevensversleuteling’.
• Een rampenresponsstrategie hebben: Ontwikkel gedefinieerde acties die moeten worden ondernomen, evenals de verantwoordelijke partijen in het geval van een groot sleutelcompromis of sleutelverlies.

Het vertrouwen in onze CA en onze merkresellers staat voorop. Door ons aan deze uitgebreide best practices te houden, kunnen we de veiligheid en integriteit van het certificaatuitgifteproces garanderen, gebruikersgegevens beschermen en het vertrouwen van onze eindgebruikers behouden. We moedigen al onze wederverkopers aan om deze praktijken zorgvuldig te implementeren en contact met ons op te nemen voor verdere begeleiding of verduidelijking.