Offentlig betrodde eiere av sertifiseringsinstanser (PT-CAer) er grunnleggende for sikker funksjon av Internett. De er betrodd av den generelle, globale offentlige og store nettleserleverandørene til å levere den essensielle Public Key Infrastructure (PKI) nødvendig for å etablere tillit, sikre kommunikasjon og legge til rette for sikre nettbaserte transaksjoner. For å opprettholde sin troverdighet, må offentlig pålitelige CAer investere betydelige ressurser i sikkerheten til sine operasjoner og overholdelse av de nyeste standardene, og de er underlagt strenge uavhengige revisjoner og tilsyn.
PT-CAer, som virksomheter, har en legitim interesse i å opprette et nettverk av pålitelige forhandlere for å distribuere produktene deres og utvide deres markedstilstedeværelse. Siden de fungerer som "tillitsankere", mottar de ofte forespørsler fra interesserte parter som ønsker å inkludere levering av offentlig pålitelige sertifikater i sine tilbud, noen ganger under deres eget navn; disse kalles "hvitmerkede" eller "merkede" subCAer.
Mange medlemmer i PT-CA-, forhandler- og abonnentsamfunnet finner merkede subCAer verdifulle for å bygge omdømme uten å måtte investere i en fullt dedikert CA-infrastruktur, og de fleste forhandlerkunder håndterer privilegiet av å ha sin egen merkevare innenfor en SubCA på en ansvarlig måte. Dessverre er det tilfeller der dårlig sikkerhetspraksis eller misbruk, forsettlig eller på annen måte, kan dukke opp.
Denne hvitboken analyserer sikkerhetsrisikoen knyttet til merkede subCA-forhandlere og foreslår god praksis basert på erfaringen samlet gjennom undersøkelsen vår og erfaringer fra analysering av nylige tilfeller i bransjen. Våre funn bør være nyttige for beslutningstakere (CA/B-forum, rotbutikkeiere), for PT-CA-er som til syvende og sist er ansvarlige for påliteligheten til tjenestene deres, og for alle andre interesserte parter.
Survey /Inspeksjonsfartøy
En undersøkelse ble utført av SSL.com i andre halvdel av 2023 for å samle inn innsikt fra samfunnet som kan være nyttig for denne rapporten. Undersøkelsen vår inkluderte spørsmål som dekket følgende aspekter:
- Populariteten til den merkede subCA-modellen
- Omfang av rebranding: merkede CRL/OCSP-svarere, brukerportaler, tilpassede produktnavn
- Utvelgelse/kontrollprosess av merkede subCA-kunder
- Bruk av egen brukerportal
- Revisjon og inspeksjon av disse portalene
- Lærdom basert på erfaring med merkede subCA-kunder
- Tekniske utfordringer med å generere, kontrollere eller tilbakekalle merkede subCAer
Undersøkelsen ble rettet til 9 PT-CAer som, basert på analyse av CCADB-data, ser ut til å ha mest erfaring med den merkede subCA-modellen.
Undersøkelsesresultater
Vi mottok svar fra 5 av de 9 PT-CA-ene, og vi fulgte opp for avklaringer. Svarene ble analysert for å identifisere fellestrekk og forskjeller i den merkede subCA-modellen og relevant praksis, slik den ble brukt av CA-industrien.
Høydepunkter fra undersøkelsesresultatene:
-
Flere synonyme termer brukes i industrien for denne eller lignende subCA-modeller: branded, hvitmerket, dedikert, forfengelighet.
-
4 av de 5 deltakende CA-er bekreftet at merkede subCA-er er en del av deres tilbud. Produktet er rettet mot utvalgte kunder, som hostingleverandører og store forhandlere. Det er også aktuelt i tilfeller med store kontoer som trenger sertifikater til eget bruk; for eksempel rapporterte en CA å bruke modellen på akademiske institusjoner og forskningsinstitusjoner.
-
Merkevarebygging inkluderer vanligvis utstedelse av subCA-sertifikater som har navnet på kunden/forhandleren i subjectDN-feltet. Utvidet merkevarebygging kan også inkludere merkede CRL/OCSP-svarsadresser og merkede mikroportaler for mindre kunder/forhandlere som ikke har egne RA-portaler.
-
SubCA-utvelgelsesprosessen er for det meste basert på forretningsmessige/kommersielle kriterier, som type aktivitet, anslått antall sertifikater og tiltenkt bruk. Noen PT-CAer rapporterte at de kan foreslå eller bestemme på egenhånd å opprette dedikerte subCAer, merket eller ikke, for å skille seg fra sine generelle utstedende CAer når de betjener store kunder eller prosjekter, som et middel til å isolere virkningen/risikoen i tilfelle av en hendelse (f.eks. kompromiss, samsvarssvikt eller annen type) som nødvendiggjør tilbakekalling.
-
Kontrollen involverer vanligvis følgende valideringsaktiviteter:
en. verifisering av organisasjonens navn, adresse og eksistens (ligner på en OV- eller EV-prosess); og
b. verifisering av godkjenningen av forespørselen.
-
En av de deltakende PT-CA-ene rapporterte at det før signering av en kontrakt finner sted en intern konsultasjon med Compliance-teamet for å sjekke omdømmet til den merkede SubCA-søkeren. Dette inkluderer å søke offentlige ressurser etter rapporter om involvering i dataforfalskning eller hvitvaskingsaktiviteter. CCADB og Bugzilla er ytterligere informasjonskilder når en søker allerede er en PT-CA selv.
-
Ingen rapporterte å nekte en merket subCA-klient av andre grunner enn kommersielle/økonomiske.
-
Nesten alle PT-CAer rapporterte at de fleste merkede subCAer tar med sin egen brukerportal; en PT-CA kvantifiserte det til 80 % av deres totale antall merkede subCA-partnere. Som et unntak var en PT-CA ikke klar over at noen av sine merkede subCA-kunder brukte sin egen brukerportal.
-
Ingen PT-CA rapporterte revisjon eller på annen måte inspeksjon av tredjeparts brukerportalen til deres merkede subCAer (med mindre den merkede subCAen også er en PT-CA, noe som betyr at brukerportalene deres er gjenstand for revisjon uansett).
-
En PT-CA rapporterte følgende erfaringer:
en. Antallet utstedte sertifikater bør være stort nok til å rettferdiggjøre opprettholdelse av en merket subCA.
b. Det er verdt å sjekke deres erfaring i bransjen før du fortsetter med kontrakten.
c. Det er også verdt å ta vare på passende lengde på kontrakten.
-
Et par PT-CAer rapporterte at de ikke ser noen spesielle tekniske utfordringer med å generere, kontrollere eller tilbakekalle merkede subCAer.
Verdiskapende forhandlere
I følge resultatene av undersøkelsen og informasjonen vi samlet inn med vår egen undersøkelse, tilbyr nesten alle PT-CA-er forhandlerprogrammer; fra selskaper eller enkeltpersoner som nyter godt av grossistrabatter og videreselger CA-produkter for en margin (vanlige forhandlere) til enheter som inkorporerer CA-produkter i sine egne tilbud eller tilbyr verdiøkende tjenester til fordel for sine kunder. De førstnevnte ("vanlige forhandlerne") er ikke involvert i noen del av tjenesten bortsett fra selve salget, derfor anses de utenfor omfanget i denne artikkelen.
På den annen side kan verdiøkende forhandlere (VAR) ha liten eller betydelig involvering i å lette livssyklusprosessen for nøkkel/sertifikat. Siden dette har implikasjoner for sikkerhet og samsvar, fokuserer denne artikkelen på VAR-er og vurderer iboende risikoer (og fordeler).
Vår forskning avdekket at det finnes ulike typer/praksis for VAR-er i bransjen, avhengig av deres involvering i nøkkel-/sertifikatlivssyklusprosessene, bruken av PT-CAs portal eller deres egen portal/systemer, bruken av subCAs utstedt med navnet på PT-CA/Root CA, eller merkede subCAer.
De vanligste tilfellene vi har identifisert er følgende:
- VAR-er som bruker PT-CAs/Root CAs systemer: De hjelper vanligvis enhetene som eier/kontrollerer domenenavn ved å bruke CAs Registration Authority Portal; deres bistand er vanligvis fokusert på registrering og administrasjon av sertifikater på vegne av disse domeneeierne.
- VAR-er med uavhengige registreringsmyndighetsportaler: De har vanligvis sin egen portal for å registrere brukere uavhengig av CA og bruke CAs API i backend for å utføre sertifikatlivssyklusaktiviteter.
-
-
Domenevalideringsaktiviteter utføres vanligvis av CA. For eksempel, hvis en e-postmelding med en tilfeldig verdi skal sendes til søkeren for å bevise kontroll over et domenenavn, sendes den direkte fra PT-CAs systemer, ikke forhandlerens.
-
I henhold til punkt 6.1.1.3 i BR-ene har ikke PT-CAer lov til å generere nøkkelpar på vegne av abonnenter. Noen abonnenter kan bruke VAR-er for å generere og muligens lagre disse nøklene.
-
- Merkede subCA-forhandlere: I de fleste tilfeller er dette VAR-er som har en avtale med PT-CA om å anskaffe en spesialutstedende CA som inneholder "merket" til VAR.
-
-
Dette er typisk en internt operert subCA, så den overordnede (vanligvis rot) CA-operatøren administrerer vanligvis nøklene og livssyklushendelsene til den subCA.
-
Eksternt opererte subCAer kan også inneholde merket til enheten som driver subCA, men siden denne enheten kontrollerer en privat nøkkel knyttet til et utstedende CA-sertifikat, må den revideres på riktig måte i henhold til avsnitt 8.1 i TLS Grunnlinjekrav, eller det må være teknisk begrenset i tråd med avsnitt 7.1.2.3, 7.1.2.4, 7.1.2.5 og internrevidert i henhold til avsnitt 8.7 i TLS Grunnlinjekrav. Det anses som utenfor omfanget i denne hvitboken.
-
I tillegg til merkede subCA-forhandlere, kan store abonnenter også be om en merkevare-subCA for å utstede sertifikater under deres organisasjonsnavn (dvs. til eget bruk). Denne modellen blir ikke undersøkt her fordi den har samme risiko som med en enkel abonnent, i betydningen å bestille og administrere store mengder sertifikater for sin egen organisasjon.
Tilsvarende er forhandlere som ikke er involvert i noen del av nøkkel-/sertifikatlivssyklusadministrasjonen (for eksempel forhandlere som er en del av et henvisningsprogram med oppdragsberettiget salg) ikke omfattet av denne hvitboken.
Merkede SubCAer
Eksternt opererte subCA-er, en modell som var populær tidligere (basert på analyse av CCADB-data) har blitt betydelig redusert de siste årene (i CCADB var det 93 serverAuth-subCA-er med "Audit not same as parent" fortsatt aktiv og lenket til en pålitelig rot), og fortsetter å bli brukt i noen tilfeller. Når det brukes, inkluderer subCA-sertifikatet partnerens navn i organisasjonsnavnet til emneDN og krever separate eksterne revisjoner.
Industrien bruker to praksiser for den internt drevne merkede subCA-organisasjonen:
- Noen CA-er inkluderer navnet på den utstedende CA (rotoperatøren) i organisasjonsnavnet til emneDN til det merkede mellomliggende CA-sertifikatet
- Noen CA-er inkluderer navnet på den merkede SubCA i organisasjonsnavnet til subjektDN til det merkede mellomliggende CA-sertifikatet.
Med gjeldende krav er det vanskelig for en avhengig part å enkelt identifisere om den utstedende CA er operert av rot-CA eller en annen enhet.
Risikoer ved VAR-modellen
Etter å ha analysert tilbakemeldingene fra undersøkelsen og de ulike VAR-praksisene i denne bransjen, identifiserte vi noen risikoer som hovedsakelig gjelder for VAR-er som handler på vegne av en abonnent:
-
Nøkkelgenerasjon og / eller lagring av den private nøkkelen: Dette er en kritisk funksjon som ingen krav eller revisjoner håndheves til VAR-er i henhold til gjeldende standarder. Mangelen på synlighet til deres sikkerhetsstilling øker risikoen for å få abonnentens private nøkler kompromittert.
-
Lagring av personlig identifiserbar informasjon, og muligens annen sensitiv (f.eks. kredittkort) informasjon, med risiko for eksponering av private data. Denne risikoen ligner den som er nevnt ovenfor; i tillegg er det en risiko for feil bruk av PII, dvs. bruk av PII til andre formål enn de som er godkjent av Abonnenten.
-
Tilbakekall av sertifikat, med denial-of-service-risikoen for abonnenter. Når det gjelder VAR-er som har privilegert tilgang til kundenes kontoer, kan en hendelse på et VAR-system eller til og med en utilsiktet handling fra VAR føre til masseoppheving, og dermed påvirke tilgjengeligheten til flere nettsteder.
-
Ny nøkkel for sertifikat, tillatt under visse omstendigheter å erstatte en offentlig nøkkel i et sertifikat uten å utføre domenevalidering på nytt, med risiko for å avskjære kryptert trafikk til/fra abonnentens nettsteder.
-
Gjenbruk av bevis brukt for domenevalidering: Ved første utstedelse er det en direkte interaksjon med domeneeieren som lar PT-CA ha full kontroll over DCV-prosessen. Ved gjenbruk av DCV-bevis er dette trinnet ikke aktuelt, noe som betyr at det er en risiko for at VAR kan be om utstedelse av et nytt sertifikat til de aktuelle domenene uten abonnentens tillatelse.
-
VAR-er har økt innflytelse og blir dermed en "honeypot" i tilfelle kompromiss. En VAR vil bli ansett som et mer tiltalende mål, og hvis en angriper lykkes med å penetrere/kompromittere en VARs systemer (f.eks. portalen), kan dette påvirke mer uavhengige abonnenter, noe som resulterer i en mye større innvirkning sammenlignet med angrep på individuelle abonnenter.
-
Bruken av en skikk forhandlerportal legger til ett element til i sikkerhetskjeden, og utvider angrepsflaten. Spesifikke risikoer for en forhandlerportal inkluderer:
-
Trusler om nettsikkerhet
-
Dårlig informasjonssikkerhetshygiene
-
Svake mekanismer for autentisering/autorisering/regnskap
-
-
Legger til flere personer fra forhandlerens virksomhet til privilegerte stillinger av sertifikatlivssyklusadministrasjonsprosessen fører til en økt angrepsoverflate.
-
Ondsinnede handlinger av VAR; dette er iboende for enhver delegert aktivitet der en enhet som handler på vegne av den reelle mottakeren av en tjeneste (i vårt tilfelle, sertifikatabonnenten), kan opptre ondsinnet. Et enkelt eksempel vil være en ondsinnet VAR som «hjelper» en søker med å generere et nøkkelpar og senere selge den private nøkkelen til en angriper.
Under analysen vår identifiserte vi at hvis en VAR tildeles en internt drevet merkevaresubCA, er risikoen den samme, selv om konseptuelt den merkede subCAen nå anses som "pålitelig" fordi rot-CAen i hovedsak "godkjenner" for subCAen. Vær oppmerksom på at CRL-, OCSP-, CAI-utsteder-URL-er også må drives internt av rot-CA.
God praksis
Etter å ha vurdert risikoene ovenfor, vil vi foreslå noen gode fremgangsmåter som kan minimere potensialet for eventuelle mangler eller upassende handlinger fra subCA-kunder.
For merkede subCAer:
- Kjenn din potensielle partner: Utstedelse av et merket subCA-sertifikat gir konseptuelt forhandleren omdømmet og påliteligheten til PT-CA. Følgelig er det viktig for Root CA-operatører å undersøke deres potensielle forhandler, fra identitetsvalidering (ved å følge OV/EV-retningslinjer) til juridisk dokumentasjon til å undersøke selskapets omdømme og omdømmet til eierne og ledergruppen.
- Re-verifisering og re-evaluering: Periodisk re-verifisering av alle merkede subCA-forhandleres virksomhetsregistreringer bør brukes for å sikre lovlighet og god anseelse. I tillegg til bruk av offentlige kilder, kan reevaluering av forhandlere vurdere deres ytelse under det pågående partnerskapet.
- Kontraktsbestemmelser og retningslinjer: PT-CA-er bør sørge for at de opprettholder kontroll over kontrakten, slik at enhver kontraktsoppsigelse og subCA-oppsigelse som følge av et kontraktsbrudd er etter deres eget skjønn. Merkede subCA-avtaler kan inkludere bestemmelser som gir PT-CA mer synlighet over forhandlerens praksis og setter minimumskrav med hensyn til intern sikkerhet, kundeservice og overholdelse av BR-ene (i tilfelle de opptrer som en delegert tredjepart).
- Juridisk miljø: Det er nødvendig å ta hensyn til lovene og skikkene i jurisdiksjonen der forhandleren skal operere før du tildeler en merkevare-subCA til utenlandske enheter. Dette kan inkludere kompatibilitet med personvernlover og lisenskrav.
- Opprettholde kontroll over ressursene: Noen jurisdiksjoner kan kreve at bare lokaliserte virksomheter opererer i deres område; dette kan inkludere eierskap av domenenavn eller nøkkelinfrastruktur. Noen kunder ber om "utvidet" merkevarebygging, f.eks. merkede OCSP-svarsadresser og andre ressurser som er en del av PT-CAs forpliktelser. PT-CA må sørge for at dens kontroll over disse ressursene skal overleve fra en eventuell oppsigelse av en slik avtale, ellers risikerer den brudd på kravene til CA/nettleserforum.
- Nyttekostnadsanalyse og risikobehandling: Den merkede subCA-modellen kan være lukrativ, men den kommer også med samsvars- og omdømmerisiko. En forsiktig PT-CA analyserer disse før de gir omdømme og pålitelighet til en potensiell partner. I tillegg til bare godkjenning eller avvisning, kan avgjørelsen omfatte kontroller som avhjelper eventuelle identifiserte risikoer.
- Åpenhet: Gjennom merkevarebygging kan forhandlere (kan ønske å) markedsføre seg selv som "offentlig betrodde CAer". Åpenhet tilsier at forbrukere og tillitsfulle parter har minst en indikasjon på den faktiske enheten de setter sin lit til. En foreslått måte er å beholde tredjepartens navn i vanlig navn av emneDN av det merkede subCA-sertifikatet og bruk organisasjonsnavnet til den faktiske CA-operatøren (f.eks. PT-CA) i organisasjonsnavn.
For alle VAR-er:
- Sikkerhetsforanstaltninger: For VAR-er har SSL.com utstedt "Veiledning for beste fremgangsmåter for sikkerhet fra sertifiseringsinstans for merkevareforhandlere: Omfattende sikkerhetstiltak". Den inkluderer en omfattende serie med mulige sikkerhetstiltak og referanser til NetSec-krav. I det enkleste tilfellet at en VAR ikke bruker sine egne systemer (f.eks. brukerportal) for sertifikatets livssyklus, kan det hende at noen av kravene ikke gjelder.
- Beskyttelse av abonnenter: PT-CA-er bør identifisere og adressere risikoene forbundet med systemtilgang som er gjort tilgjengelig for VAR-er. En PT-CA bør ha forskjellige tilgangsnivåer for forhandler- og ikke-forhandlerkontoer, noe som muliggjør flere begrensninger på forhandlertilgangsnivået for å beskytte abonnentkontoer mot misbruk. Dette kan for eksempel inkludere kontroller for å forhindre gjenbruk av tidligere domenevalideringsbevis av VAR-er. For dette formål kan Baseline Requirements også kreve at alle som ikke er en "Enterprise RA" (dvs. ber om bare for sine egne, eide organisasjoner og domener) må fullføre domenevalidering for hver utstedelse (utstedelse, ny utstedelse, ny nøkkel, duplikat og fornyelse).
- Abonnent- og forhandleravtaler: PT-CAer kan tilby to typer abonnentavtaler: en abonnentavtale som ikke tillater videresalg og en dedikert forhandleravtale som inneholder ekstra klausuler og forventninger. For eksempel kan forhandleravtaler inkludere bestemmelser knyttet til administrasjon av abonnentkontoer og fremme informasjonssikkerhet sanitisering som beskrevet i Veiledning for beste fremgangsmåter for sikkerhet fra sertifiseringsinstans for merkevareforhandlere: Omfattende sikkerhetstiltak.
Merk: Vi vurderer ikke tilfellet med en vertsleverandør som deltar i sertifikatlivssyklusen, vanligvis på en automatisert måte via vanlige webhotellkontrollpaneler (Plesk, VirtualMin, CPanel).
- Kontraktsbestemmelser og retningslinjer: Inkluder tilleggsbestemmelser til forhandleravtalen, for eksempel retten til å revidere, foreslå/kreve årlig penetrasjonstesting, gjennomgang av systemkonfigurasjoner, implementere MFA eller autentiseringskontroller på minst samme nivå som PT-CA, overvåking og avsløring av hendelser.
- Sikker integrasjon: Håndhev bruken av sikre API-er, for eksempel bruk sikker autentisering via kryptert kanal, begrenset øktvarighet, riktig omfang for kontoer/poster som kun påvirker VAR og dens kunder/abonnenter, etc.
- Sikkerhetsstyring: Sørg for at periodiske sårbarhetsskanninger utføres mot forhandlerportalen. Dette kan kreves av forhandleravtalen eller kan være en del av tjenestene som tilbys av PT-CA for å hjelpe til med god sikkerhetshygiene til forhandlerportalen.
- Evaluering av deres sikkerhetsstilling: Innsamling av sikkerhetsrelatert informasjon og risikoevaluering som en del av onboarding-prosessen for forhandlere. Dette kan brukes ved hjelp av strukturerte spørreskjemaer eller spesialisert programvare.
- Årlig evaluering: PT-CAer bør ikke bare sette opp uovervåkede VAR-forhold. Det er viktig å gjennomføre en evalueringsprosess som gjennomføres minst på årlig basis.
- Nyhetsbrev om bevissthet: Å sende periodiske nyhetsbrev om sikkerhetsbevissthet hjelper forhandlere med å forbedre forståelsen av cybersikkerhetstrusler og være bedre forberedt mot angrep. Disse nyhetsbrevene kan inneholde informasjon om eventuelle nye sikkerhetsadvarsler knyttet til PKI systemer, en oversikt over forsøk på (eller vellykkede) angrep, eller instruksjoner om hvordan man bruker verktøyene og teknikkene som trengs for å forbedre sikkerhetshygienen.
Konklusjoner
Akkurat som enhver mulighet har salget av merkede subCA-er både positive og negative aspekter. Mer enn salg av endeenhetssertifikater åpner merkede subCAer den pålitelige CA for potensiell skade basert på aktivitetene til forhandler-klienten, samtidig som de tilbyr potensialet til store fordeler. VAR-er bør imidlertid ikke overses; deres forretnings- og sikkerhetspraksis kan introdusere risiko for abonnenter og dermed for PT-CAs omdømme og pålitelighet.
Før de inngår et merke-subCA- eller VAR-forhold, blir PT-CA-er advart om å utføre grundig due diligence, vurdere alle potensielle konsekvenser, ta informerte beslutninger og inngå velutviklede kontrakter som beskytter PT-CAs tillit. Denne artikkelen viser at det er tilgjengelige alternativer, det er lærdom og det er god praksis å følge.
Oppdag risikoene og beste fremgangsmåten for merkede sub-CAer og verdiøkende forhandlere i vår grundige hvitbok.