Wprowadzenie
Jako wiodący urząd certyfikacji (CA) i firma świadcząca usługi zaufania, priorytetowo traktujemy bezpieczeństwo i wiarygodność naszych certyfikatów cyfrowych oraz naszych procedur weryfikacji tożsamości. Ten przewodnik koncentruje się na naszych markowych partnerach-sprzedawcach, którzy posiadają podległe urzędy certyfikacji powiązane z zaufanym katalogiem głównym SSL.com (zwanymi „podrzędnymi urzędami certyfikacji”) i są odpowiedzialni za zbieranie dowodów weryfikacyjnych, przesyłanie ich do naszego portalu urzędu rejestracji i ułatwianie wydawania certyfikatów certyfikaty z podrzędnych urzędów certyfikacji zarządzanych przez SSL.com. Celem tego przewodnika jest zapewnienie integralności i bezpieczeństwa procesu składania dowodów walidacji oraz cyklu życia certyfikatu, ponieważ resellerzy nie mają bezpośredniego dostępu do materiału głównego i mogą wchodzić w interakcję z operacjami cyklu życia certyfikatu jedynie za pośrednictwem wyznaczonego interfejsu API lub konta w portal urzędu rejestracji (RA) zarządzany przez SSL.com.
Bezpieczne gromadzenie dowodów walidacji dla typów walidacji rozszerzonej, organizacyjnej i indywidualnej
-
Minimalizacja danych: Zbieraj tylko niezbędne dowody walidacyjne wymagane w procesie wydawania certyfikatu. Unikaj gromadzenia obcych lub wrażliwych informacji.
-
Bezpieczne metody zbierania: Podczas zbierania dowodów weryfikacyjnych od użytkowników końcowych korzystaj z bezpiecznych kanałów, takich jak zaszyfrowane formularze lub portale.
-
Kontrola dostępu: Wdrażaj ścisłą kontrolę dostępu w celu gromadzenia dowodów walidacyjnych. Dostęp powinien mieć wyłącznie upoważniony personel, a uwierzytelnianie wieloskładnikowe powinno być obowiązkowe.
-
Integralność danych: Upewnij się, że dowody walidacyjne pozostają niezmienione w trakcie procesu gromadzenia danych.
-
Weryfikacja kontroli domeny: Korzystaj z usług i metod sprawdzania kontroli domeny ściśle udostępnianych przez SSL.com.
Bezpieczne przesyłanie dowodów walidacyjnych do głównego urzędu certyfikacji
-
Bezpieczeństwo API: Zawsze używaj wyznaczonego interfejsu API do przesyłania dowodów walidacyjnych. Upewnij się, że wywołania API są wykonywane za pośrednictwem bezpiecznych kanałów, takich jak HTTPS.
-
Przesyłanie portalu: Inną bezpieczną metodą przesyłania dowodów jest przesłanie dowodów bezpośrednio w odpowiedniej kolejności, którą zobaczysz na swoim koncie SSL.com; upewnij się, że przesyłasz wyłącznie dowody związane z konkretnym zamówieniem.
-
Audyty regularne: Przeprowadzaj regularne audyty dzienników zgłoszeń, aby upewnić się, że nie dokonywane są żadne nieautoryzowane zgłoszenia.
-
Reagowania na incydenty: Przygotuj jasny plan reagowania na incydenty w przypadku jakichkolwiek rozbieżności lub naruszeń w procesie składania wniosków. Notyfikować główny urząd certyfikacji w przypadku wykrycia jakichkolwiek nieprawidłowości.
Najlepsze praktyki dotyczące korzystania z interfejsu API operacji cyklu życia certyfikatu
-
Zarządzanie kluczami API: Chroń swoje klucze API. Przechowuj je bezpiecznie, okresowo zmieniaj i nigdy nie ujawniaj ich w kodzie po stronie klienta ani w publicznych repozytoriach.
-
Ograniczenie szybkości: Należy pamiętać o wszelkich ograniczeniach szybkości nałożonych na interfejs API, aby uniknąć niezamierzonych zakłóceń w świadczeniu usług.
-
Monitorowanie i rejestrowanie: Monitoruj wszystkie działania API. Prowadź szczegółowe dzienniki i regularnie przeglądaj je pod kątem podejrzanych lub nieautoryzowanych działań.
-
Obsługa błędów: Wdrażaj niezawodne mechanizmy obsługi błędów. W przypadku jakichkolwiek niepowodzeń lub rozbieżności w odpowiedziach API, przygotuj jasną procedurę ich usunięcia.
Utrzymanie bezpiecznej witryny internetowej
-
właściwy TLS Konfiguracja serwera: Upewnij się, że serwer obsługuje tylko silne szyfry i protokoły kryptograficzne. Regularnie aktualizuj i łataj serwer, aby zapobiec znanym lukom.
-
Utwardzanie systemu operacyjnego: Minimalizuj liczbę usług uruchomionych na serwerze, niezwłocznie stosuj poprawki zabezpieczeń i korzystaj z konfiguracji zabezpieczeń, aby zmniejszyć powierzchnię ataku.
-
Typowe luki w zabezpieczeniach witryny internetowej: Regularnie skanuj i usuwaj luki w zabezpieczeniach, takie jak wstrzykiwanie SQL, skrypty między witrynami (XSS) i fałszowanie żądań między witrynami (CSRFA).
-
Utrzymuj właściwą kondycję hasła: Upewnij się, że hasła są złożone i zawierają kombinację wielkich i małych liter, cyfr i znaków specjalnych. Zachęcaj osoby mające dostęp do Twoich serwerów lub systemu CRM do regularnej aktualizacji swoich haseł i unikania ponownego używania haseł z innych witryn. Wdrażaj uwierzytelnianie wieloskładnikowe (MFA) lub korzystaj z certyfikatów ClientAuth.
Wymagania dotyczące bezpieczeństwa sieci i systemów certyfikatów na forum CA/B
-
Kwartalne skanowanie luk w zabezpieczeniach: Co kwartał przeprowadzaj regularne skanowanie pod kątem luk w zabezpieczeniach, aby zidentyfikować i naprawić potencjalne problemy związane z bezpieczeństwem.
-
Coroczne testy penetracyjne: Angażuj się w coroczne testy penetracyjne, aby symulować potencjalne ataki i identyfikować słabe punkty w systemie.
-
Promuj wymagania bezpieczeństwa: Podkreśl znaczenie przestrzegania wymagań dotyczących bezpieczeństwa sieci i systemów certyfikatów forum CA/B w celu utrzymania zaufania i bezpieczeństwa.
Promowanie najlepszych praktyk użytkowników końcowych w zakresie generowania, przechowywania i przechowywania klucza prywatnego CSRs
-
Edukuj na temat generowania kluczy: Poinstruuj użytkowników końcowych, jak korzystać z narzędzi zweryfikowanych przez urząd certyfikacji do generowania kluczy i CSRS. Zapewnia to kompatybilność i bezpieczeństwo.
-
Długość klucza i algorytm: Doradzaj użytkownikom końcowym, aby korzystali z silnych algorytmów kryptograficznych i kluczy o odpowiedniej długości (np. RSA 2048-bitowy lub nowszy).
-
Kontrola dostępu i uwierzytelnianie wieloskładnikowe: Wdrażaj ścisłą kontrolę dostępu i promuj korzystanie z uwierzytelniania wieloskładnikowego, szczególnie w przypadku działań wywołujących interakcje z interfejsem API urzędu certyfikacji, takich jak ponowne kluczowanie, odnawianie i unieważnianie certyfikatu.
Bezpieczne przechowywanie kluczy prywatnych
-
Ciągła rotacja klawiszy: Regularna rotacja kluczy minimalizuje ilość danych ujawnionych w przypadku naruszenia bezpieczeństwa klucza i skraca czas potrzebny atakującemu na złamanie klucza.
-
Szyfrowane przechowywanie i kopie zapasowe: Zachęcaj do szyfrowania kopii zapasowych kluczy prywatnych, przechowywanych bezpiecznie i oddzielnie.
-
Unieważnienie i zniszczenie klucza: Zachęcaj użytkowników końcowych do stosowania zasad umożliwiających szybkie i skuteczne unieważnianie kluczy, jeśli klucz zostanie naruszony lub nie będzie już potrzebny. Klucz po unieważnieniu nie powinien być używany do jakichkolwiek operacji kryptograficznych i powinien zostać zniszczony.
-
Ustanowienie kluczowej hierarchii: Struktura ta tworzy warstwy kluczy kryptograficznych, z których każdy ma inny poziom dostępu i kontroli. Klucz główny, który znajduje się w centrum tej hierarchii i jest wyjątkowo bezpieczny, służy do szyfrowania dodatkowych kluczy, które często określa się jako „podrzędne” lub „szyfrowanie danych”.
-
Posiadanie strategii reagowania na katastrofy: Opracuj określone działania, które należy podjąć, a także strony odpowiedzialne w przypadku poważnego kluczowego kompromisu lub utraty klucza.
Zaufanie do naszego urzędu certyfikacji i naszych markowych sprzedawców jest najważniejsze. Stosując się do tych kompleksowych najlepszych praktyk, możemy zapewnić bezpieczeństwo i integralność procesu wydawania certyfikatu, chronić dane użytkowników i utrzymać zaufanie naszych użytkowników końcowych. Zachęcamy wszystkich naszych sprzedawców do sumiennego stosowania tych praktyk i kontaktowania się z nami w celu uzyskania dalszych wskazówek lub wyjaśnień.