Przewodnik po najlepszych praktykach w zakresie bezpieczeństwa urzędu certyfikacji dla markowych sprzedawców: kompleksowe środki bezpieczeństwa

Wyświetl wszystkie przewodniki

Wprowadzenie

Jako wiodący urząd certyfikacji (CA) i firma świadcząca usługi zaufania, priorytetowo traktujemy bezpieczeństwo i wiarygodność naszych certyfikatów cyfrowych oraz naszych procedur weryfikacji tożsamości. Ten przewodnik koncentruje się na naszych markowych partnerach-sprzedawcach, którzy posiadają podległe urzędy certyfikacji powiązane z zaufanym katalogiem głównym SSL.com (zwanymi „podrzędnymi urzędami certyfikacji”) i są odpowiedzialni za zbieranie dowodów weryfikacyjnych, przesyłanie ich do naszego portalu urzędu rejestracji i ułatwianie wydawania certyfikatów certyfikaty z podrzędnych urzędów certyfikacji zarządzanych przez SSL.com. Celem tego przewodnika jest zapewnienie integralności i bezpieczeństwa procesu składania dowodów walidacji oraz cyklu życia certyfikatu, ponieważ resellerzy nie mają bezpośredniego dostępu do materiału głównego i mogą wchodzić w interakcję z operacjami cyklu życia certyfikatu jedynie za pośrednictwem wyznaczonego interfejsu API lub konta w portal urzędu rejestracji (RA) zarządzany przez SSL.com.

Bezpieczne gromadzenie dowodów walidacji dla typów walidacji rozszerzonej, organizacyjnej i indywidualnej

  • Minimalizacja danych: Zbieraj tylko niezbędne dowody walidacyjne wymagane w procesie wydawania certyfikatu. Unikaj gromadzenia obcych lub wrażliwych informacji.
  • Bezpieczne metody zbierania: Podczas zbierania dowodów weryfikacyjnych od użytkowników końcowych korzystaj z bezpiecznych kanałów, takich jak zaszyfrowane formularze lub portale.
  • Kontrola dostępu: Wdrażaj ścisłą kontrolę dostępu w celu gromadzenia dowodów walidacyjnych. Dostęp powinien mieć wyłącznie upoważniony personel, a uwierzytelnianie wieloskładnikowe powinno być obowiązkowe.
  • Integralność danych: Upewnij się, że dowody walidacyjne pozostają niezmienione w trakcie procesu gromadzenia danych.
  • Weryfikacja kontroli domeny: Korzystaj z usług i metod sprawdzania kontroli domeny ściśle udostępnianych przez SSL.com.

Bezpieczne przesyłanie dowodów walidacyjnych do głównego urzędu certyfikacji

  • Bezpieczeństwo API: Zawsze używaj wyznaczonego interfejsu API do przesyłania dowodów walidacyjnych. Upewnij się, że wywołania API są wykonywane za pośrednictwem bezpiecznych kanałów, takich jak HTTPS.
  • Przesyłanie portalu: Inną bezpieczną metodą przesyłania dowodów jest przesłanie dowodów bezpośrednio w odpowiedniej kolejności, którą zobaczysz na swoim koncie SSL.com; upewnij się, że przesyłasz wyłącznie dowody związane z konkretnym zamówieniem.
  • Audyty regularne: Przeprowadzaj regularne audyty dzienników zgłoszeń, aby upewnić się, że nie dokonywane są żadne nieautoryzowane zgłoszenia.
  • Reagowania na incydenty: Przygotuj jasny plan reagowania na incydenty w przypadku jakichkolwiek rozbieżności lub naruszeń w procesie składania wniosków. Notyfikować główny urząd certyfikacji us natychmiast w przypadku wykrycia jakichkolwiek nieprawidłowości.

Najlepsze praktyki dotyczące korzystania z interfejsu API operacji cyklu życia certyfikatu

  • Zarządzanie kluczami API: Chroń swoje klucze API. Przechowuj je bezpiecznie, okresowo zmieniaj i nigdy nie ujawniaj ich w kodzie po stronie klienta ani w publicznych repozytoriach.
  • Ograniczenie szybkości: Należy pamiętać o wszelkich ograniczeniach szybkości nałożonych na interfejs API, aby uniknąć niezamierzonych zakłóceń w świadczeniu usług.
  • Monitorowanie i rejestrowanie: Monitoruj wszystkie działania API. Prowadź szczegółowe dzienniki i regularnie przeglądaj je pod kątem podejrzanych lub nieautoryzowanych działań.
  • Obsługa błędów: Wdrażaj niezawodne mechanizmy obsługi błędów. W przypadku jakichkolwiek niepowodzeń lub rozbieżności w odpowiedziach API, przygotuj jasną procedurę ich usunięcia.

Utrzymanie bezpiecznej witryny internetowej

  • właściwy TLS Konfiguracja serwera: Upewnij się, że serwer obsługuje tylko silne szyfry i protokoły kryptograficzne. Regularnie aktualizuj i łataj serwer, aby zapobiec znanym lukom.
  • Utwardzanie systemu operacyjnego: Minimalizuj liczbę usług uruchomionych na serwerze, niezwłocznie stosuj poprawki zabezpieczeń i korzystaj z konfiguracji zabezpieczeń, aby zmniejszyć powierzchnię ataku.
  • Typowe luki w zabezpieczeniach witryny internetowej: Regularnie skanuj i usuwaj luki w zabezpieczeniach, takie jak wstrzykiwanie SQL, skrypty między witrynami (XSS) i fałszowanie żądań między witrynami (CSRFA).
  • Utrzymuj właściwą kondycję hasła: Upewnij się, że hasła są złożone i zawierają kombinację wielkich i małych liter, cyfr i znaków specjalnych. Zachęcaj osoby mające dostęp do Twoich serwerów lub systemu CRM do regularnej aktualizacji swoich haseł i unikania ponownego używania haseł z innych witryn. Wdrażaj uwierzytelnianie wieloskładnikowe (MFA) lub korzystaj z certyfikatów ClientAuth.

Wymagania dotyczące bezpieczeństwa sieci i systemów certyfikatów na forum CA/B

  • Kwartalne skanowanie luk w zabezpieczeniach: Co kwartał przeprowadzaj regularne skanowanie pod kątem luk w zabezpieczeniach, aby zidentyfikować i naprawić potencjalne problemy związane z bezpieczeństwem.
  • Coroczne testy penetracyjne: Angażuj się w coroczne testy penetracyjne, aby symulować potencjalne ataki i identyfikować słabe punkty w systemie.
  • Promuj wymagania bezpieczeństwa: Podkreśl znaczenie przestrzegania wymagań dotyczących bezpieczeństwa sieci i systemów certyfikatów forum CA/B w celu utrzymania zaufania i bezpieczeństwa.

Promowanie najlepszych praktyk użytkowników końcowych w zakresie generowania, przechowywania i przechowywania klucza prywatnego CSRs

  • Edukuj na temat generowania kluczy: Poinstruuj użytkowników końcowych, jak korzystać z narzędzi zweryfikowanych przez urząd certyfikacji do generowania kluczy i CSRS. Zapewnia to kompatybilność i bezpieczeństwo.
  • Długość klucza i algorytm: Doradzaj użytkownikom końcowym, aby korzystali z silnych algorytmów kryptograficznych i kluczy o odpowiedniej długości (np. RSA 2048-bitowy lub nowszy).
  • Kontrola dostępu i uwierzytelnianie wieloskładnikowe: Wdrażaj ścisłą kontrolę dostępu i promuj korzystanie z uwierzytelniania wieloskładnikowego, szczególnie w przypadku działań wywołujących interakcje z interfejsem API urzędu certyfikacji, takich jak ponowne kluczowanie, odnawianie i unieważnianie certyfikatu.

Bezpieczne przechowywanie kluczy prywatnych

  • Ciągła rotacja klawiszy: Regularna rotacja kluczy minimalizuje ilość danych ujawnionych w przypadku naruszenia bezpieczeństwa klucza i skraca czas potrzebny atakującemu na złamanie klucza.
  • Szyfrowane przechowywanie i kopie zapasowe: Zachęcaj do szyfrowania kopii zapasowych kluczy prywatnych, przechowywanych bezpiecznie i oddzielnie.
  • Unieważnienie i zniszczenie klucza: Zachęcaj użytkowników końcowych do stosowania zasad umożliwiających szybkie i skuteczne unieważnianie kluczy, jeśli klucz zostanie naruszony lub nie będzie już potrzebny. Klucz po unieważnieniu nie powinien być używany do jakichkolwiek operacji kryptograficznych i powinien zostać zniszczony.
  • Ustanowienie kluczowej hierarchii: Struktura ta tworzy warstwy kluczy kryptograficznych, z których każdy ma inny poziom dostępu i kontroli. Klucz główny, który znajduje się w centrum tej hierarchii i jest wyjątkowo bezpieczny, służy do szyfrowania dodatkowych kluczy, które często określa się jako „podrzędne” lub „szyfrowanie danych”.
  • Posiadanie strategii reagowania na katastrofy: Opracuj określone działania, które należy podjąć, a także strony odpowiedzialne w przypadku poważnego kluczowego kompromisu lub utraty klucza.
Zaufanie do naszego urzędu certyfikacji i naszych markowych sprzedawców jest najważniejsze. Stosując się do tych kompleksowych najlepszych praktyk, możemy zapewnić bezpieczeństwo i integralność procesu wydawania certyfikatu, chronić dane użytkowników i utrzymać zaufanie naszych użytkowników końcowych. Zachęcamy wszystkich naszych sprzedawców do sumiennego stosowania tych praktyk i kontaktowania się z nami w celu uzyskania dalszych wskazówek lub wyjaśnień.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Zespół wsparcia SSL

Wszystkie posty "

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę