Lições aprendidas, implicações de segurança e boas práticas para SubCAs de marca

Os proprietários de autoridades certificadoras de confiança pública (PT-CAs) são fundamentais para o funcionamento seguro da Internet. Eles são confiados pelo público em geral e pelos principais fornecedores de navegadores para fornecer a infraestrutura de chave pública essencial (PKI) necessários para estabelecer confiança, comunicações seguras e facilitar transações online seguras. Para manter a sua fiabilidade, as AC de confiança pública devem investir recursos significativos na segurança das suas operações e na adesão às normas mais recentes, e estão sujeitas a auditorias e supervisão independentes rigorosas.

Os PT-CAs, como empresas, têm um interesse legítimo em criar uma rede de revendedores de confiança para distribuir os seus produtos e expandir a sua presença no mercado. Uma vez que actuam como “âncoras de confiança”, recebem frequentemente pedidos de partes interessadas que gostariam de incluir o fornecimento de certificados de confiança pública nas suas ofertas, por vezes em seu próprio nome; estes são chamados de subCAs de “marca branca” ou “de marca”.

Muitos membros da comunidade PT-CA, revendedores e assinantes consideram as subCAs de marca valiosas para ajudar a construir reputação sem ter que investir em uma infraestrutura de CA totalmente dedicada, e a maioria dos clientes revendedores lida com o privilégio de ter sua própria marca dentro de uma SubCA de forma responsável. Infelizmente, há casos em que podem surgir práticas de segurança inadequadas ou abusos, intencionais ou não.

Este white paper analisa os riscos de segurança relacionados aos revendedores de marca subCA e sugere boas práticas com base na experiência coletada por meio de nossa pesquisa e nas lições aprendidas na análise de casos recentes no setor. As nossas conclusões devem ser úteis para os decisores políticos (Fórum CA/B, Proprietários de Lojas Raiz), para os PT-CA que são responsáveis, em última análise, pela fiabilidade dos seus serviços, e para qualquer outra parte interessada.

Vistorias

Uma pesquisa foi realizada por SSL.com no segundo semestre de 2023 para coletar informações da comunidade que seriam úteis para este relatório. Nossa pesquisa incluiu perguntas que cobriram os seguintes aspectos:

  1. Popularidade do modelo subCA de marca
  2. Extensão da reformulação da marca: respondedores CRL/OCSP com marca, portais de usuário, nomes de produtos personalizados
  3. Processo de seleção/avaliação de clientes da marca subCA
  4. Uso de seu próprio portal de usuário
  5. Auditoria e inspeção desses portais
  6. Lições aprendidas com base na experiência com clientes de marca subCA
  7. Desafios técnicos para gerar, controlar ou revogar subCAs de marca

O inquérito foi dirigido a 9 PT-CA que, com base na análise dos dados do CCADB, parecem ter mais experiência com o modelo subCA de marca.

Resultados da pesquisa

Recebemos respostas de 5 dos 9 PT-CAs e seguimos para esclarecimentos. As respostas foram analisadas para identificar pontos em comum e diferenças no modelo subCA de marca e nas práticas relevantes, conforme aplicado pela indústria de CA.

Destaques dos resultados da pesquisa:

  1. Vários termos sinônimos estão sendo usados ​​na indústria para este ou modelos subCA semelhantes: de marca, etiqueta branca, dedicado, vaidade.

  2. 4 das 5 CAs participantes confirmaram que as subCAs de marca fazem parte das suas ofertas. O produto é direcionado a clientes selecionados, como provedores de hospedagem e grandes revendedores. Também é aplicável em casos de grandes contas que necessitam de certificados para uso próprio; por exemplo, uma AC relatou a aplicação do modelo a instituições académicas e de investigação.

  3. A marca normalmente inclui a emissão de certificados subCA que possuem o nome do cliente/revendedor no campo subjectDN. A marca estendida também pode incluir URLs de resposta CRL/OCSP de marca e microportais de marca para clientes/revendedores menores que não possuem seus próprios portais de RA.

  4. O processo de seleção da SubCA é baseado principalmente em critérios empresariais/comerciais, como tipo de atividade, número previsto de certificados e uso pretendido. Alguns PT-CAs relataram que podem sugerir ou decidir por si próprios criar subCAs dedicadas, com marca ou não, para distinguir das suas CAs emissoras de uso geral quando atendem grandes clientes ou projetos, como forma de isolar o impacto/riscos no caso de um incidente (por exemplo, comprometimento, falha de conformidade ou outro tipo) que exija revogação.

  5. A verificação normalmente envolve as seguintes atividades de validação:

    a. verificação do nome, endereço e existência da organização (semelhante a um processo OV ou EV); e

    b. verificação da autorização do pedido.

  6. Um dos PT-CAs participantes informou que, antes da assinatura de um contrato, é realizada uma consulta interna à equipa de Compliance para verificar a reputação do candidato SubCA da marca. Isto inclui a pesquisa em recursos públicos de relatórios de envolvimento em atividades de falsificação de dados ou de branqueamento de capitais. CCADB e Bugzilla são fontes adicionais de informação quando um candidato já é um PT-CA.

  7. Nenhum relatou negar um cliente de marca subCA por motivos diferentes dos comerciais/financeiros.

  8. Quase todas as PT-CAs reportaram que a maioria das subCAs de marca trazem o seu próprio portal de utilizador; um PT-CA quantificou-o em 80% do seu número total de parceiros subCA de marca. A título de exceção, um PT-CA não tinha conhecimento de nenhum dos seus clientes subCA de marca que utilizasse o seu próprio portal de utilizador.

  9. Nenhuma PT-CA relatou auditoria ou inspeção do portal de usuários de terceiros de suas subCAs de marca (a menos que a subCA de marca também seja uma PT-CA, o que significa que seus portais de usuários estão sujeitos a auditoria de qualquer maneira).

  10. Um PT-CA relatou as seguintes lições aprendidas:

    a. O número de certificados emitidos deve ser grande o suficiente para justificar a manutenção de uma subCA com marca.

    b. Vale a pena conferir a experiência deles no setor antes de prosseguir com a contratação.

    c. Também vale a pena cuidar da duração adequada do contrato.

  11. Alguns PT-CAs relataram que não veem nenhum desafio técnico específico na geração, controle ou revogação de subCAs de marca.

Revendedores de valor agregado

De acordo com os resultados da pesquisa e as informações que coletamos em nossa própria investigação, quase todos os PT-CAs oferecem programas de revenda; desde empresas ou indivíduos que usufruem de descontos grossistas e revendem produtos CA por uma margem (revendedores simples) a entidades que incorporam produtos CA nas suas próprias ofertas ou fornecem serviços de valor acrescentado em benefício dos seus clientes. Os primeiros (“revendedores simples”) não estão envolvidos em nenhuma parte do serviço além da venda em si, portanto são considerados fora do escopo deste documento.

Por outro lado, os Revendedores de Valor Agregado (VAR) podem ter um envolvimento pequeno ou significativo na facilitação do processo do ciclo de vida da chave/certificado. Como isso tem implicações de segurança e conformidade, este documento concentra-se nos VARs e considera os riscos (e benefícios) inerentes.

A nossa investigação revelou que existem diferentes tipos/práticas de VARs na indústria, dependendo do seu envolvimento nos processos do ciclo de vida das chaves/certificados, da utilização do portal da PT-CA ou de portal/sistemas próprios, da utilização de subCAs emitidas com o nome da PT-CA/CA raiz ou subCAs de marca.

Os casos mais comuns que identificamos são os seguintes:

  • VARs que utilizam os sistemas do PT-CA/Root CA: Eles geralmente auxiliam as entidades proprietárias/controladoras de Nomes de Domínio usando o Portal da Autoridade de Registro da CA; a sua assistência centra-se normalmente no registo e gestão de certificados em nome destes proprietários de Domínios.
  • VARs com portais de autoridade de registro independentes: Eles normalmente têm seu próprio portal para registrar usuários independentemente da CA e usam a API da CA no back-end para realizar atividades do Ciclo de Vida do Certificado.
    • As atividades de validação de domínio são normalmente executadas pela CA. Por exemplo, se for enviada ao Candidato uma mensagem de correio eletrónico com um Valor Aleatório para comprovar o controlo de um Nome de Domínio, esta é enviada diretamente dos sistemas do PT-CA e não do revendedor.

    • De acordo com a secção 6.1.1.3 dos BR, os PT-CA não estão autorizados a gerar pares de chaves em nome dos Assinantes. Alguns Assinantes podem usar VARs para gerar e possivelmente armazenar essas chaves.

  • Revendedores subCA de marca: Na maioria dos casos, trata-se de VARs que possuem um acordo com o PT-CA para adquirir uma AC emissora personalizada que contenha a “marca” do VAR.
    • Isto é tipicamente um subCA operada internamente, portanto, o operador CA pai (geralmente Raiz) geralmente gerencia as chaves e os eventos do ciclo de vida dessa subCA.

    • SubCAs operadas externamente também pode conter a marca da entidade que opera a subCA, mas como esta entidade controla uma Chave Privada associada a um Certificado de CA Emissora, a mesma deverá ser devidamente auditada de acordo com a secção 8.1 do TLS Requisito de Linha de Base, ou deve ser tecnicamente restringido de acordo com as seções 7.1.2.3, 7.1.2.4, 7.1.2.5 e auditado internamente de acordo com a seção 8.7 do TLS Requisitos básicos. Isso é considerado fora do escopo neste white paper.

Além dos Revendedores de subCA de marca, os Assinantes de grande porte também podem solicitar que uma subCA de marca emita certificados sob o nome de sua organização (ou seja, para seu próprio uso). Este modelo não é examinado aqui porque apresenta os mesmos riscos de um simples Assinante, no sentido de solicitar e gerenciar grandes volumes de certificados para sua própria Organização.

Da mesma forma, os revendedores não envolvidos em qualquer parte do gerenciamento do ciclo de vida da chave/certificado (por exemplo, revendedores que fazem parte de um programa de referência com vendas comissionadas) não estão no escopo deste white paper.

SubCAs de marca

As subCAs operadas externamente, um modelo que era popular no passado (baseado na análise de dados do CCADB), foram significativamente reduzidas nos últimos anos (no CCADB, havia 93 subCAs serverAuth com “Auditoria diferente do pai” ainda ativa e acorrentado a uma raiz confiável) e continua a ser usado em alguns casos. Quando usado, o certificado subCA inclui o nome do parceiro no OrganizationName do subjectDN e requer auditorias externas separadas.

A indústria usa duas práticas para a organização subCA de marca operada internamente:

  • Algumas CAs incluem o nome da CA emissora (operador raiz) no nome da organização do subjectDN do certificado de CA intermediário com marca
  • Algumas CAs incluem o nome da SubCA com marca no nome da organização do subjectDN do Certificado de CA Intermediário com marca.

Com os requisitos atuais, é difícil para uma Parte Confiante identificar facilmente se a AC Emissora é operado pela CA raiz ou outra entidade.

Riscos do modelo VAR

Depois de analisar o feedback da pesquisa e as diversas práticas de VAR neste setor, identificamos alguns riscos que são aplicáveis ​​principalmente aos VARs que atuam em nome de um Assinante:

  1. Geração de chave e / ou armazenar da chave privada: Esta é uma função crítica para a qual nenhum requisito ou auditoria é imposta aos VARs pelos padrões atuais. A falta de visibilidade de sua postura de segurança aumenta o risco de comprometimento das chaves privadas do Assinante.

  2. Armazenamento de informações de identificação pessoal, e possivelmente outras informações sensíveis (por exemplo, cartão de crédito), com o risco de exposição de dados privados. Este risco é semelhante ao mencionado acima; além disso, existe o risco de uso indevido de PII, ou seja, uso de PII para fins diferentes daqueles aprovados pelo Assinante.

  3. Revogação de certificado, com o risco de negação de serviço para os assinantes. No caso de VARs que possuem acesso privilegiado às contas de seus clientes, um incidente no sistema de um VAR ou mesmo uma ação acidental do VAR pode resultar em revogação em massa, afetando assim a disponibilidade de múltiplos sites.

  4. Rechaveamento de certificado, permitido, em determinadas circunstâncias, substituir uma chave pública em um certificado sem realizar novamente a Validação de Domínio, com o risco de interceptar tráfego criptografado de/para sites de Assinantes.

  5. Reutilização de evidências utilizadas para Validação de Domínio: Na emissão inicial, existe uma interação direta com o proprietário do domínio que permite ao PT-CA ter total controlo sobre o processo DCV. No caso de reutilização de provas DCV, esta etapa não é aplicável, o que significa que existe o risco de o VAR solicitar com sucesso a emissão de um novo certificado para os domínios em questão sem a autorização do Assinante.

  6. Os VARs aumentaram o impacto e, portanto, tornaram-se um “honeypot” em caso de compromisso. Um VAR seria considerado um alvo mais atraente e, se um invasor conseguir penetrar/comprometer os sistemas de um VAR (por exemplo, seu portal), isso poderá afetar mais Assinantes independentes, resultando em um impacto muito maior em comparação com ataques a Assinantes individuais.

  7. O uso de um costume portal do revendedor adiciona mais um elemento na cadeia de segurança, ampliando a superfície de ataque. Os riscos específicos para um portal de revendedor incluem:

    • Ameaças de cibersegurança

    • Má higiene de segurança da informação

    • Mecanismos fracos de autenticação/autorização/contabilidade

  8. Adicionar mais pessoas do negócio do revendedor ao posições privilegiadas do processo de gerenciamento do ciclo de vida do certificado leva a uma maior superfície de ataque.

  9. Atos maliciosos pelo VAR; isto é inerente a qualquer atividade delegada onde uma entidade que atue em nome do verdadeiro beneficiário de um serviço (no nosso caso, o Assinante do Certificado), possa agir de forma maliciosa. Um exemplo simples seria um VAR malicioso “ajudando” um solicitante a gerar um par de chaves e posteriormente vendendo a chave privada a um invasor.

Durante nossa análise, identificamos que se um VAR receber uma subCA de marca operada internamente, os riscos são os mesmos, embora conceitualmente a subCA de marca seja agora considerada “confiável” porque a CA raiz é essencialmente “garantindo” a subCA. Observe que os URLs CRL, OCSP e CAIssuer também precisam ser operados internamente pela CA raiz.

Boas práticas

Depois de considerar os riscos acima, gostaríamos de sugerir algumas boas práticas que podem minimizar o potencial de quaisquer deficiências ou ações inadequadas por parte dos clientes da subCA.

Para subCAs de marca:

  • Conheça seu potencial parceiro: A emissão de um certificado subCA de marca concede conceitualmente ao revendedor a reputação e a confiabilidade do PT-CA. Consequentemente, é importante que os operadores de Root CA examinem o seu potencial revendedor, desde a validação da identidade (seguindo as diretrizes OV/EV) à documentação legal, até à pesquisa da reputação da empresa e da reputação dos proprietários e da equipa de gestão.
  • Reverificação e reavaliação: A reverificação periódica de todos os registros comerciais de revendedores de marca subCA deve ser aplicada para garantir a legalidade e a regularidade. Além do uso de fontes públicas, a reavaliação dos revendedores pode considerar o seu desempenho durante a parceria em curso.
  • Disposições e políticas contratuais: Os PT-CAs devem garantir que mantêm o controle sobre o contrato, de modo que qualquer rescisão contratual e revogação de subCA resultante de uma violação do contrato fique a seu exclusivo critério. Os acordos de subCA de marca podem incluir disposições que dêem ao PT-CA mais visibilidade sobre as práticas do revendedor e estabeleçam requisitos mínimos em relação à segurança interna, atendimento ao cliente e adesão aos BRs (caso estejam agindo como Terceiros Delegados).
  • Ambiente jurídico: É necessário considerar as leis e costumes da jurisdição onde o revendedor operará antes de conceder uma subCA de marca a entidades estrangeiras. Isto pode incluir compatibilidade de leis de privacidade e requisitos de licenciamento.
  • Mantenha o controle dos recursos: Algumas jurisdições podem exigir que apenas empresas localizadas operem na sua área; isto pode incluir a propriedade de nomes de domínio ou infraestruturas chave. Alguns clientes solicitam marcas 'estendidas', por exemplo, URLs de resposta OCSP com marca e outros recursos que fazem parte das obrigações do PT-CA. O PT-CA deve garantir que o seu controlo sobre estes recursos sobreviverá a uma possível rescisão de tal acordo, caso contrário corre o risco de violação dos requisitos do CA/Fórum de Navegadores.
  • Análise de custo-benefício e tratamento de risco: O modelo subCA de marca pode ser lucrativo, mas também traz riscos de conformidade e reputação. Um PT-CA prudente analisa-os antes de conceder reputação e confiabilidade a um potencial parceiro. Além de apenas aprovação ou rejeição, a decisão pode incluir controles que remediem eventuais riscos identificados.
  • Transparência: Através da marca, os revendedores (podem desejar) promover-se como “CAs de confiança pública”. A transparência determina que os consumidores e as partes confiantes tenham pelo menos uma indicação da entidade real em que depositam a sua confiança. Uma maneira sugerida é manter o nome do terceiro no nome comum da assuntoDN do certificado subCA com marca e usar o nome da organização do Operador CA real (por exemplo, o PT-CA) no Nome da organização.

Para todos os VARs:

  • As medidas de segurança: Para VARs, SSL.com emitiu o “Guia de práticas recomendadas de segurança da autoridade de certificação para revendedores de marca: medidas de segurança abrangentes”. Inclui uma série abrangente de possíveis medidas de segurança e referências aos Requisitos NetSec. No caso mais simples em que um VAR não utiliza os seus próprios sistemas (por exemplo, portal do utilizador) para o ciclo de vida do certificado, alguns dos requisitos podem não ser aplicáveis.
  • Proteção de assinantes: Os PT-CA devem identificar e abordar os riscos associados ao acesso ao sistema disponibilizado aos VAR. Um PT-CA deve ter diferentes níveis de acesso para contas de revendedores e não revendedores, permitindo mais restrições no nível de acesso do revendedor para proteger as contas dos Assinantes contra abusos. Por exemplo, isto pode incluir controles para evitar a reutilização de evidências anteriores de Validação de Domínio por VARs. Para esse fim, os Requisitos de Linha de Base também podem exigir que qualquer pessoa que não seja um 'AR Corporativo' (ou seja, solicitando apenas para suas próprias organizações e domínios próprios) conclua a Validação de Domínio para cada emissão (emitir, reemitir, rechavear, duplicar e renovação).
  • Contratos de assinante e revendedor: Os PT-CAs poderiam oferecer dois tipos de Contratos de Assinante: um Contrato de Assinante que não permite a revenda e um Contrato de Revendedor Dedicado que contém cláusulas e expectativas extras. Por exemplo, os Contratos de Revendedor poderiam incluir disposições relacionadas ao gerenciamento de contas de Assinantes e promover a segurança da informação higienização conforme descrito no Guia de práticas recomendadas de segurança da autoridade de certificação para revendedores de marca: medidas de segurança abrangentes.
Para VARs com portal próprio:

Nota: Não consideramos o caso de um provedor de hospedagem que participa do ciclo de vida do certificado, normalmente de forma automatizada por meio de painéis de controle comuns de hospedagem na web (Plesk, VirtualMin, CPanel).

  • Disposições e políticas contratuais: Incluir disposições adicionais ao Contrato de Revendedor, como o direito de auditar, sugerir/exigir testes de penetração anuais, revisão de configurações do sistema, implementar MFA ou controles de autenticação pelo menos no mesmo nível do PT-CA, monitoramento e divulgação de incidentes.
  • Integração segura: Aplicar o uso de APIs seguras, por exemplo, aplicar autenticação segura via canal criptografado, duração limitada da sessão, escopo adequado para as contas/registros que afetam apenas o VAR e seus clientes/assinantes, etc.
  • Gerenciamento de vulnerabilidade: Garanta que verificações periódicas de vulnerabilidade sejam realizadas no portal do revendedor. Isso pode ser exigido pelo Contrato de Revendedor ou pode fazer parte dos serviços oferecidos pelo PT-CA para auxiliar na boa higiene de segurança do portal do revendedor.
  • Avaliação de sua postura de segurança: Coleta de informações relacionadas à segurança e avaliação de riscos como parte do processo de integração do revendedor. Isso pode ser aplicado por meio de questionários estruturados ou software especializado.
  • Avaliação anual: Os PT-CAs não devem apenas estabelecer relações VAR não monitorizadas. É importante implementar um processo de avaliação que seja realizado pelo menos anualmente.
  • Boletins informativos de conscientização: O envio periódico de boletins informativos de conscientização sobre segurança ajuda os revendedores a melhorar sua compreensão das ameaças à segurança cibernética e a estarem mais bem preparados contra ataques. Esses boletins informativos podem conter informações sobre quaisquer novos avisos de segurança relacionados a PKI sistemas, um registro de ataques tentados (ou bem-sucedidos) ou instruções sobre como usar as ferramentas e técnicas necessárias para melhorar a higiene da segurança.

Conclusões

Assim como qualquer oportunidade, a venda de subCAs de marca tem aspectos positivos e negativos. Mais do que a venda de certificados de entidade final, as subCAs de marca expõem a CA confiável a danos potenciais com base nas atividades do cliente-revendedor, ao mesmo tempo que oferecem o potencial de grandes benefícios. Porém, os VARs não devem ser esquecidos; as suas práticas comerciais e de segurança podem introduzir riscos para os assinantes e, portanto, para a reputação e fiabilidade da PT-CA.

Antes de entrar em qualquer relacionamento de subCA ou VAR de marca, os PT-CAs são alertados a realizar a devida diligência, considerar todas as ramificações potenciais, tomar decisões informadas e celebrar contratos bem desenvolvidos que protejam a confiança do PT-CA. Este documento mostra que existem opções disponíveis, lições aprendidas e boas práticas a seguir.

 

Descubra os riscos e as melhores práticas para sub-CAs de marca e revendedores de valor agregado em nosso white paper detalhado.

 

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.