Guia de práticas recomendadas de segurança da autoridade de certificação para revendedores de marca: medidas de segurança abrangentes

Ver todos os guias

Introdução

Como autoridade certificadora (CA) líder e empresa de serviços confiáveis, priorizamos a segurança e a confiabilidade de nossos certificados digitais e de nossos procedimentos de validação de identidade. Este guia é focado em nossos parceiros revendedores de marca que possuem autoridades de certificação subordinadas acorrentadas à raiz confiável de SSL.com (referidas como “subCAs”) e são responsáveis ​​por coletar evidências de validação, enviá-las ao nosso portal de autoridade de registro e facilitar a emissão de certificados das subCAs de marca parceira gerenciadas por SSL.com. O objetivo deste guia é garantir a integridade e a segurança do processo de envio de evidências de validação e do ciclo de vida do certificado, pois os revendedores não têm acesso direto ao material raiz e só podem interagir com as operações do ciclo de vida do certificado por meio de uma API designada ou de uma conta no o portal da autoridade de registro (RA) gerenciado por SSL.com.

Coleta segura de evidências de validação para tipos de validação estendida, organizacional e individual

  • Minimização de dados: Colete apenas as evidências de validação necessárias para o processo de emissão do certificado. Evite coletar informações estranhas ou confidenciais.
  • Métodos de coleta segura: Use canais seguros, como formulários ou portais criptografados, ao coletar evidências de validação de usuários finais.
  • Controle de acesso: Implemente controles de acesso rigorosos para coletar evidências de validação. Somente pessoal autorizado deve ter acesso e a autenticação multifator deve ser obrigatória.
  • Integridade de dados: Certifique-se de que as evidências de validação permaneçam inalteradas durante o processo de coleta.
  • Validação de controle de domínio: Utilize serviços e métodos de validação de controle de domínio estritamente fornecidos por SSL.com.

Envio seguro de evidências de validação para CA raiz

  • Segurança API: Sempre use a API designada para enviar evidências de validação. Certifique-se de que as chamadas de API sejam feitas em canais seguros, como HTTPS.
  • Carregamentos do portal: Outro método seguro de envio de evidências é fazer o upload das evidências diretamente no pedido relacionado que você veria em sua conta SSL.com; certifique-se de enviar apenas evidências relacionadas ao pedido específico.
  • Auditorias Regulares: Conduza auditorias regulares dos registros de envio para garantir que nenhum envio não autorizado esteja sendo feito.
  • Resposta a Incidentes: Tenha um plano claro de resposta a incidentes para quaisquer discrepâncias ou violações no processo de envio. Notificar a autoridade de certificação raiz us imediatamente se alguma irregularidade for detectada.

Melhores práticas para usar a API de operações do ciclo de vida do certificado

  • Gerenciamento de chaves de API: Proteja suas chaves de API. Armazene-os com segurança, alterne-os periodicamente e nunca os exponha em código do lado do cliente ou em repositórios públicos.
  • Limitação de taxa: Esteja ciente de quaisquer limites de taxa impostos à API para evitar interrupções não intencionais do serviço.
  • Monitoramento e registro: Monitore todas as atividades da API. Mantenha registros detalhados e revise-os regularmente em busca de atividades suspeitas ou não autorizadas.
  • Manipulação de erros: Implemente mecanismos robustos de tratamento de erros. Em caso de falhas ou discrepâncias nas respostas da API, tenha um procedimento claro para resolvê-las.

Mantendo um site seguro

  • Adequado TLS Configuração do servidor: Certifique-se de que o servidor suporte apenas cifras e protocolos criptográficos fortes. Atualize e corrija regularmente o servidor para evitar vulnerabilidades conhecidas.
  • Endurecimento do sistema operacional: Minimize o número de serviços em execução no servidor, aplique patches de segurança imediatamente e use configurações de segurança para reduzir a superfície de ataque.
  • Vulnerabilidades comuns em sites: Procure e resolva regularmente vulnerabilidades, como injeção de SQL, Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF).
  • Mantenha a integridade adequada da senha: Certifique-se de que as senhas sejam complexas, incorporando uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais. Incentive aqueles com acesso aos seus servidores ou CRM a atualizarem suas senhas regularmente e evitem reutilizar senhas de outros sites. Implemente a autenticação multifator (MFA) ou utilize certificados clientAuth.

Requisitos de segurança de sistemas de certificado e rede do CA/B Forum

  • Verificações trimestrais de vulnerabilidades: Realize verificações regulares de vulnerabilidades trimestralmente para identificar e corrigir possíveis problemas de segurança.
  • Teste Anual de Penetração: Participe de testes de penetração anuais para simular ataques potenciais e identificar pontos fracos no sistema.
  • Promova requisitos de segurança: Enfatize a importância de aderir aos Requisitos de Segurança de Sistemas de Certificação e Rede do Fórum CA/B para manter a confiança e a segurança.

Promovendo as melhores práticas do usuário final com geração de chaves privadas, armazenamento e CSRs

  • Educar sobre geração de chaves: Oriente os usuários finais a usar ferramentas aprovadas pela CA para gerar chaves e CSRS. Isso garante compatibilidade e segurança.
  • Comprimento da chave e algoritmo: Aconselhe os usuários finais a usarem algoritmos criptográficos fortes e comprimentos de chave apropriados (por exemplo, RSA de 2048 bits ou superior).
  • Controle de acesso e autenticação multifator: Implemente controles de acesso rígidos e promova o uso de autenticação multifator, especialmente para ações que acionam interações de API da CA, como rechaveamento, renovação e revogação de certificados.

Armazenamento seguro de chaves privadas

  • Rotação Contínua de Chaves: A rotação regular de chaves minimiza a quantidade de dados expostos se uma chave for comprometida e reduz o tempo que um invasor leva para decifrá-la.
  • Armazenamento e backup criptografados: Incentive backups criptografados de chaves privadas, armazenadas de forma segura e separada.
  • Revogação e destruição de chave: Incentive políticas em seus usuários finais que permitam a revogação rápida e eficiente caso uma chave seja comprometida ou não seja mais necessária. A chave não deve ser usada para nenhuma operação criptográfica após ser revogada e deve ser destruída.
  • Implementando uma hierarquia de chaves: Essa estrutura cria camadas de chaves criptográficas, cada uma com diferentes níveis de acesso e controle. A chave mestra, que está no centro desta hierarquia e é extremamente segura, é usada para criptografar chaves adicionais, que são frequentemente chamadas de “subordinadas” ou “criptografia de dados”.
  • Ter uma estratégia de resposta a desastres: Desenvolva ações definidas que precisam ser tomadas, bem como partes responsáveis ​​no caso de um grande comprometimento ou perda de chave.
A confiança em nossa CA e em nossos revendedores de marca é fundamental. Ao aderir a estas melhores práticas abrangentes, podemos garantir a segurança e a integridade do processo de emissão de certificados, proteger os dados dos utilizadores e manter a confiança dos nossos utilizadores finais. Incentivamos todos os nossos revendedores a implementar essas práticas de forma diligente e entrar em contato conosco para obter mais orientações ou esclarecimentos.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Equipe de Suporte SSL

Todas as publicações "

Mantenha-se informado e seguro

SSL.com é líder global em segurança cibernética, PKI e certificados digitais. Inscreva-se para receber as últimas notícias do setor, dicas e anúncios de produtos da SSL.com.

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa