Введение
Как ведущий центр сертификации (CA) и компания, предоставляющая услуги доверия, мы уделяем приоритетное внимание безопасности и надежности наших цифровых сертификатов и наших процедур проверки личности. Это руководство ориентировано на наших фирменных партнеров-реселлеров, которые владеют подчиненными центрами сертификации, привязанными к доверенному корню SSL.com (называемым «subCA»), и отвечают за сбор доказательств проверки, их отправку на наш портал центра регистрации и содействие выдаче сертификатов. сертификаты от субцентров сертификации под брендом партнера, управляемых SSL.com. Целью данного руководства является обеспечение целостности и безопасности процесса подачи доказательств проверки и жизненного цикла сертификата, поскольку реселлеры не имеют прямого доступа к корневым материалам и могут взаимодействовать с операциями жизненного цикла сертификата только через назначенный API или через учетную запись в портал центра регистрации (RA), управляемый SSL.com.
Безопасный сбор доказательств проверки для расширенных, организационных и индивидуальных типов проверки
-
Минимизация данных: Собирайте только необходимые доказательства проверки, необходимые для процесса выдачи сертификата. Избегайте сбора посторонней или конфиденциальной информации.
-
Безопасные методы сбора: Используйте безопасные каналы, такие как зашифрованные формы или порталы, при сборе доказательств проверки от конечных пользователей.
-
Контроль доступа: Внедрите строгий контроль доступа для сбора доказательств проверки. Доступ должен иметь только авторизованный персонал, а многофакторная аутентификация должна быть обязательной.
-
Целостность данных: Убедитесь, что доказательства валидации остаются неизменными в процессе сбора.
-
Проверка контроля домена: Используйте службы и методы проверки контроля домена, строго предоставляемые SSL.com.
Безопасная отправка доказательств валидации в корневой центр сертификации
-
Безопасность API: Всегда используйте назначенный API для отправки доказательств проверки. Убедитесь, что вызовы API выполняются по защищенным каналам, например HTTPS.
-
Загрузки на портал: Еще один безопасный метод предоставления доказательств — загрузка доказательств непосредственно в соответствующем порядке, который вы увидите в своей учетной записи SSL.com; Убедитесь, что вы загружаете только доказательства, относящиеся к конкретному заказу.
-
Регулярные аудиты: Регулярно проверяйте журналы подачи заявок, чтобы гарантировать отсутствие несанкционированных заявок.
-
Реакция на инцидент: Имейте четкий план реагирования на инциденты для любых несоответствий или нарушений в процессе подачи. Поставить в известность корневой центр сертификации если обнаружены какие-либо нарушения.
Рекомендации по использованию API операций жизненного цикла сертификата
-
Управление ключами API: Защитите свои ключи API. Храните их в надежном месте, периодически меняйте и никогда не раскрывайте их в клиентском коде или общедоступных репозиториях.
-
Ограничение скорости: Помните о любых ограничениях скорости, налагаемых на API, чтобы избежать непреднамеренных сбоев в обслуживании.
-
Мониторинг и регистрация: Отслеживайте все действия API. Ведите подробные журналы и регулярно просматривайте их на предмет любых подозрительных или несанкционированных действий.
-
Обработка ошибок: Внедрите надежные механизмы обработки ошибок. В случае каких-либо сбоев или несоответствий в ответах API предусмотрите четкую процедуру их устранения.
Поддержание безопасности веб-сайта
-
Надлежащий TLS Конфигурация сервера: Убедитесь, что сервер поддерживает только надежные криптографические шифры и протоколы. Регулярно обновляйте и исправляйте сервер для предотвращения известных уязвимостей.
-
Укрепление операционной системы: Минимизируйте количество служб, работающих на сервере, своевременно применяйте исправления безопасности и используйте конфигурации безопасности, чтобы уменьшить поверхность атаки.
-
Распространенные уязвимости веб-сайта: Регулярно сканируйте и устраняйте уязвимости, такие как внедрение SQL, межсайтовый скриптинг (XSS) и подделку межсайтовых запросов (CSRF).
-
Поддерживайте правильное состояние пароля: Убедитесь, что пароли сложны и содержат сочетание прописных и строчных букв, цифр и специальных символов. Поощряйте тех, у кого есть доступ к вашим серверам или CRM, регулярно обновлять свои пароли и избегать повторного использования паролей с других сайтов. Внедрите многофакторную аутентификацию (MFA) или используйте сертификаты clientAuth.
Требования безопасности к сети CA/B Forum и системам сертификации
-
Ежеквартальное сканирование уязвимостей: Проводите регулярное сканирование уязвимостей каждый квартал, чтобы выявлять и устранять потенциальные проблемы безопасности.
-
Ежегодное тестирование на проникновение: Участвуйте в ежегодном тестировании на проникновение для моделирования потенциальных атак и выявления слабых мест в системе.
-
Продвижение требований безопасности: Подчеркните важность соблюдения требований к безопасности сети и систем сертификации CA/B Forum для поддержания доверия и безопасности.
Продвижение передового опыта конечных пользователей в области генерации, хранения и хранения закрытых ключей. CSRs
-
Обучение генерации ключей: Помогите конечным пользователям использовать проверенные CA инструменты для генерации ключей и CSRс. Это обеспечивает совместимость и безопасность.
-
Длина ключа и алгоритм: Посоветуйте конечным пользователям использовать надежные криптографические алгоритмы и ключи соответствующей длины (например, RSA 2048 бит или выше).
-
Контроль доступа и многофакторная аутентификация: Внедряйте строгий контроль доступа и поощряйте использование многофакторной аутентификации, особенно для действий, запускающих взаимодействие API CA, таких как повторный ключ сертификата, продление и отзыв.
Безопасное хранение личных ключей
-
Постоянное вращение ключей: Регулярная ротация ключей сводит к минимуму объем данных, раскрываемых в случае компрометации ключа, и сокращает время, необходимое злоумышленнику для взлома ключа.
-
Зашифрованное хранение и резервное копирование: Поощряйте создание зашифрованных резервных копий закрытых ключей, которые надежно и отдельно хранятся.
-
Отзыв и уничтожение ключа: Поощряйте своих конечных пользователей применять политики, обеспечивающие быстрый и эффективный отзыв, если ключ скомпрометирован или больше не нужен. Ключ не должен использоваться для каких-либо криптографических операций после отзыва и должен быть уничтожен.
-
Создание иерархии ключей: Эта структура создает уровни криптографических ключей, каждый из которых имеет разные уровни доступа и контроля. Главный ключ, который находится в центре этой иерархии и чрезвычайно безопасен, используется для шифрования дополнительных ключей, которые часто называют «подчиненными» или «шифрованием данных».
-
Наличие стратегии реагирования на стихийные бедствия: Разработайте определенные действия, которые необходимо предпринять, а также ответственных сторон в случае серьезной компрометации ключа или потери ключа.
Доверие к нашему центру сертификации и нашим фирменным реселлерам имеет первостепенное значение. Придерживаясь этих комплексных передовых методов, мы можем обеспечить безопасность и целостность процесса выдачи сертификатов, защитить пользовательские данные и сохранить доверие наших конечных пользователей. Мы призываем всех наших реселлеров старательно применять эти методы и обращаться к нам за любыми дальнейшими указаниями или разъяснениями.