Руководство по передовому опыту безопасности центра сертификации для фирменных реселлеров: комплексные меры безопасности

Просмотреть все руководства

Введение

Как ведущий центр сертификации (CA) и компания, предоставляющая услуги доверия, мы уделяем приоритетное внимание безопасности и надежности наших цифровых сертификатов и наших процедур проверки личности. Это руководство ориентировано на наших фирменных партнеров-реселлеров, которые владеют подчиненными центрами сертификации, привязанными к доверенному корню SSL.com (называемым «subCA»), и отвечают за сбор доказательств проверки, их отправку на наш портал центра регистрации и содействие выдаче сертификатов. сертификаты от субцентров сертификации под брендом партнера, управляемых SSL.com. Целью данного руководства является обеспечение целостности и безопасности процесса подачи доказательств проверки и жизненного цикла сертификата, поскольку реселлеры не имеют прямого доступа к корневым материалам и могут взаимодействовать с операциями жизненного цикла сертификата только через назначенный API или через учетную запись в портал центра регистрации (RA), управляемый SSL.com.

Безопасный сбор доказательств проверки для расширенных, организационных и индивидуальных типов проверки

  • Минимизация данных: Собирайте только необходимые доказательства проверки, необходимые для процесса выдачи сертификата. Избегайте сбора посторонней или конфиденциальной информации.
  • Безопасные методы сбора: Используйте безопасные каналы, такие как зашифрованные формы или порталы, при сборе доказательств проверки от конечных пользователей.
  • Контроль доступа: Внедрите строгий контроль доступа для сбора доказательств проверки. Доступ должен иметь только авторизованный персонал, а многофакторная аутентификация должна быть обязательной.
  • Целостность данных: Убедитесь, что доказательства валидации остаются неизменными в процессе сбора.
  • Проверка контроля домена: Используйте службы и методы проверки контроля домена, строго предоставляемые SSL.com.

Безопасная отправка доказательств валидации в корневой центр сертификации

  • Безопасность API: Всегда используйте назначенный API для отправки доказательств проверки. Убедитесь, что вызовы API выполняются по защищенным каналам, например HTTPS.
  • Загрузки на портал: Еще один безопасный метод предоставления доказательств — загрузка доказательств непосредственно в соответствующем порядке, который вы увидите в своей учетной записи SSL.com; Убедитесь, что вы загружаете только доказательства, относящиеся к конкретному заказу.
  • Регулярные аудиты: Регулярно проверяйте журналы подачи заявок, чтобы гарантировать отсутствие несанкционированных заявок.
  • Реакция на инцидент: Имейте четкий план реагирования на инциденты для любых несоответствий или нарушений в процессе подачи. Поставить в известность корневой центр сертификации us немедленно если обнаружены какие-либо нарушения.

Рекомендации по использованию API операций жизненного цикла сертификата

  • Управление ключами API: Защитите свои ключи API. Храните их в надежном месте, периодически меняйте и никогда не раскрывайте их в клиентском коде или общедоступных репозиториях.
  • Ограничение скорости: Помните о любых ограничениях скорости, налагаемых на API, чтобы избежать непреднамеренных сбоев в обслуживании.
  • Мониторинг и регистрация: Отслеживайте все действия API. Ведите подробные журналы и регулярно просматривайте их на предмет любых подозрительных или несанкционированных действий.
  • Обработка ошибок: Внедрите надежные механизмы обработки ошибок. В случае каких-либо сбоев или несоответствий в ответах API предусмотрите четкую процедуру их устранения.

Поддержание безопасности веб-сайта

  • Надлежащий TLS Конфигурация сервера: Убедитесь, что сервер поддерживает только надежные криптографические шифры и протоколы. Регулярно обновляйте и исправляйте сервер для предотвращения известных уязвимостей.
  • Укрепление операционной системы: Минимизируйте количество служб, работающих на сервере, своевременно применяйте исправления безопасности и используйте конфигурации безопасности, чтобы уменьшить поверхность атаки.
  • Распространенные уязвимости веб-сайта: Регулярно сканируйте и устраняйте уязвимости, такие как внедрение SQL, межсайтовый скриптинг (XSS) и подделку межсайтовых запросов (CSRF).
  • Поддерживайте правильное состояние пароля: Убедитесь, что пароли сложны и содержат сочетание прописных и строчных букв, цифр и специальных символов. Поощряйте тех, у кого есть доступ к вашим серверам или CRM, регулярно обновлять свои пароли и избегать повторного использования паролей с других сайтов. Внедрите многофакторную аутентификацию (MFA) или используйте сертификаты clientAuth.

Требования безопасности к сети CA/B Forum и системам сертификации

  • Ежеквартальное сканирование уязвимостей: Проводите регулярное сканирование уязвимостей каждый квартал, чтобы выявлять и устранять потенциальные проблемы безопасности.
  • Ежегодное тестирование на проникновение: Участвуйте в ежегодном тестировании на проникновение для моделирования потенциальных атак и выявления слабых мест в системе.
  • Продвижение требований безопасности: Подчеркните важность соблюдения требований к безопасности сети и систем сертификации CA/B Forum для поддержания доверия и безопасности.

Продвижение передового опыта конечных пользователей в области генерации, хранения и хранения закрытых ключей. CSRs

  • Обучение генерации ключей: Помогите конечным пользователям использовать проверенные CA инструменты для генерации ключей и CSRс. Это обеспечивает совместимость и безопасность.
  • Длина ключа и алгоритм: Посоветуйте конечным пользователям использовать надежные криптографические алгоритмы и ключи соответствующей длины (например, RSA 2048 бит или выше).
  • Контроль доступа и многофакторная аутентификация: Внедряйте строгий контроль доступа и поощряйте использование многофакторной аутентификации, особенно для действий, запускающих взаимодействие API CA, таких как повторный ключ сертификата, продление и отзыв.

Безопасное хранение личных ключей

  • Постоянное вращение ключей: Регулярная ротация ключей сводит к минимуму объем данных, раскрываемых в случае компрометации ключа, и сокращает время, необходимое злоумышленнику для взлома ключа.
  • Зашифрованное хранение и резервное копирование: Поощряйте создание зашифрованных резервных копий закрытых ключей, которые надежно и отдельно хранятся.
  • Отзыв и уничтожение ключа: Поощряйте своих конечных пользователей применять политики, обеспечивающие быстрый и эффективный отзыв, если ключ скомпрометирован или больше не нужен. Ключ не должен использоваться для каких-либо криптографических операций после отзыва и должен быть уничтожен.
  • Создание иерархии ключей: Эта структура создает уровни криптографических ключей, каждый из которых имеет разные уровни доступа и контроля. Главный ключ, который находится в центре этой иерархии и чрезвычайно безопасен, используется для шифрования дополнительных ключей, которые часто называют «подчиненными» или «шифрованием данных».
  • Наличие стратегии реагирования на стихийные бедствия: Разработайте определенные действия, которые необходимо предпринять, а также ответственных сторон в случае серьезной компрометации ключа или потери ключа.
Доверие к нашему центру сертификации и нашим фирменным реселлерам имеет первостепенное значение. Придерживаясь этих комплексных передовых методов, мы можем обеспечить безопасность и целостность процесса выдачи сертификатов, защитить пользовательские данные и сохранить доверие наших конечных пользователей. Мы призываем всех наших реселлеров старательно применять эти методы и обращаться к нам за любыми дальнейшими указаниями или разъяснениями.
Twitter
что его цель
LinkedIn
Reddit.
Эл. адрес

Команда поддержки SSL

Все сообщения »

Будьте в курсе и будьте в безопасности

SSL.com является мировым лидером в области кибербезопасности, PKI и цифровые сертификаты. Подпишитесь, чтобы получать последние новости отрасли, советы и анонсы продуктов от SSL.com.

Мы будем рады вашим отзывам

Пройдите наш опрос и поделитесь с нами своими мыслями о своей недавней покупке.

Пройти опрос