Lärdomar, säkerhetskonsekvenser och god praxis för varumärkesbaserade subCAs

Publicly-trusted Certification Authority-ägare (PT-CA) är grundläggande för att internet ska fungera säkert. De har anförtrotts av den allmänna, globala allmänheten och stora webbläsarleverantörer att tillhandahålla den väsentliga Public Key Infrastructure (PKI) behövs för att skapa förtroende, säkra kommunikationer och underlätta säkra onlinetransaktioner. För att bibehålla sin tillförlitlighet måste offentligt betrodda CA:er investera betydande resurser i säkerheten för sin verksamhet och efterlevnaden av de senaste standarderna, och de är föremål för rigorösa oberoende granskningar och övervakning.

PT-CAs, som företag, har ett legitimt intresse av att skapa ett nätverk av betrodda återförsäljare för att distribuera sina produkter och utöka sin marknadsnärvaro. Eftersom de fungerar som "förtroendeankare" får de ofta förfrågningar från intresserade parter som vill inkludera tillhandahållande av offentligt pålitliga certifikat i sina erbjudanden, ibland under deras eget namn; dessa kallas "vitmärkta" eller "märkta" subCAs.

Många medlemmar i PT-CA, återförsäljare och prenumeranter tycker att varumärkessubCA är värdefulla för att hjälpa till att bygga rykte utan att behöva investera i en helt dedikerad CA-infrastruktur, och de flesta återförsäljarkunder hanterar förmånen att ha sitt eget varumärke inom en SubCA på ett ansvarsfullt sätt. Tyvärr finns det fall där dålig säkerhetspraxis eller missbruk, avsiktligt eller på annat sätt, kan dyka upp.

Den här vitboken analyserar säkerhetsriskerna relaterade till varumärkessubCA-återförsäljare och föreslår god praxis baserat på erfarenheten som samlats in genom vår undersökning och lärdomar från att analysera senaste fall i branschen. Våra resultat bör vara användbara för beslutsfattare (CA/B Forum, Root Store Owners), för PT-CA:er som ytterst är ansvariga för att deras tjänster är tillförlitliga och för alla andra intresserade parter.

Undersökning

En undersökning genomfördes av SSL.com under andra halvan av 2023 för att samla in insikter från samhället som skulle vara användbara för denna rapport. Vår undersökning innehöll frågor som täckte följande aspekter:

  1. Populariteten för den märkta subCA-modellen
  2. Omfattning av varumärkesbyte: CRL/OCSP-svarare, användarportaler, anpassade produktnamn
  3. Urvals-/prövningsprocess av varumärkesmärkta subCA-kunder
  4. Användning av sin egen användarportal
  5. Revision och inspektion av dessa portaler
  6. Lärdomar baserade på erfarenhet med varumärkesmärkta subCA-kunder
  7. Tekniska utmaningar med att generera, kontrollera eller återkalla varumärkesbaserade subCAs

Undersökningen riktades till 9 PT-CA:er som, baserat på analys av CCADB-data, verkar ha störst erfarenhet av den varumärkesbaserade subCA-modellen.

Undersökningsresultat

Vi fick svar från 5 av de 9 PT-CA, och vi följde upp för förtydliganden. Svaren analyserades för att identifiera gemensamma drag och skillnader i den varumärkesbaserade subCA-modellen och relevant praxis, som tillämpas av CA-industrin.

Höjdpunkter i undersökningsresultaten:

  1. Flera synonyma termer används i branschen för denna eller liknande subCA-modeller: branded, vitmärkt, dedicerad, fåfänga.

  2. 4 av de 5 deltagande CA:n bekräftade att märkessubCAs är en del av deras erbjudanden. Produkten riktar sig till utvalda kunder, såsom värdleverantörer och stora återförsäljare. Det är också tillämpligt i fall av stora konton som behöver certifikat för eget bruk; till exempel rapporterade en CA att modellen tillämpas på akademiska institutioner och forskningsinstitutioner.

  3. Varumärke inkluderar vanligtvis att utfärda subCA-certifikat som har namnet på kunden/återförsäljaren i fältet subjectDN. Utökad varumärkesprofilering kan också inkludera varumärkesskyddade CRL/OCSP-svarsadresser och varumärkesmikroportaler för mindre kunder/återförsäljare som inte har sina egna RA-portaler.

  4. Urvalsprocessen för SubCA baseras till största delen på affärsmässiga/kommersiella kriterier, såsom typ av aktivitet, prognostiserat antal certifikat och avsedd användning. Vissa PT-CA rapporterade att de kan föreslå eller på egen hand besluta om att skapa dedikerade subCAs, varumärkesskyddade eller inte, för att skilja från sina generella utfärdande CA:er när de betjänar stora kunder eller projekt, som ett sätt att isolera konsekvenserna/riskerna i fall av en incident (t.ex. kompromiss, efterlevnadsfel eller annan typ) som kräver återkallelse.

  5. Granskningen innefattar vanligtvis följande valideringsaktiviteter:

    a. verifiering av organisationens namn, adress och existens (liknande en OV- eller EV-process); och

    b. verifiering av godkännandet av begäran.

  6. En av de deltagande PT-CA rapporterade att innan ett kontrakt undertecknas sker en intern konsultation med efterlevnadsteamet för att kontrollera ryktet för den varumärkesmärkta SubCA-sökanden. Detta inkluderar att söka offentliga resurser efter rapporter om inblandning i dataförfalskning eller penningtvättsverksamhet. CCADB och Bugzilla är ytterligare informationskällor när en sökande redan är en PT-CA själv.

  7. Ingen rapporterade att neka en underCA-klient under varumärket av andra skäl än kommersiella/ekonomiska.

  8. Nästan alla PT-CA rapporterade att de flesta varumärkessubCA:er har sin egen användarportal; en PT-CA kvantifierade det till 80 % av deras totala antal varumärkesmärkta subCA-partners. Som ett undantag var en PT-CA inte medveten om att någon av dess varumärkesmärkta subCA-kunder använde sin egen användarportal.

  9. Ingen PT-CA rapporterade granskning eller på annat sätt inspekterade tredjeparts användarportalen för sina varumärkesunderCA:er (såvida inte den varumärkesmärkta subCA också är en PT-CA, vilket innebär att deras användarportaler är föremål för revision ändå).

  10. En PT-CA rapporterade följande lärdomar:

    a. Antalet utfärdade certifikat bör vara tillräckligt stort för att motivera bibehållandet av en underCA.

    b. Det är värt att kontrollera deras erfarenhet inom branschen innan du går vidare med kontraktet.

    c. Det är också värt att ta hand om lämplig längd på kontraktet.

  11. Ett par PT-CA:er rapporterade att de inte ser några speciella tekniska utmaningar med att generera, kontrollera eller återkalla varumärkessubCA:er.

Mervärde återförsäljare

Enligt resultaten av undersökningen och den information vi samlat in med vår egen undersökning erbjuder nästan alla PT-CA återförsäljarprogram; från företag eller individer som åtnjuter grossistrabatter och återförsäljer CA-produkter för en marginal (vanliga återförsäljare) till enheter som införlivar CA-produkter i sina egna erbjudanden eller tillhandahåller mervärdestjänster till förmån för sina kunder. De förstnämnda ("vanliga återförsäljarna") är inte inblandade i någon del av tjänsten förutom själva försäljningen, därför anses de vara utanför räckvidden i detta dokument.

Å andra sidan kan värdeadderande återförsäljare (VAR) ha liten eller betydande inblandning i att underlätta nyckel-/certifikatlivscykelprocessen. Eftersom detta har konsekvenser för säkerhet och efterlevnad fokuserar det här dokumentet på VAR och tar hänsyn till inneboende risker (och fördelar).

Vår forskning visade att det finns olika typer/praxis för VARs i branschen, beroende på deras inblandning i nyckel-/certifikatlivscykelprocesserna, användningen av PT-CA:s portal eller deras egen portal/system, användningen av subCAs utfärdade med namnet på PT-CA/Root CA, eller varumärkessubCA.

De vanligaste fallen vi identifierat är följande:

  • VAR:er som använder PT-CA:s/Root CA:s system: De hjälper vanligtvis de enheter som äger/kontrollerar domännamn genom att använda CA:s Registration Authority Portal; deras hjälp är vanligtvis inriktad på registrering och hantering av certifikat för dessa domänägares räkning.
  • VAR:er med oberoende registreringsmyndighetsportaler: De har vanligtvis sin egen portal för att registrera användare oberoende av CA och använda CA:s API i backend för att utföra certifikatlivscykelaktiviteter.
    • Domänvalideringsaktiviteter utförs vanligtvis av CA. Till exempel, om ett e-postmeddelande med ett slumpmässigt värde ska skickas till den sökande för att bevisa kontroll över ett domännamn, skickas det direkt från PT-CA:s system, inte återförsäljarens.

    • Enligt avsnitt 6.1.1.3 i BRs får PT-CA inte generera nyckelpar på uppdrag av abonnenter. Vissa prenumeranter kan använda VAR för att generera och eventuellt lagra dessa nycklar.

  • Märkesmärkta subCA-återförsäljare: I de flesta fall är dessa VAR:er som har ett avtal med PT-CA om att förvärva en anpassad utfärdande CA som innehåller "varumärket" för VAR.
    • Detta är vanligtvis en internt driven subCA, så den överordnade (vanligtvis rot) CA-operatören hanterar vanligtvis nycklarna och livscykelhändelserna för den subCA.

    • Externt styrda subCAs kan också innehålla varumärket för den enhet som driver subCA, men eftersom denna enhet kontrollerar en privat nyckel som är kopplad till ett utfärdande CA-certifikat måste den granskas korrekt enligt avsnitt 8.1 i TLS Baseline Requirement, eller så måste det vara tekniskt begränsat i enlighet med avsnitt 7.1.2.3, 7.1.2.4, 7.1.2.5 och internreviderat enligt avsnitt 8.7 i TLS Baslinjekrav. Det anses vara utanför räckvidden i denna vitbok.

Förutom varumärkesmärkta subCA-återförsäljare kan stora prenumeranter också begära en varumärkessubCA-återförsäljare för att utfärda certifikat under deras organisationsnamn (dvs. för eget bruk). Denna modell granskas inte här eftersom den har samma risker som med en enkel prenumerant, i betydelsen att beställa och hantera stora volymer av certifikat för sin egen organisation.

På liknande sätt omfattas inte återförsäljare som inte är involverade i någon del av hanteringen av nyckel-/certifikatlivscykeln (till exempel återförsäljare som ingår i ett hänvisningsprogram med kommissionsförsäljning) i denna vitbok.

Branded SubCAs

Externt manövrerade subCAs, en modell som var populär tidigare (baserad på analys av CCADB-data) har reducerats avsevärt under de senaste åren (i CCADB fanns det 93 serverAuth subCAs med "Audit not same as parent" fortfarande aktiv och kedjad till en betrodd rot), och fortsätter att användas i vissa fall. När det används inkluderar subCA-certifikatet partnerns namn i organisationsnamnet för subjectDN och kräver separata externa revisioner.

Branschen använder två metoder för den internt drivna underCA-organisationen:

  • Vissa certifikatutfärdare inkluderar namnet på den utfärdande CA (rotoperatören) i organisationsnamnet för ämnes-DN för det mellanliggande CA-certifikatet
  • Vissa certifikatutfärdare inkluderar namnet på den märkta SubCA i organisationsnamnet för ämnes-DN för det märkta mellanliggande CA-certifikatet.

Med de nuvarande kraven är det svårt för en förtroende part att enkelt identifiera om den utfärdande certifikatutfärdaren är det drivs av rotcertifikatutfärdaren eller en annan enhet.

Risker med VAR-modellen

Efter att ha analyserat feedbacken från undersökningen och de olika VAR-praxiserna i denna bransch, identifierade vi några risker som huvudsakligen är tillämpliga på VARs som agerar på uppdrag av en prenumerant:

  1. Nyckelgenerering och / eller misslyckande av den privata nyckeln: Detta är en kritisk funktion för vilken inga krav eller revisioner upprätthålls för VAR enligt nuvarande standarder. Bristen på synlighet för deras säkerhetsställning ökar risken för att abonnentens privata nycklar äventyras.

  2. Lagring av personligt identifierbar information, och eventuellt annan känslig (t.ex. kreditkort) information, med risk för exponering för privat data. Denna risk liknar den som nämns ovan; dessutom finns det en risk för felaktig användning av PII, dvs användning av PII för andra ändamål än de som godkänts av abonnenten.

  3. Återkallelse av certifikat, med risken för denial-of-Service för prenumeranter. När det gäller VAR:er som har privilegierad tillgång till sina kunders konton, kan en incident på ett VAR:s system eller till och med en oavsiktlig åtgärd från VAR:en resultera i massåterkallelse, vilket påverkar tillgängligheten för flera webbplatser.

  4. Nyckel för certifikat, tillåts under vissa omständigheter att ersätta en offentlig nyckel i ett certifikat utan att återutföra domänvalidering, med risk för att fånga upp krypterad trafik till/från prenumerantwebbplatser.

  5. Återanvändning av bevis som används för domänvalidering: Vid första utfärdandet sker en direkt interaktion med domänägaren som gör att PT-CA har full kontroll över DCV-processen. Vid återanvändning av DCV-bevis är detta steg inte tillämpligt, vilket innebär att det finns en risk att VAR framgångsrikt kan begära utfärdande av ett nytt certifikat till domänerna i fråga utan abonnentens tillåtelse.

  6. VAR har ökat genomslagskraft och blir därmed en "honungskruka" vid kompromiss. Ett VAR skulle anses vara ett mer tilltalande mål, och om en angripare lyckas penetrera/kompromettera ett VAR:s system (t.ex. dess portal), kan detta påverka mer oberoende prenumeranter vilket resulterar i en mycket större påverkan jämfört med attacker på enskilda prenumeranter.

  7. Användningen av en sed återförsäljarportal lägger till ytterligare ett element i säkerhetskedjan, förlänger attackytan. Specifika risker för en återförsäljarportal inkluderar:

    • Cybersäkerhetshot

    • Dålig informationssäkerhetshygien

    • Svaga mekanismer för autentisering/auktorisering/redovisning

  8. Lägger till fler personer från återförsäljarens verksamhet till privilegierade positioner av certifikatlivscykelhanteringsprocessen leder till en ökad attackyta.

  9. Skadliga handlingar av VAR; detta är naturligt för alla delegerade aktiviteter där en enhet som agerar på uppdrag av den verkliga förmånstagaren av en tjänst (i vårt fall certifikatabonnenten), kan agera med uppsåt. Ett enkelt exempel skulle vara en skadlig VAR som "hjälper" en sökande att skapa ett nyckelpar och senare säljer den privata nyckeln till en angripare.

Under vår analys identifierade vi att om en VAR beviljas en internt driven varumärkessubCA, är riskerna desamma, även om konceptuellt den varumärkesbaserade subCA nu anses "pålitlig" eftersom rot-CA i huvudsak "godkänner" för subCA. Observera att CRL, OCSP, CAI-utfärdarens URL:er också måste drivas internt av rot-CA.

Bra övningar

Efter att ha övervägt ovanstående risker vill vi föreslå några goda metoder som kan minimera potentialen för eventuella brister eller olämpliga åtgärder från subCA-kunder.

För märkesvaror subCA:

  • Känn din potentiella partner: Utfärdande av ett märkesvarumärkt subCA-certifikat ger återförsäljaren konceptuellt anseende och pålitlighet hos PT-CA. Följaktligen är det viktigt för Root CA-operatörer att kontrollera sin potentiella återförsäljare, från identitetsvalidering (efter OV/EV-riktlinjer) till juridisk dokumentation till att undersöka företagets rykte och ägarnas och ledningsgruppens rykte.
  • Omverifiering och omvärdering: Regelbunden återverifiering av alla varumärkessubCA-återförsäljares företagsregistreringar bör tillämpas för att säkerställa laglighet och god status. Förutom användningen av offentliga källor kan omvärdering av återförsäljare ta hänsyn till deras prestationer under det pågående partnerskapet.
  • Avtalsbestämmelser och policyer: PT-CA:er bör se till att de behåller kontrollen över kontraktet, så att eventuell uppsägning av kontrakt och subCA-återkallelse till följd av ett kontraktsbrott är efter eget gottfinnande. Varumärkta subCA-avtal kan innehålla bestämmelser som ger PT-CA mer synlighet över återförsäljarens praxis och ställer upp minimikrav med avseende på intern säkerhet, kundservice och efterlevnad av företagsregistren (om de agerar som en delegerad tredje part).
  • Laglig miljö: Det är nödvändigt att ta hänsyn till lagarna och sedvänjorna i den jurisdiktion där återförsäljaren kommer att vara verksam innan man beviljar en varumärkesskyddad subCA till utländska enheter. Detta kan inkludera kompatibilitet med integritetslagar och licenskrav.
  • Behåll kontroll över resurser: Vissa jurisdiktioner kan kräva att endast lokaliserade företag verkar i deras område; detta kan innefatta ägande av domännamn eller nyckelinfrastruktur. Vissa kunder efterfrågar "utökad" varumärkesprofilering, t.ex. OCSP-svararwebbadresser och andra resurser som är en del av PT-CA:s skyldigheter. PT-CA måste säkerställa att dess kontroll över dessa resurser ska överleva från en eventuell uppsägning av ett sådant avtal, annars riskerar den att bryta mot kraven från CA/webbläsarforum.
  • Kostnads-nyttoanalys och riskbehandling: Den varumärkesbaserade subCA-modellen kan vara lukrativ, men den kommer också med efterlevnads- och ryktesrisker. En försiktig PT-CA analyserar dessa innan de ger rykte och pålitlighet till en potentiell partner. Utöver bara godkännande eller avslag kan beslutet innehålla kontroller som åtgärdar eventuella identifierade risker.
  • Öppenhet: Genom varumärkesbyggande kan återförsäljare (kan vilja) marknadsföra sig själva som "offentligt betrodda certifikatutfärdare". Transparens kräver att konsumenter och förlitande parter åtminstone har en indikation på den faktiska enhet de litar på. Ett föreslaget sätt är att behålla den tredje partens namn i vanligt namn av ämneDN av det varumärkesmärkta subCA-certifikatet och använd organisationsnamnet för den faktiska CA-operatören (t.ex. PT-CA) i organisations namn.

För alla VAR:

  • Säkerhetsåtgärder: För VARs har SSL.com utfärdat "Certificate Authority Security Best Practices Guide for Branded Resellers: Omfattande säkerhetsåtgärder”. Den innehåller en omfattande serie av möjliga säkerhetsåtgärder och referenser till NetSec Requirements. I det enklaste fallet att en VAR inte använder sina egna system (t.ex. användarportal) för certifikatets livscykel, kanske vissa av kraven inte är tillämpliga.
  • Skydd av abonnenter: PT-CA:er bör identifiera och ta itu med riskerna i samband med systemåtkomst som görs tillgänglig för VAR:er. En PT-CA bör ha olika åtkomstnivåer för återförsäljar- och icke-återförsäljarkonton, vilket möjliggör fler begränsningar på återförsäljaråtkomstnivån för att skydda abonnentkonton från missbruk. Detta kan till exempel inkludera kontroller för att förhindra återanvändning av tidigare domänvalideringsbevis av VAR:er. För detta ändamål kan Baseline Requirements också kräva att alla som inte är en "Enterprise RA" (dvs. begär bara för sina egna, ägda organisationer och domäner) måste slutföra domänvalidering för varje utfärdande (emission, återutfärdande, nykodning, duplicering och förnyelse).
  • Abonnent- och återförsäljaravtal: PT-CA kan erbjuda två typer av abonnentavtal: ett abonnentavtal som inte tillåter återförsäljning och ett dedikerat återförsäljaravtal som innehåller extra klausuler och förväntningar. Till exempel kan återförsäljaravtal innehålla bestämmelser relaterade till hanteringen av abonnentkonton och främja informationssäkerhet sanering enligt beskrivningen i Certificate Authority Security Best Practices Guide for Branded Resellers: Omfattande säkerhetsåtgärder.
För VAR med egen portal:

Obs: Vi överväger inte fallet med en värdleverantör som deltar i certifikatets livscykel, vanligtvis på ett automatiserat sätt via vanliga kontrollpaneler för webbhotell (Plesk, VirtualMin, CPanel).

  • Avtalsbestämmelser och policyer: Inkludera ytterligare bestämmelser till återförsäljaravtalet, såsom rätten att granska, föreslå/kräva årliga penetrationstester, granskning av systemkonfigurationer, implementera MFA- eller autentiseringskontroller på minst samma nivå som PT-CA, övervakning och avslöjande av incidenter.
  • Säker integration: Framtvinga användningen av säkra API:er, till exempel tillämpa säker autentisering via krypterad kanal, begränsad sessionslängd, korrekt omfattning för konton/poster som endast påverkar VAR och dess kunder/prenumeranter, etc.
  • Sårbarhetshantering: Se till att periodiska sårbarhetssökningar utförs mot återförsäljarportalen. Detta kan krävas av återförsäljaravtalet eller kan vara en del av de tjänster som erbjuds av PT-CA för att hjälpa till med en god säkerhetshygien på återförsäljarens portal.
  • Utvärdering av deras säkerhetsställning: Insamling av säkerhetsrelaterad information och riskbedömning som en del av återförsäljarintroduktionsprocessen. Detta kan tillämpas med hjälp av strukturerade frågeformulär eller specialiserad programvara.
  • Årlig utvärdering: PT-CA:er bör inte bara skapa oövervakade VAR-relationer. Det är viktigt att genomföra en utvärderingsprocess som genomförs åtminstone på årsbasis.
  • Nyhetsbrev för medvetenhet: Att skicka periodiska nyhetsbrev om säkerhetsmedvetenhet hjälper återförsäljare att förbättra sin förståelse av cybersäkerhetshot och vara bättre förberedda mot attacker. Dessa nyhetsbrev kan innehålla information om eventuella nya säkerhetsvarningar relaterade till PKI system, en sammanställning av försök (eller framgångsrika) attacker eller instruktioner om hur man använder de verktyg och tekniker som behövs för att förbättra säkerhetshygienen.

Slutsatser

Precis som alla möjligheter har försäljningen av varumärkessubCA:er både positiva och negativa aspekter. Mer än försäljningen av slutenhetscertifikat öppnar märkessubCA:er den betrodda CA för potentiell skada baserat på återförsäljarens-klientens aktiviteter, samtidigt som de erbjuder stora fördelar. VAR bör dock inte förbises; deras affärs- och säkerhetspraxis kan innebära risker för abonnenter och därmed för PT-CA:s rykte och pålitlighet.

Innan de inleder ett varumärkesbaserat subCA- eller VAR-förhållande, uppmanas PT-CA:er att genomföra grundlig due diligence, överväga alla potentiella konsekvenser, fatta välgrundade beslut och ingå välutvecklade kontrakt som skyddar PT-CA:s förtroende. Det här dokumentet visar att det finns tillgängliga alternativ, det finns lärdomar och det finns goda rutiner att följa.

 

Upptäck riskerna och bästa praxis för varumärkesunder-CA och värdeadderande återförsäljare i vår djupgående vitbok.

 

Prenumerera på SSL.coms nyhetsbrev

Missa inte nya artiklar och uppdateringar från SSL.com

Håll dig informerad och säker

SSL.com är en global ledare inom cybersäkerhet, PKI och digitala certifikat. Registrera dig för att få de senaste branschnyheterna, tipsen och produktmeddelanden från SSL.com.

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.