Certificate Authority Security Best Practices Guide for Branded Resellers: Omfattande säkerhetsåtgärder

Beskrivning

Som en ledande certifikatutfärdare (CA) och ett företag för förtroendetjänster prioriterar vi säkerheten och tillförlitligheten för våra digitala certifikat och våra procedurer för identitetsvalidering. Den här guiden är inriktad på våra återförsäljarpartners med varumärken som har underordnade certifikatutfärdare kedjade till SSL.com:s betrodda rot (refererade till som "subCAs") och ansvarar för att samla in valideringsbevis, skicka in det till vår registreringsmyndighetsportal och underlätta utfärdandet av certifikat från partnermärkta subCAs som hanteras av SSL.com. Syftet med den här guiden är att säkerställa integriteten och säkerheten för processen för inlämning av valideringsbevis och certifikatets livscykel, för återförsäljare har inte direkt tillgång till rotmaterial och kan endast interagera med certifikatets livscykeloperationer genom ett angivet API eller via ett konto i registreringsmyndighetens (RA) portal som hanteras av SSL.com.

---

Säker insamling av valideringsbevis för utökade, organisations- och individuella valideringstyper

• Dataminimering: Samla bara in det nödvändiga valideringsbeviset som krävs för certifikatutfärdandeprocessen. Undvik att samla in ovidkommande eller känslig information.
• Säkra insamlingsmetoder: Använd säkra kanaler, såsom krypterade formulär eller portaler, när du samlar in valideringsbevis från slutanvändare.
• Åtkomstkontroll: Implementera strikta åtkomstkontroller för att samla in valideringsbevis. Endast auktoriserad personal ska ha åtkomst, och multifaktorautentisering bör vara obligatorisk.
• Dataintegritet: Se till att valideringsbeviset förblir oförändrat under insamlingsprocessen.
• Domänkontrollvalidering: Använd domänkontrollvalideringstjänster och metoder som strikt tillhandahålls av SSL.com.

---

Säker inlämning av valideringsbevis till Root CA

• API-säkerhet: Använd alltid det angivna API:et för att skicka in valideringsbevis. Se till att API-anrop görs över säkra kanaler, som HTTPS.
• Portaluppladdningar: En annan säker metod för bevisinlämning är att ladda upp bevis direkt till den relaterade ordning som du skulle se på ditt SSL.com-konto; se till att du bara laddar upp bevis relaterade till den specifika beställningen.
• Regelbundna revisioner: Genomför regelbundna granskningar av inlämningsloggar för att säkerställa att inga obehöriga inlämningar görs.
• Incidentrespons: Ha en tydlig incidentresponsplan för eventuella avvikelser eller överträdelser i inlämningsprocessen. Meddela roten CA us blir omedelbart om några oegentligheter upptäcks.

---

Bästa tillvägagångssätt för användning av Certificate Lifecycle Operations API

• API-nyckelhantering: Skydda dina API-nycklar. Förvara dem säkert, rotera dem med jämna mellanrum och exponera dem aldrig i kod på klientsidan eller i offentliga arkiv.
• Prisbegränsning: Var medveten om eventuella hastighetsbegränsningar på API:et för att undvika oavsiktliga tjänsteavbrott.
• Övervakning och loggning: Övervaka alla API-aktiviteter. Håll detaljerade loggar och granska dem regelbundet för eventuella misstänkta eller obehöriga aktiviteter.
• Felhantering: Implementera robusta felhanteringsmekanismer. I händelse av misslyckanden eller avvikelser i API-svaren, ha en tydlig procedur för att åtgärda dem.

Underhålla en säker webbplats

• Rätt TLS Serverkonfiguration: Se till att servern endast stöder starka kryptografiska chiffer och protokoll. Uppdatera och korrigera servern regelbundet för att förhindra kända sårbarheter.
• Operativsystemshärdning: Minimera antalet tjänster som körs på servern, applicera säkerhetskorrigeringar omedelbart och använd säkerhetskonfigurationer för att minska attackytan.
• Vanliga webbplatssårbarheter: Skanna regelbundet efter och åtgärda sårbarheter som SQL-injektion, Cross-Site Scripting (XSS) och Cross-Site Request Forgery (CSRF).
• Upprätthåll korrekt lösenordshälsa: Se till att lösenord är komplexa och innehåller en blandning av stora och små bokstäver, siffror och specialtecken. Uppmuntra dem som har tillgång till dina servrar eller CRM att uppdatera sina lösenord regelbundet och undvika att återanvända lösenord från andra webbplatser. Implementera multi-factor authentication (MFA) eller använd clientAuth-certifikat.

---

CA/B Forum nätverks- och certifikatsystem Säkerhetskrav

• Kvartalsvis sårbarhetssökning: Genomför regelbundna sårbarhetsskanningar varje kvartal för att identifiera och åtgärda potentiella säkerhetsproblem.
• Årlig penetrationstestning: Delta i årliga penetrationstester för att simulera potentiella attacker och identifiera svaga punkter i systemet.
• Marknadsför säkerhetskrav: Betona vikten av att följa CA/B Forums nätverks- och certifikatsystemsäkerhetskrav för att upprätthålla förtroende och säkerhet.

Främja bästa praxis för slutanvändare med generering av privata nycklar, lagring och CSRs

• Utbilda om nyckelgenerering: Guide slutanvändare att använda CA-bevakade verktyg för att generera nycklar och CSRs. Detta säkerställer kompatibilitet och säkerhet.
• Nyckellängd och algoritm: Råda slutanvändare att använda starka kryptografiska algoritmer och lämpliga nyckellängder (t.ex. RSA 2048-bitar eller högre).
• Åtkomstkontroll och multifaktorautentisering: Implementera strikta åtkomstkontroller och främja användningen av multifaktorautentisering, särskilt för åtgärder som utlöser CA API-interaktioner som certifikatnyckel, förnyelse och återkallelse.

---

Säker förvaring av privata nycklar

• Kontinuerlig tangentrotation: Nyckelrotation på regelbunden basis minimerar mängden data som exponeras om en nyckel äventyras och förkortar tiden det tar en angripare att knäcka en nyckel.
• Krypterad lagring och säkerhetskopiering: Uppmuntra krypterade säkerhetskopior av privata nycklar, lagrade säkert och separat.
• Återkallelse och nyckelförstöring: Uppmuntra policyer hos dina slutanvändare som möjliggör snabb och effektiv återkallelse om en nyckel äventyras eller inte längre behövs. Nyckeln ska inte användas för några kryptografiska operationer efter att ha återkallats och bör förstöras.
• Att införa en nyckelhierarki: Denna struktur skapar lager av kryptografiska nycklar, var och en med olika nivåer av åtkomst och kontroll. Huvudnyckeln, som är i centrum av denna hierarki och är extremt säker, används för att kryptera ytterligare nycklar, som ofta kallas "underordnad" eller "datakryptering."
• Att ha en strategi för katastrofhantering: Utveckla definierade åtgärder som måste vidtas såväl som ansvariga parter i händelse av en större nyckelkompromiss eller nyckelförlust.

Förtroendet för vår CA och våra varumärkesåterförsäljare är av största vikt. Genom att följa dessa omfattande bästa praxis kan vi säkerställa säkerheten och integriteten för certifikatutfärdandeprocessen, skydda användardata och upprätthålla förtroendet hos våra slutanvändare. Vi uppmuntrar alla våra återförsäljare att implementera dessa metoder noggrant och kontakta oss för ytterligare vägledning eller förtydliganden.