Genişletilmiş Doğrulama Kodu İmzalama veya Adobe Belge İmzalama g gerektirirbir anahtarın oluşturulması belirli güvenlik özellikleri ile. Oluşturulduğunda, anahtar "hassas" olarak işaretlenmelidir (anahtar düz metin olarak gösterilemez) ve daha da önemlisi, HSM'den dışa aktarılamaz (şifrelendiğinde bile ortaya çıkarılamaz). Bu prosedür için, önceden yüklenmiş sertifikalarla SSL.com'dan güvenli bir belirteç almak gibi izlenecek birkaç yol vardır. Bu makale, müşterilerin kendi fiziksel HSM veya bulut HSM hesaplarını kullanmayı tercih ettikleri ve bu sürecin uygun şekilde yürütüldüğünü doğrulamak için seçtikleri kalifiye bir profesyoneli işe aldıkları duruma odaklanmaktadır.
Onay nedir?
SSL.com imzalayıp yayınlamadan önce EV Kod İmzalama veya Adobe-Güvenilir Belge İmzalama sertifikaları için, öncelikle müşterinin özel imzalama anahtarının FIPS 140-2 Düzey 2 (veya üstü) sertifikalı bir cihaz tarafından oluşturulduğuna ve bu cihazda güvenli bir şekilde saklandığına ve bu cihazdan dışa aktarılamayacağına dair kanıt elde etmemiz gerekir. Özel bir anahtarın bu gereksinimleri karşıladığını kanıtlama eylemi olarak bilinir. tasdik. Özel anahtar onayı için kesin prosedürler, cihazlar ve bulut bilişim platformları arasında farklılık gösterir.
gibi bazı hizmetler Google Bulut HSM, kullanılan her HSM için benzersiz bir sertifika yayınlayarak uzaktan doğrulama sağlayın; bu sertifika, HSM'nin üreticisi tarafından verilen benzersiz sertifika ile birleştirildiğinde, oluşturulan anahtarın gerekli özelliklere sahip olduğundan ve PKCS #11 uyumlu olduğundan emin olmak için yeterlidir. Böyle bir onay, SSL.com'un anahtarın uygunluğunu sağlaması için yeterli kanıt olarak kabul edilir.
Ancak, uzaktan anahtar onayı sağlamayan hizmetler, özellikle de AWS vardır. Bu durumda tasdik, Anahtar Üretim Töreni (KGC) adı verilen manuel bir prosedürle yapılır. KGC, alanında son derece yetenekli bir denetçiden doğrulama gerektirir. Müşteri, SSL.com'dan bir şirket içi uzmanı kullanabilir, ancak kendi seçeceği bağımsız bir profesyonel kullanmayı da seçebilir. Bu, Kendi Denetçinizi Getirin (BYOA) olarak adlandırılır. Sürecin yeterli doğrulama sağladığından emin olmak için aşağıdaki alanların kontrol edilmesi gerekir:
- Uygun bir KGC sağlayacak seçilmiş profesyonelin (denetçi) uygunluğu
- KGC hazırlık ve yürütme süreci
- Denetçi tarafından kontrol edilmesi ve raporlanması gereken asgari şartlar
KGC süreci: Hazırlık ve yönergeler
BYOA, müşteriler için geçerli bir alternatiftir, ancak kapsamlı bir hazırlık gerektirir, aksi takdirde oluşturulan anahtar için önemli bir reddedilme riski vardır. Bu, kullanılan cihazın uygun olmaması veya denetçinin nitelikli olmaması veya denetçi raporunun sürecin gerekliliklerini kapsamaması durumunda ortaya çıkabilir. Böyle bir durumda, tören ve tanıklığın tekrarlanması gerekir, bu da müşteri için ek maliyetlere ve gecikmelere neden olur.
Bu tür senaryolardan kaçınmak için, SSL.com'un müşteri desteği ve/veya doğrulama uzmanları, rehberlik sağlamak ve aşağıdakileri sağlamak için KGC'den önce müşteriyle iletişim kurar:
- Denetçi aşağıda açıklanan kriterlere göre onaylanır
- KGC ortamının iyi hazırlanmış olması için tören hazırlık gereksinimleri ve tören senaryosu açık ve eksiksiz bir şekilde takip edilir.
- Herhangi bir kısıtlama ve/veya BYOA'ya özgü hüküm ve koşullar açıktır ve müşteri tarafından kabul edilir.
KGC denetçisinin uygunluğu
EV Kod İmzalama veya Adobe-Güvenilir Belge İmzalama sertifikaları talep eden müşteriler, Sertifika İmzalama Talebini sunabilir (CSR) ve bağımsız bir profesyonelden (BYOA) anahtar çiftinin onaylanmış bir HSM'de, onaylanmış bir işletim ortamı altında ve tüm PKCS #11 özelliklerine uygun olarak oluşturulduğuna ve saklandığına dair bir onay.
SSL.com, müşterinin seçtiği profesyonelin yetkinliğini ve etiğini sağlamak için bir dizi kriter belirlemiştir. SSL.com'un bağlı denetçilerini değerlendirmek ve onaylamak için de kullanılan bu kriterler, imzalanan ürünün (EV Kod İmzalama veya Adobe-Güvenilir Belge İmzalama sertifikası) güvenliğini ve uygunluğunu sağlamak için yürürlüktedir.
Bir denetçiden belgelendirmenin kabulü veya reddi için dikkate alınan kriterler şunlardır:
- Teknik yeterlilik: Denetçinin dijital sertifikasyon ve siber güvenlik alanında kalifiye olması gerekir.
- Denetim yetkinliği: Denetçinin, uygun bir kişisel sertifika veya mesleki kapasite (örn. Webtrust/ETSI denetçisi, Cloud Security Alliance CCAK) aracılığıyla denetim kapasitesinin yeterliliğini kanıtlaması gerekir.
- Etik: Örneğin denetçinin sertifikasyonunun bir parçası olarak, yürürlükte olan bağlayıcı bir Etik Kuralları olup olmadığının kontrolü.
- Yukarıdaki denetçi bilgilerini doğrulama yeteneği: Sertifikayı doğrulamak için bir kamu kaynağına (örn. denetçi kaydı) karşı bir kontrol.
Bu kriterler kabul edilmeden önce SSL.com doğrulama uzmanları tarafından kontrol edilir. SSL.com, müşterilerin rahatlığı için bağlı denetçilerin bir listesiyle birlikte yukarıdaki kriterler için BYOA onaylı sertifikaların bir listesini tutar.
Bu bilgiler müşteriye hazırlık aşamasında açıklanır. Daha fazla bilgi için lütfen iletişime geçin support@ssl.com.
KGC tasdik gereksinimleri
Hazırlık aşaması, törende ek maliyetlere ve gecikmelere yol açabilecek aksiliklerden kaçınmak için çok önemlidir. SSL.com'daki müşteri hizmetleri, bir tören senaryosu seçilmeden önce tüm denetim gereksinimlerinin hem müşteriye hem de yetkili denetçiye iletilmesini sağlar. Daha fazla yardımcı olmak için SSL.com, AWS Cloud HSM'yi desteklemek için Tören hazırlık gereksinimleri ve bir Tören Komut Dosyası gibi, aşağıdaki kişilerle iletişime geçerek ulaşabileceğiniz materyaller hazırlamıştır: support@ssl.com hazırlık aşamasında.
Müşteri, Nitelikli Denetçi (QA) aracılığıyla kendi senaryosunu oluşturmayı seçebilir, ancak bu durumda, Tören Senaryosunun kullanımdan önce kendi mühendislerimiz tarafından gözden geçirilmesini ve onaylanmasını önemle tavsiye ederiz.
Her durumda, Kalifiye Denetçi, Özel Anahtar Oluşturma Töreni ile ilgili olarak aşağıdakileri şahsen doğrulamalı ve tasdik etmelidir:
- Özel Anahtar Malzemesi, en az FIPS 140-2 Düzey 2 ile uyumlu bir HSM'de oluşturulmuştur ve en az FIPS 140-2 Düzey 2 modunda çalışır.
- Törende kullanılan HSM ve bellenim orijinaldi ve bellenim sürümü bilinen herhangi bir güvenlik açığıyla ilişkili değil
- Tören için kullanılan yazılım, üretici tarafından sağlanan resmi HSM yazılımıydı ve bütünlüğü QA tarafından doğrulandı.
- Anahtar oluşturma işlemi sırasında HSM ile olan tüm iletişimler şifrelendi ve kriptografik yollarla karşılıklı olarak doğrulandı.
- Özel Anahtar Malzemesi HSM içinde oluşturuldu ve içe aktarılmadı
- Özel Anahtar Malzemesi çıkarılabilir olarak işaretlenmedi (PKCS #11 özelliği “CKA_EXTRACTABLE/CKA_EXPORTABLE”) ve hiçbir zaman da olmadı.
- Özel Anahtar Malzemesi hassas olarak işaretlenmiştir (PKCS #11 "CKA_SENSITIVE" özelliği) ve her zaman öyleydi.
- Oluşturulan anahtar malzemeye erişim, kullanıcı kimlik doğrulaması gerektirir
- QA oradaydı, tüm tören süreçlerini takip etti ve herhangi bir suç şüphesi veya kanıtı yoktu.
Yukarıdaki gereksinimlere ek olarak, KG, Abonenin işletim ortamının en azından FIPS 140-2 Düzey 2'ye eşdeğer bir güvenlik düzeyine ulaştığını onaylar.
Sonuç
BYOA, Genişletilmiş Doğrulama Kod İmzalama ve Adobe Onaylı Güven Listesi sertifikaları için uzaktan onayın kullanılamadığı durumlar için geçerli ve kullanışlı bir alternatiftir. SSL.com, müşterilerin prosedür için eksiksiz bir şekilde hazırlanmasını ve bu seçeneği kullanmaları durumunda üst düzey destek sağlanmasını sağlar.
