Markalı Bayiler için Sertifika Yetkilisi Güvenliği En İyi Uygulamalar Kılavuzu: Kapsamlı Güvenlik Önlemleri

Giriş

Lider bir Sertifika Yetkilisi (CA) ve güven hizmetleri şirketi olarak, dijital sertifikalarımızın ve kimlik doğrulama prosedürlerimizin güvenliğine ve güvenilirliğine öncelik veriyoruz. Bu kılavuz, SSL.com'un güvenilir köküne ("alt CA'lar" olarak anılır) zincirlenmiş alt sertifika yetkililerine sahip olan ve doğrulama kanıtlarının toplanmasından, kayıt yetkilisi portalımıza gönderilmesinden ve sertifikaların verilmesini kolaylaştırmaktan sorumlu olan markalı satıcı ortaklarımıza odaklanmıştır. SSL.com tarafından yönetilen iş ortağı markalı alt CA'lardan alınan sertifikalar. Bu kılavuzun amacı, bayilerin kök materyale doğrudan erişimi olmadığından ve sertifika yaşam döngüsü işlemleriyle yalnızca belirlenmiş bir API veya SSL.com tarafından yönetilen kayıt yetkilisi (RA) portalı.

---

Genişletilmiş, Organizasyonel ve Bireysel Doğrulama Türleri için Doğrulama Kanıtlarının Güvenli Bir Şekilde Toplanması

• Veri Minimizasyonu: Yalnızca sertifika verme süreci için gereken doğrulama kanıtlarını toplayın. Konu dışı veya hassas bilgi toplamaktan kaçının.
• Güvenli Toplama Yöntemleri: Son kullanıcılardan doğrulama kanıtları toplarken şifrelenmiş formlar veya portallar gibi güvenli kanalları kullanın.
• Giriş kontrolu: Doğrulama kanıtlarını toplamak için sıkı erişim kontrolleri uygulayın. Yalnızca yetkili personelin erişimi olmalı ve çok faktörlü kimlik doğrulama zorunlu olmalıdır.
• Veri bütünlüğü: Toplama işlemi sırasında doğrulama kanıtlarının değişmeden kaldığından emin olun.
• Etki Alanı Denetimi Doğrulaması: Kesinlikle SSL.com tarafından sağlanan alan adı kontrolü doğrulama hizmetlerinden ve yöntemlerinden yararlanın.

---

Doğrulama Kanıtlarının Kök CA'ya Güvenli Gönderimi

• API Güvenliği: Doğrulama kanıtlarını göndermek için her zaman belirlenen API'yi kullanın. API çağrılarının HTTPS gibi güvenli kanallar üzerinden yapıldığından emin olun.
• Portal Yüklemeleri: Kanıt göndermenin bir başka güvenli yöntemi de kanıtları doğrudan SSL.com hesabınızda göreceğiniz ilgili sıraya yüklemektir; Yalnızca belirli siparişle ilgili kanıtları yüklediğinizden emin olun.
• Düzenli Denetimler: Yetkisiz gönderim yapılmadığından emin olmak için gönderim günlüklerini düzenli olarak denetleyin.
• Olay Yanıtı: Gönderim sürecindeki herhangi bir tutarsızlık veya ihlal için net bir olay müdahale planına sahip olun. Bildir kök CA us hemen herhangi bir usulsüzlük tespit edilirse.

---

Sertifika Yaşam Döngüsü İşlemleri API'sini Kullanmaya İlişkin En İyi Uygulamalar

• API Anahtar Yönetimi: API anahtarlarınızı koruyun. Bunları güvenli bir şekilde saklayın, periyodik olarak değiştirin ve hiçbir zaman istemci tarafı kodunda veya genel depolarda açığa çıkarmayın.
• Hız Sınırlandırma: İstenmeyen hizmet kesintilerini önlemek için API'ye uygulanan hız sınırlarına dikkat edin.
• İzleme ve Günlüğe Kaydetme: Tüm API etkinliklerini izleyin. Ayrıntılı günlükler tutun ve şüpheli veya yetkisiz faaliyetlere karşı bunları düzenli olarak inceleyin.
• Hata yönetimi: Güçlü hata işleme mekanizmalarını uygulayın. API yanıtlarında herhangi bir başarısızlık veya tutarsızlık olması durumunda bunları ele alacak açık bir prosedüre sahip olun.

Güvenli Bir Web Sitesini Korumak

• uygun TLS Sunucu Yapılandırması: Sunucunun yalnızca güçlü şifreleme şifrelerini ve protokollerini desteklediğinden emin olun. Bilinen güvenlik açıklarını önlemek için sunucuyu düzenli olarak güncelleyin ve yama yapın.
• İşletim Sistemi Sertleştirme: Sunucuda çalışan hizmetlerin sayısını en aza indirin, güvenlik yamalarını derhal uygulayın ve saldırı yüzeyini azaltmak için güvenlik yapılandırmalarını kullanın.
• Yaygın Web Sitesi Güvenlik Açıkları: SQL enjeksiyonu, Siteler Arası Komut Dosyası Çalıştırma (XSS) ve Siteler Arası İstek Sahteciliği gibi güvenlik açıklarını düzenli olarak tarayın ve giderin (CSRF).
• Uygun Şifre Sağlığını Koruyun: Şifrelerin karmaşık olduğundan, büyük ve küçük harflerden, rakamlardan ve özel karakterlerden oluştuğundan emin olun. Sunucularınıza veya CRM'nize erişimi olan kişileri, şifrelerini düzenli olarak güncellemeye teşvik edin ve diğer sitelerdeki şifreleri tekrar kullanmaktan kaçının. Çok faktörlü kimlik doğrulamayı (MFA) uygulayın veya clientAuth sertifikalarını kullanın.

---

CA/B Forum Ağı ve Sertifika Sistemleri Güvenlik Gereksinimleri

• Üç Aylık Güvenlik Açığı Taramaları: Potansiyel güvenlik sorunlarını belirlemek ve düzeltmek için her üç ayda bir düzenli güvenlik açığı taramaları gerçekleştirin.
• Yıllık Sızma Testi: Potansiyel saldırıları simüle etmek ve sistemdeki zayıf noktaları belirlemek için yıllık sızma testlerine katılın.
• Güvenlik Gereksinimlerini Destekleyin: Güveni ve güvenliği sürdürmek için CA/B Forum Ağı ve Sertifika Sistemleri Güvenlik Gereksinimlerine uymanın önemini vurgulayın.

Özel Anahtar Üretimi, Depolama ve CSRs

• Anahtar Üretimi konusunda eğitim verin: Son kullanıcıları, anahtarlar oluşturmak için CA onaylı araçları kullanmaya yönlendirin ve CSRS. Bu uyumluluk ve güvenliği sağlar.
• Anahtar Uzunluğu ve Algoritma: Son kullanıcılara güçlü şifreleme algoritmaları ve uygun anahtar uzunlukları (örn. RSA 2048 bit veya üzeri) kullanmalarını önerin.
• Erişim Kontrolü ve Çok Faktörlü Kimlik Doğrulama: Özellikle sertifika yeniden anahtarı, yenileme ve iptal gibi CA API etkileşimlerini tetikleyen eylemler için sıkı erişim kontrolleri uygulayın ve çok faktörlü kimlik doğrulamanın kullanımını teşvik edin.

---

Özel Anahtarların Güvenli Saklanması

• Sürekli Anahtar Döndürme: Düzenli olarak anahtar rotasyonu, bir anahtarın ele geçirilmesi durumunda açığa çıkan veri miktarını en aza indirir ve bir saldırganın bir anahtarı kırması için gereken süreyi kısaltır.
• Şifreli Depolama ve Yedekleme: Güvenli ve ayrı olarak saklanan özel anahtarların şifrelenmiş yedeklerini teşvik edin.
• İptal ve Anahtar İmhası: Son kullanıcılarınızda, bir anahtarın tehlikeye atılması veya artık ihtiyaç duyulmaması durumunda hızlı ve etkili bir şekilde iptal edilmesini sağlayan politikaları teşvik edin. Anahtar iptal edildikten sonra herhangi bir kriptografik işlem için kullanılmamalı ve imha edilmelidir.
• Bir Anahtar Hiyerarşiyi uygulamaya koymak: Bu yapı, her biri farklı erişim ve kontrol düzeylerine sahip kriptografik anahtar katmanları oluşturur. Bu hiyerarşinin merkezinde yer alan ve son derece güvenli olan ana anahtar, sıklıkla "alt düzey" veya "veri şifreleme" olarak adlandırılan ek anahtarları şifrelemek için kullanılır.
• Afet müdahale stratejisine sahip olmak: Önemli bir anahtar ihlali veya anahtar kaybı durumunda alınması gereken tanımlanmış eylemleri ve sorumlu tarafları geliştirin.

CA'mıza ve markalı bayilerimize duyulan güven çok önemlidir. Bu kapsamlı en iyi uygulamalara bağlı kalarak, sertifika verme sürecinin güvenliğini ve bütünlüğünü sağlayabilir, kullanıcı verilerini koruyabilir ve son kullanıcılarımızın güvenini koruyabiliriz. Tüm bayilerimizi bu uygulamaları özenle uygulamaya ve daha fazla rehberlik veya açıklama için bizimle iletişime geçmeye teşvik ediyoruz.