Hướng dẫn thực hành tốt nhất về bảo mật của tổ chức phát hành chứng chỉ dành cho người bán lại có thương hiệu: Các biện pháp bảo mật toàn diện

Xem tất cả hướng dẫn

Giới thiệu

Với tư cách là Cơ quan cấp chứng chỉ (CA) hàng đầu và là công ty dịch vụ ủy thác, chúng tôi ưu tiên tính bảo mật và độ tin cậy của chứng chỉ kỹ thuật số cũng như quy trình xác thực danh tính của chúng tôi. Hướng dẫn này tập trung vào các đối tác đại lý có thương hiệu của chúng tôi, những người nắm giữ các cơ quan cấp chứng chỉ cấp dưới được liên kết với nguồn gốc đáng tin cậy của SSL.com (được gọi là “subCA”) và chịu trách nhiệm thu thập bằng chứng xác thực, gửi nó đến cổng thông tin cơ quan đăng ký của chúng tôi và tạo điều kiện cho việc phát hành chứng chỉ từ các CA phụ mang thương hiệu đối tác do SSL.com quản lý. Mục đích của hướng dẫn này là để đảm bảo tính toàn vẹn và bảo mật của quy trình gửi bằng chứng xác thực và vòng đời chứng chỉ, vì người bán lại không có quyền truy cập trực tiếp vào tài liệu gốc và chỉ có thể tương tác với các hoạt động trong vòng đời chứng chỉ thông qua API được chỉ định hoặc thông qua tài khoản trong cổng thông tin cơ quan đăng ký (RA) do SSL.com quản lý.

Thu thập an toàn bằng chứng xác thực cho các loại xác thực mở rộng, tổ chức và cá nhân

  • Giảm thiểu dữ liệu: Chỉ thu thập bằng chứng xác nhận cần thiết cho quá trình cấp chứng chỉ. Tránh thu thập thông tin không liên quan hoặc nhạy cảm.
  • Phương pháp thu thập an toàn: Sử dụng các kênh bảo mật, chẳng hạn như biểu mẫu hoặc cổng được mã hóa, khi thu thập bằng chứng xác thực từ người dùng cuối.
  • Kiểm soát truy cập: Thực hiện kiểm soát truy cập nghiêm ngặt để thu thập bằng chứng xác nhận. Chỉ những nhân viên được ủy quyền mới có quyền truy cập và bắt buộc phải có xác thực đa yếu tố.
  • Toàn vẹn dữ liệu: Đảm bảo rằng bằng chứng xác nhận không bị thay đổi trong quá trình thu thập.
  • Xác thực kiểm soát tên miền: Sử dụng các dịch vụ và phương pháp xác thực kiểm soát tên miền do SSL.com cung cấp nghiêm ngặt.

Gửi bằng chứng xác thực an toàn tới CA gốc

  • Bảo mật API: Luôn sử dụng API được chỉ định để gửi bằng chứng xác thực. Đảm bảo rằng lệnh gọi API được thực hiện qua các kênh an toàn, chẳng hạn như HTTPS.
  • Tải lên cổng thông tin: Một phương pháp gửi bằng chứng an toàn khác là tải bằng chứng trực tiếp lên thứ tự liên quan mà bạn sẽ thấy trong tài khoản SSL.com của mình; hãy chắc chắn rằng bạn chỉ tải lên bằng chứng liên quan đến lệnh cụ thể.
  • Kiểm toán thường xuyên: Tiến hành kiểm tra thường xuyên nhật ký gửi để đảm bảo rằng không có nội dung gửi trái phép nào được thực hiện.
  • Ứng phó sự cố: Có kế hoạch ứng phó sự cố rõ ràng đối với bất kỳ sai lệch hoặc vi phạm nào trong quá trình gửi. Thông báo CA gốc us ngay nếu phát hiện bất thường.

Các phương pháp hay nhất để sử dụng API hoạt động vòng đời chứng chỉ

  • Quản lý khóa API: Bảo vệ khóa API của bạn. Lưu trữ chúng một cách an toàn, luân chuyển chúng định kỳ và không bao giờ hiển thị chúng trong mã phía máy khách hoặc kho lưu trữ công khai.
  • Giới hạn tỷ lệ: Hãy lưu ý đến mọi giới hạn tốc độ áp dụng cho API để tránh sự gián đoạn dịch vụ ngoài ý muốn.
  • Giám sát và ghi nhật ký: Giám sát tất cả các hoạt động API. Duy trì nhật ký chi tiết và thường xuyên xem xét chúng để phát hiện bất kỳ hoạt động đáng ngờ hoặc trái phép nào.
  • Xử lý lỗi: Thực hiện các cơ chế xử lý lỗi mạnh mẽ. Trong trường hợp có bất kỳ lỗi hoặc sai lệch nào trong phản hồi API, hãy có quy trình rõ ràng để giải quyết chúng.

Duy trì một trang web an toàn

  • đúng TLS Cấu hình máy chủ: Đảm bảo rằng máy chủ chỉ hỗ trợ các giao thức và mật mã mã hóa mạnh. Thường xuyên cập nhật và vá lỗi máy chủ để ngăn chặn các lỗ hổng đã biết.
  • Tăng cường hệ điều hành: Giảm thiểu số lượng dịch vụ chạy trên máy chủ, áp dụng các bản vá bảo mật kịp thời và sử dụng các cấu hình bảo mật để giảm bề mặt tấn công.
  • Các lỗ hổng trang web phổ biến: Thường xuyên quét và giải quyết các lỗ hổng bảo mật như SQL SQL, Cross-Site Scripting (XSS) và Giả mạo yêu cầu chéo trang (CSRF).
  • Duy trì tình trạng mật khẩu phù hợp: Đảm bảo mật khẩu phức tạp, kết hợp chữ hoa và chữ thường, số và ký tự đặc biệt. Khuyến khích những người có quyền truy cập vào máy chủ hoặc CRM của bạn cập nhật mật khẩu thường xuyên và tránh sử dụng lại mật khẩu từ các trang web khác. Triển khai xác thực đa yếu tố (MFA) hoặc sử dụng chứng chỉ clientAuth.

Yêu cầu bảo mật của hệ thống chứng chỉ và mạng diễn đàn CA/B

  • Quét lỗ hổng hàng quý: Tiến hành quét lỗ hổng thường xuyên mỗi quý để xác định và khắc phục các vấn đề bảo mật tiềm ẩn.
  • Kiểm tra thâm nhập hàng năm: Tham gia thử nghiệm thâm nhập hàng năm để mô phỏng các cuộc tấn công tiềm ẩn và xác định các điểm yếu trong hệ thống.
  • Thúc đẩy các yêu cầu bảo mật: Nhấn mạnh tầm quan trọng của việc tuân thủ các Yêu cầu bảo mật của Hệ thống chứng chỉ và Mạng diễn đàn CA/B để duy trì sự tin cậy và bảo mật.

Thúc đẩy các phương pháp hay nhất của người dùng cuối với việc tạo, lưu trữ và khóa riêng CSRs

  • Giáo dục về tạo khóa: Hướng dẫn người dùng cuối sử dụng các công cụ đã được CA kiểm duyệt để tạo khóa và CSRS. Điều này đảm bảo tính tương thích và bảo mật.
  • Độ dài khóa và thuật toán: Khuyên người dùng cuối sử dụng thuật toán mã hóa mạnh và độ dài khóa thích hợp (ví dụ: RSA 2048-bit trở lên).
  • Kiểm soát truy cập và xác thực đa yếu tố: Triển khai các biện pháp kiểm soát quyền truy cập nghiêm ngặt và thúc đẩy việc sử dụng xác thực đa yếu tố, đặc biệt đối với các hành động kích hoạt tương tác API CA như cấp lại khóa, gia hạn và thu hồi chứng chỉ.

Lưu trữ an toàn các khóa riêng

  • Xoay phím liên tục: Việc luân chuyển khóa thường xuyên sẽ giảm thiểu lượng dữ liệu bị lộ nếu khóa bị xâm phạm và rút ngắn thời gian kẻ tấn công có thể bẻ khóa.
  • Lưu trữ và sao lưu được mã hóa: Khuyến khích sao lưu mã hóa các khóa riêng tư, được lưu trữ an toàn và riêng biệt.
  • Thu hồi và hủy khóa: Khuyến khích các chính sách dành cho người dùng cuối của bạn cho phép thu hồi nhanh chóng và hiệu quả nếu khóa bị xâm phạm hoặc không còn cần thiết. Khóa không được sử dụng cho bất kỳ hoạt động mã hóa nào sau khi bị thu hồi và phải bị hủy.
  • Thiết lập một hệ thống phân cấp chính: Cấu trúc này tạo ra các lớp khóa mật mã, mỗi lớp có mức độ truy cập và kiểm soát khác nhau. Khóa chính, nằm ở trung tâm của hệ thống phân cấp này và cực kỳ an toàn, được sử dụng để mã hóa các khóa bổ sung, thường được gọi là “mã hóa cấp dưới” hoặc “mã hóa dữ liệu”.
  • Có chiến lược ứng phó thảm họa: Phát triển các hành động xác định cần được thực hiện cũng như các bên chịu trách nhiệm trong trường hợp có sự xâm phạm hoặc mất chìa khóa lớn.
Sự tin tưởng vào CA và các đại lý có thương hiệu của chúng tôi là điều tối quan trọng. Bằng cách tuân thủ các phương pháp thực hành tốt nhất toàn diện này, chúng tôi có thể đảm bảo tính bảo mật và tính toàn vẹn của quy trình cấp chứng chỉ, bảo vệ dữ liệu người dùng và duy trì sự tin cậy của người dùng cuối. Chúng tôi khuyến khích tất cả các đại lý của mình thực hiện các biện pháp này một cách siêng năng và liên hệ với chúng tôi để được hướng dẫn hoặc làm rõ thêm.
Twitter
Facebook
LinkedIn
Reddit
E-mail

Nhóm hỗ trợ SSL

Tất cả bài viết »

Luôn cập nhật thông tin và bảo mật

SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

Chúng tôi rất mong nhận được phản hồi của bạn

Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.

Tham gia khảo sát