公众信任的证书颁发机构所有者 (PT-CA) 是互联网安全运行的基础。他们受一般、全球公众和主要浏览器供应商的委托,提供必要的公钥基础设施(PKI)需要建立信任、安全通信并促进安全的在线交易。为了保持其可信度,公众信任的 CA 必须在其运营安全和遵守最新标准方面投入大量资源,并且接受严格的独立审计和监督。
PT-CA 作为企业,拥有创建值得信赖的经销商网络来分销其产品并扩大其市场份额的合法权益。由于他们充当“信任锚”,因此他们经常收到来自相关方的请求,这些方希望在其产品中(有时以自己的名义)提供公众信任的证书;这些被称为“白标”或“品牌”subCA。
PT-CA、经销商和订户社区中的许多成员发现品牌 subCA 很有价值,可以帮助建立声誉,而无需投资完全专用的 CA 基础设施,并且大多数经销商客户负责任地处理在 SubCA 中拥有自己品牌的特权。不幸的是,在某些情况下,可能会出现有意或无意的不良安全实践或滥用行为。
本白皮书分析了与品牌 subCA 经销商相关的安全风险,并根据我们的调查收集的经验和分析行业最新案例的经验教训提出了良好实践建议。我们的研究结果应该对政策制定者(CA/B 论坛、根商店所有者)、最终对其服务的可信度负责的 PT-CA 以及任何其他利益相关方有用。
调查
SSL.com 于 2023 年下半年进行了一项调查,旨在从社区收集对本报告有用的见解。我们的调查包括以下几个方面的问题:
- 品牌 subCA 模型的受欢迎程度
- 品牌重塑的程度:品牌 CRL/OCSP 响应程序、用户门户、自定义产品名称
- 品牌 subCA 客户的选择/审查流程
- 使用自己的用户门户
- 对这些门户网站的审计和检查
- 根据品牌 subCA 客户的经验吸取的经验教训
- 生成、控制或撤销品牌 subCA 的技术挑战
该调查针对 9 家 PT-CA,根据 CCADB 数据分析,这些 PT-CA 似乎对品牌 subCA 模型最有经验。
调查结果
我们收到了 5 家 PT-CA 中 9 家的回复,并进行了后续澄清。对答复进行了分析,以确定 CA 行业应用的品牌 subCA 模型和相关实践的共性和差异。
调查结果要点:
-
业界为此或类似的 subCA 模型使用了几个同义术语: 品牌, 白标, 专用, 虚荣.
-
4 个参与 CA 中有 5 个确认品牌 subCA 是其产品的一部分。该产品针对特定客户,例如托管提供商和大型经销商。也适用于大账户需要证书自用的情况;例如,一位 CA 报告将该模型应用于学术和研究机构。
-
品牌化通常包括颁发 subCA 证书,该证书的 subjectDN 字段中包含客户/经销商的名称。扩展品牌还可能包括品牌 CRL/OCSP 响应者 URL 以及针对没有自己的 RA 门户的小型客户/经销商的品牌微门户。
-
SubCA 选择过程主要基于业务/商业标准,例如活动类型、预测的证书数量和预期用途。一些 PT-CA 报告称,他们可能会建议或决定自行创建专用的子 CA(无论是否有品牌),以便在为大客户或项目提供服务时与通用发行 CA 区分开来,作为隔离影响/风险的一种手段。需要撤销的事件(例如妥协、合规失败或其他类型)。
-
审查通常涉及以下验证活动:
A。验证组织的名称、地址和存在(类似于 OV 或 EV 流程);和
b.验证请求的授权。
-
一位参与的 PT-CA 报告称,在签署合同之前,会与合规团队进行内部咨询,以检查品牌 SubCA 申请人的声誉。这包括搜索公共资源以查找参与数据伪造或洗钱活动的报告。当申请人本身已经是 PT-CA 时,CCADB 和 Bugzilla 是额外的信息来源。
-
没有人报告因商业/财务以外的原因拒绝品牌 subCA 客户。
-
几乎所有 PT-CA 都报告说,大多数品牌 subCA 都带有自己的用户门户;一家 PT-CA 将其量化为其品牌 subCA 合作伙伴总数的 80%。作为例外,一家 PT-CA 并不知道其任何品牌 subCA 客户正在使用自己的用户门户。
-
没有 PT-CA 报告对其品牌 subCA 的第三方用户门户进行审核或以其他方式检查(除非品牌 subCA 也是 PT-CA,这意味着其用户门户无论如何都要接受审核)。
-
一位 PT-CA 报告了以下经验教训:
A。颁发的证书数量应足够大,以证明维护品牌 subCA 的合理性。
b.在签订合同之前,值得检查他们在行业中的经验。
C。还值得注意合同的适当长度。
-
一些 PT-CA 报告称,他们在生成、控制或撤销品牌 subCA 方面没有发现任何特定的技术挑战。
增值经销商
根据调查结果和我们自己调查收集的信息,几乎所有 PT-CA 都提供经销商计划;从享受批发折扣并以利润转售 CA 产品的公司或个人(普通经销商)到将 CA 产品纳入自己的产品或提供增值服务以造福客户的实体。前者(“普通经销商”)除了销售本身外不参与服务的任何部分,因此他们被认为超出了本文的范围。
另一方面,增值经销商 (VAR) 可能会少量或大量参与促进密钥/证书生命周期过程。由于这具有安全性和合规性影响,因此本文重点关注 VAR 并考虑固有风险(和收益)。
我们的研究表明,行业中的 VAR 有不同的类型/做法,具体取决于他们对密钥/证书生命周期流程的参与、PT-CA 门户或他们自己的门户/系统的使用、使用由 PT-CA 颁发的 subCA PT-CA/根 CA 或品牌子 CA 的名称。
我们发现的最常见的情况如下:
- 利用 PT-CA/根 CA 系统的 VAR:他们通常通过使用 CA 的注册机构门户来协助拥有/控制域名的实体;他们的协助通常集中在代表这些域名所有者注册和管理证书。
- 拥有独立注册机构门户的 VAR: 他们通常拥有自己的门户来独立于 CA 注册用户,并在后端使用 CA 的 API 来执行证书生命周期活动。
-
-
域验证活动通常由 CA 执行。例如,如果要向申请人发送一封带有随机值的电子邮件以证明对域名的控制权,则该电子邮件将直接从 PT-CA 的系统发送,而不是从经销商的系统发送。
-
根据 BR 第 6.1.1.3 节,不允许 PT-CA 代表订户生成密钥对。一些订阅者可以使用 VAR 来生成并可能存储这些密钥。
-
- 品牌 subCA 经销商: 在大多数情况下,这些 VAR 与 PT-CA 达成协议,获得包含 VAR“品牌”的定制发行 CA。
-
-
这通常是一个 内部运营的子CA,因此父(通常是根)CA 操作员通常管理该子 CA 的密钥和生命周期事件。
-
外部操作的 subCA 还可能包含运营 subCA 的实体的品牌,但由于该实体控制与颁发 CA 证书相关的私钥,因此必须根据第 8.1 节对其进行适当审核 TLS 基线要求,或者必须在技术上根据第 7.1.2.3、7.1.2.4、7.1.2.5 节进行限制,并根据第 8.7 节进行内部审核 TLS 基线要求。它被认为超出了本白皮书的范围。
-
除了品牌 subCA 经销商之外,大型订户还可以请求品牌 subCA 以其组织名称颁发证书(即供自己使用)。这里不检查该模型,因为从为自己的组织订购和管理大量证书的意义上来说,它具有与简单订阅者相同的风险。
同样,不参与密钥/证书生命周期管理任何部分的经销商(例如,参与佣金销售推荐计划的经销商)也不属于本白皮书的范围。
品牌 SubCA
外部操作的 subCA 是过去流行的一种模型(基于 CCADB 数据的分析),在过去几年中已显着减少(在 CCADB 中,有 93 个“审核与父级不同”的 serverAuth subCA 仍然处于活动状态,并且链接到受信任的根),并在某些情况下继续使用。使用时,子CA 证书将合作伙伴的名称包含在subjectDN 的organizationName 中,并且需要单独的外部审核。
业界对内部运营的品牌 subCA 组织采用两种做法:
- 某些 CA 在品牌中间 CA 证书的 subjectDN 的organizationName 中包含颁发 CA(根运营商)名称
- 某些 CA 将品牌子 CA 的名称包含在品牌中间 CA 证书的 subjectDN 的组织名称中。
根据目前的要求,依赖方很难轻易识别发证CA是否是 操作 由根 CA 或其他实体。
VAR模型的风险
在分析了调查反馈以及该行业的各种 VAR 实践后,我们发现了一些主要适用于代表订阅者行事的 VAR 的风险:
-
密钥生成 和 存储 私钥的功能:这是一项关键功能,当前标准并未对 VAR 强制执行任何要求或审核。缺乏对其安全状况的可见性会增加订阅者私钥被泄露的风险。
-
个人身份信息的存储,以及可能的其他敏感信息(例如信用卡),存在隐私数据泄露的风险。这种风险与上面提到的风险类似;此外,还存在不当使用 PII 的风险,即将 PII 用于订阅者批准之外的目的。
-
证书吊销,订阅者面临拒绝服务风险。如果 VAR 拥有对其客户帐户的特权访问权限,则 VAR 系统发生的事件甚至 VAR 的意外操作都可能导致批量撤销,从而影响多个网站的可用性。
-
证书密钥更新,在某些情况下允许在不重新执行域验证的情况下替换证书中的公钥,但存在拦截进出订户网站的加密流量的风险。
-
重复使用用于域验证的证据: 首次发行后,PT-CA 会与域名所有者进行直接交互,从而能够完全控制 DCV 流程。在 DCV 证据重复使用的情况下,此步骤不适用,这意味着 VAR 可能会在未经订阅者许可的情况下成功请求向相关域颁发新证书的风险。
-
VAR 的影响力增强,从而成为“蜜罐” 如果出现妥协。 VAR 将被视为更具吸引力的目标,并且如果攻击者成功渗透/破坏 VAR 的系统(例如其门户),这可能会影响更多独立的订阅者,从而与针对单个订阅者的攻击相比产生更大的影响。
-
使用自定义 经销商门户 在安全链中又增加了一个元素,扩大了攻击面。经销商门户的具体风险包括:
-
网络安全威胁
-
信息安全卫生状况不佳
-
认证/授权/计费机制薄弱
-
-
从经销商业务中添加更多人员 特权地位 证书生命周期管理流程的不完善会导致攻击面增加。
-
恶意行为 由VAR;这是任何委托活动所固有的,其中代表服务的真正受益人(在我们的例子中为证书订户)行事的实体可能会采取恶意行为。一个简单的例子是恶意 VAR“协助”申请人生成密钥对,然后将私钥出售给攻击者。
在我们的分析过程中,我们发现,如果 VAR 被授予内部运营的品牌 subCA,则风险是相同的,尽管从概念上讲,品牌 subCA 现在被认为是“值得信赖的”,因为根 CA 本质上是 subCA 的“担保”。请注意,CRL、OCSP、CAIssuer URL 也需要由根 CA 内部操作。
良好实践
考虑到上述风险后,我们想建议一些良好实践,以最大限度地减少 subCA 客户出现任何缺陷或不当行为的可能性。
对于品牌 subCA:
- 了解您的潜在合作伙伴:从概念上讲,颁发品牌 subCA 证书可授予经销商 PT-CA 的声誉和可信度。因此,根 CA 运营商必须审查其潜在经销商,从身份验证(遵循 OV/EV 准则)到法律文件,再到研究公司声誉以及所有者和管理团队的声誉。
- 重新验证和重新评估: 应定期重新验证所有品牌 subCA 经销商的商业登记,以确保合法性和良好信誉。除了使用公共资源之外,对经销商的重新评估还可以考虑他们在持续合作期间的表现。
- 合同条款和政策:PT-CA 应确保他们保持对合同的控制,以便由他们自行决定因合同违反而导致的任何合同终止和 subCA 撤销。品牌 subCA 协议可以包括使 PT-CA 更加了解经销商实践的条款,并设定有关内部安全、客户服务和遵守 BR 的最低要求(如果他们作为授权第三方行事)。
- 法律环境:在向外国实体授予品牌 subCA 之前,有必要考虑经销商经营所在司法管辖区的法律和习俗。这可能包括隐私法和许可要求的兼容性。
- 保持对资源的控制: 某些司法管辖区可能要求仅本地化企业在其区域内运营;这可能包括域名或关键基础设施的所有权。一些客户请求“扩展”品牌,例如品牌 OCSP 响应者 URL 和属于 PT-CA 义务一部分的其他资源。 PT-CA 必须确保其对这些资源的控制在此类协议可能终止后仍然有效,否则可能会违反 CA/浏览器论坛的要求。
- 成本效益分析和风险处理:品牌 subCA 模式可能利润丰厚,但也伴随着合规和声誉风险。谨慎的 PT-CA 在向潜在合作伙伴授予声誉和可信度之前会分析这些内容。除了批准或拒绝之外,决策还可能包括纠正已识别风险的控制措施。
- 用户评论透明:通过品牌推广,经销商(可能希望)将自己宣传为“公众信任的 CA”。透明度要求消费者和信赖方至少知道他们信任的实际实体。一种建议的方法是将第三方的名称保留在 通用名称 的 主题DN 品牌 subCA 证书的名称,并在证书中使用实际 CA 运营商(例如 PT-CA)的组织名称 机构名称.
对于所有 VAR:
- 保安措施:对于 VAR,SSL.com 已发布“品牌经销商的证书颁发机构安全最佳实践指南:综合安全措施”。它包括一系列全面的可能的安全措施和对 NetSec 要求的参考。在最简单的情况下,VAR 在证书生命周期中不使用自己的系统(例如用户门户),某些要求可能不适用。
- 保护订户:PT-CA 应识别并解决与 VAR 可用的系统访问相关的风险。 PT-CA 应对经销商和非经销商帐户设置不同的访问级别,从而对经销商访问级别进行更多限制,以保护订阅者帐户免遭滥用。例如,这可能包括防止 VAR 重复使用以前的域验证证据的控制措施。为此,基准要求还可能要求不是“企业 RA”的任何人(即仅针对自己拥有的组织和域请求)必须完成每次发布(发布、重新发布、重新生成密钥、复制和域验证)的域验证。续订)。
- 订户和经销商协议:PT-CA 可以提供两种类型的订户协议:不允许转售的订户协议和包含额外条款和期望的专用经销商协议。例如,经销商协议可以包括与订户帐户管理和促进信息安全相关的条款按照中所述进行消毒 品牌经销商的证书颁发机构安全最佳实践指南:综合安全措施.
注意:我们不考虑托管提供商参与证书生命周期的情况,通常通过通用 Web 托管控制面板(Plesk、VirtualMin、CPanel)以自动方式参与。
- 合同条款和政策:在经销商协议中包含其他条款,例如审计权、建议/要求年度渗透测试、系统配置审查、实施 MFA 或至少与 PT-CA 相同级别的身份验证控制、监控和事件披露。
- 安全集成:强制使用安全 API,例如通过加密通道应用安全身份验证、限制会话持续时间、仅影响 VAR 及其客户/订阅者的账户/记录的适当范围等。
- 漏洞管理:确保定期对经销商门户进行漏洞扫描。这可能是经销商协议所要求的,也可能是 PT-CA 提供的服务的一部分,以帮助经销商门户保持良好的安全卫生。
- 对其安全态势的评估: 作为经销商入职流程的一部分,收集安全相关信息和风险评估。这可以使用结构化调查问卷或专用软件来应用。
- 年度评估: PT-CA 不应仅仅建立不受监控的 VAR 关系。实施至少每年一次的评估流程非常重要。
- 意识通讯:定期发送安全意识简讯可帮助经销商提高对网络安全威胁的了解,并更好地应对攻击。这些新闻通讯可能包含与以下内容相关的任何新安全警告的信息: PKI 系统、尝试(或成功)攻击的记录,或有关如何使用改善安全卫生所需的工具和技术的说明。
结论
就像任何机会一样,品牌 subCA 的销售既有积极的一面,也有消极的一面。与最终实体证书的销售相比,品牌子 CA 使受信任的 CA 面临基于经销商客户活动的潜在损害,同时仍然提供潜在的巨大利益。不过,VAR 也不应被忽视;他们的业务和安全实践可能会给订户带来风险,从而给 PT-CA 的声誉和可信度带来风险。
在建立任何品牌 subCA 或 VAR 关系之前,PT-CA 应注意进行彻底的尽职调查,考虑所有潜在的影响,做出明智的决定,并签订完善的合同以保护 PT-CA 的信任。本文展示了可用的选择、吸取的经验教训以及可供遵循的良好实践。
在我们的深入白皮书中了解品牌子 CA 和增值经销商的风险和最佳实践。