GlobalSign Blog

29 Mai 2018

Best Practices für Reseller: Sicherheit von privaten Schlüsseln

Natürlich rührt dieses Thema aus aktuellen Ereignissen im Zusammenhang mit der privaten Schlüsseloffenlegung und dem anschließenden Massenwiderruf von Trustico her. Und natürlich müssen wir zuerst betonen, dass die sicherste Methode zur Schlüsselspeicherung darin besteht, die privaten Schlüssel auf dem Server zu generieren und dann die Certificate Signing Requests (Zertifikatsignierungsanforderung, CSR), zur Anforderung des Zertifikats zu verwenden. Wenn ein Reseller private Schlüssel für einen Kunden außerhalb der Webserver-Umgebung generiert, in der das Zertifikat gehostet wird, sollte diese Vorgehensweise sofort beendet werden!

OK. Da dies jetzt schon mal klargestellt ist, kommt hier eine schnelle Wiederholung aus unserem vorherigen Blog über Best Practices und grundlegende Methoden der kryptographischen Schlüsselspeicherung:

  1. Unabhängig davon, wie viel Cybersicherheit oder Endpunktsicherheit Sie eingerichtet haben: Wenn private Schlüssel falsch verwaltet werden, untergräbt dies alle Sicherheitsmaßnahmen.
  2. Private Schlüssel müssen sicher und natürlich ... privat bleiben! Schicken Sie sie nicht per E-Mail, teilen Sie sie nicht, posten Sie sie nicht, sprechen Sie nicht einmal darüber. Sie glauben mir nicht? Fragen Sie Trustico, wie gut das bei ihnen funktioniert hat.
  3. Methoden für das kryptographische Speichern von Schlüsseln sind:

Zertifikat-/Schlüsselspeicher von Betriebssystem und Browser wie Windows Zertifikatspeicher, Mac OS-Schlüsselbund

Einige Betriebssysteme und Browser bieten Zertifikat- oder Schlüsselspeicher. Dies sind softwarebasierte Datenbanken, die Ihr öffentliches/privates Schlüsselpaar und Zertifikat lokal auf Ihrem Rechner speichern.

.pfx- und .jks-Dateien (Schlüsselspeicher)

PKCS#12 (.pfx oder .p12) und .jks* (erstellt vom Java Keytool) sind Dateien, die Ihr öffentliches/privates Schlüsselpaar enthalten. Im Gegensatz zu den lokal gespeicherten Schlüsselspeichern von BS und Browser können diese Dateien praktisch überall abgelegt werden, wie z. B. auf Remoteservern, und sie sind immer passwortgeschützt (d. h., jedes Mal, wenn Sie Ihren privaten Schlüssel verwenden möchten, müssen Sie ein STARKES Passwort eingeben). Ein weiterer Anreiz liegt darin, dass Sie einfach Kopien verteilen können, wenn mehrere Personen das Zertifikat verwenden müssen, da dies letztlich nur Dateien sind. Da sie andererseits nur Dateien sind, sind sie anfällig dafür, unsicher verteilt zu werden. Aufgrund der schnellen Weiterentwicklung der Algorithmen für das Cracken von Passwörtern, sollten Sie dafür sorgen, ein ausreichend langes, zufälliges Passwort zu erstellen, wenn Sie diese Methode verwenden.

Hardware Security Module (HSM)

Diejenigen unter Ihnen, die den sichersten Schlüsselspeicher benötigen, sollten von FIPS genehmigte Software- oder Hardwareschlüsselspeicher in Erwägung ziehen. HSMs sind eine weitere kryptographische hardwarebasierte Option für die Schlüsselspeicherung, besonders, wenn Sie sich nicht auf individuelle Token verlassen möchten oder dies zu umständlich wäre.

Kriterien für Wiederverkäufer zur Speicherung von kryptographischen Schlüsseln

Für Wiederverkäufer ist es wichtig, strikt auf folgende Kriterien zu achten:

  1. Verwenden Sie niemals Fremd-Websites, um Schlüssel für sich zu generieren (wenn Sie „CSR-Generator“ googeln werden Sie einige finden. Wir nennen hier keinen oder verlinken zu keinem - verwenden Sie einfach keine).
  2. Folgen Sie den oben und in unserm anderen Blog genannten Best Practices.
  3. Generieren Sie Schlüssel für Ihre Benutzer ausschließlich in der Webserver-Umgebung, in der sie verwendet werden.
  4. Speichern Sie keine privaten Schlüssel für Benutzer oder stellen Sie sie nicht über Benutzerportale zum Herunterladen bereit.
  5. Hinterlegen Sie keine privaten Schlüssel für Ihre Benutzer. SSL-Zertifikate können einfach ersetzt werden, sodass ein privater Schlüssel nicht wiederhergestellt werden muss, wenn er zerstört wird (im Gegensatz zu E-Mails, bei denen es wichtig ist, dass Kunden einen verlorenen privaten Schlüssel wiederherstellen können, damit sie ihre verschlüsselte E-Mail lesen können).
  6. Wiederverkäufer haben die Pflicht, dafür zu sorgen, dass ihre Kunden in den Abonnentenvertrag einwilligen, und Sie als Wiederverkäufer dürfen die enthaltenen Regeln nicht absichtlich umgehen oder brechen.
  7. Beachten Sie die Abschnitte zu den Pflichten und Garantien des Abonnenten sowie zur Schlüsselgenerierung und -verwendung in Ihrem Wiederverkäufer-Abonnentenvertrag (siehe Abschnitt 4. und 4.15 im GlobalSign Abonnentenvertrag als Beispiel).
  8. Ich wiederhole noch einmal: Archivieren Sie die Schlüssel NICHT und vor allem senden Sie sie NICHT in unverschlüsselter oder auch verschlüsselter Form an irgendjemanden.

4.0 Pflichten und Garantien des Abonnenten

4.15 Schlüsselgenerierung und –verwendung

Noch ein paar Punkte für Wiederverkäufer:

Wiederverkäufer sollten sicherstellen, dass Websites und alle zugehörigen Funktionen sicher und frei von ausnutzbaren Sicherheitslücken sind, wie z. B.:

  • Stellen Sie alle Seiten über HTTPS bereit und überprüfen Sie Ihre Serverkonfiguration, um zu gewährleisten, dass diese den Best Practices der Branche entspricht. In der Tat wird durch die Nutzung von HSTS sichergestellt, dass Ihre Website nur über HTTPS zugänglich ist.
  • Sorgen Sie dafür, dass Betriebssysteme, Webserver und andere Komponenten regelmäßig gepatcht und aktualisiert werden.
  • Achten Sie darauf, dass individuelle Software frei von üblichen Sicherheitslücken ist, wie denen in den OWASP Top-10 identifizierten.
  • Wenn Sie als Wiederverkäufer Ihren Benutzern Unterstützung und Beratung geben, achten Sie darauf, dass Sie aktuelle Best Practices verwenden und sichere Optionen vorgeben.
  • Empfehlen Sie Ihren Kunden immer neue Branchenstandards für Schlüssellängen und Hashalgorithmen, anstelle von älteren Ansätzen, die zwar mehr Kompatibilität bieten, aber aufgrund von Sicherheitsrisiken eher abgelehnt werden.
  • Stellen Sie bei der Erneuerung von Zertifikaten sicher, dass Ihre Kunden die Gelegenheit nutzen, ein neues Schlüsselpaar zu erstellen, anstatt das vorhandene zu verwenden. Durch die Verwendung der Schlüsselrotation während der Zertifikaterneuerung begrenzen Sie das Risiko, das durch einen kompromittierten Schlüssel oder eine schlechte Speicherhygiene entsteht.

Halten Sie sich an diese Methoden und Sie werden für immer im kryptographischen Schlüsselspeicher Nirwana sein. Wie immer sind die Kryptographie-Verrückten hier bei GlobalSign immer da, um Ihnen bei der Beantwortung Ihrer Fragen zu helfen.

Artikel teilen