CA Network Security Practices

CA/B Forum-Richtlinien zu Sicherheitsanforderungen für Netzwerk- und Zertifikatssysteme


Am 3. August 2012 verabschiedete das CA/B-Forum eine Reihe von Richtlinien über Sicherheitsanforderungen für Netzwerk- und Zertifikatssysteme, um Best Practice für alle öffentlich vertrauenswürdigen Zertifizierungsstellen und beauftragte Dritte sicherzustellen.

Das CA/B Forum, eine freiwillige Organisation der führenden Zertifizierungsstellen (CAs) und Anbieter von Internet-Browser-Software und anderen Anwendungen, engagiert sich seit 2005 für die Festlegung von Standards für die Branche der Zertifizierungsstellen.

Die neue Leitlinie, die seit dem 01.01.2013 in Kraft ist, versucht, die verschiedenen Angriffe auf vertrauenswürdige Provider zu lösen, die 2011 stattfanden. Hier sollen eine Reihe von Anforderungen aufgestellt werden, um eine strenge Sicherheit rund um CA-Netzwerke und -Systeme zu gewährleisten und weitere Vorfälle zu verhindern.

Die Leitlinie umfasst eine Reihe von Bereichen, wie z.B. allgemeine Schutzmaßnahmen für das Netzwerk und unterstützende Systeme; vertrauenswürdige Rollen, beauftragte Dritte und Systemkonten; Protokollierung, Überwachung und Alarmierung; sowie Erkennung von Schwachstellen und Patch-Verwaltung.

Alle Mitglied-CAs einschließlich GlobalSign haben vereinbart, dieser bis zum Gültigkeitsdatum nachzukommen, und damit wegweisend bei der Verbesserung der Sicherheitsstufen in der CA-Branche als Ganzer zu sein.

Allgemeine Schutzmaßnahmen für das Netzwerk und unterstützende Systeme

Die Leitlinie führt das Konzept der Secure Zones (sichere Zonen) und High Security Zones (Hochsicherheitszonen) zum Schutz der wesentlichen CA-Systeme ein, wie z.B. Root-CA-Systeme, ausstellende Systeme, Zertifikatverwaltungssysteme und Sicherheit unterstützende Systeme.

CAs sollen für eine stärkere Kontrolle über den Zugang zu Zertifikatsystemen sorgen, d.h. nur Personen in vertrauenswürdigen Rollen Zugang zu ermöglichen und Multifaktor-Authentifizierung ist zwingend erforderlich, sofern dies unterstützt wird.

Vertrauenswürdige Rollen, beauftragte Dritte und Systemkonten

Vertrauenswürdige Rollen müssen auf  Grundlage von Sicherheitsüberlegungen der durchzuführenden Funktionen zugewiesen werden Jeder Einzelne in einer vertrauenswürdigen Rolle muss einen eindeutige Berechtigungsnachweis zur Authentifizierung gegenüber Zertifikatsystemen verwenden, um sicherzustellen, dass sie nur im Rahmen ihrer Rolle handeln können. Dies wird durch eine Reihe von Regeln zu Passwortrichtlinie, Inaktivität Timeouts und Kontosperrungen weiter verstärkt.

Protokollierung, Überwachung und Alarmierung

Die neue Forum-Leitlinie fordert von CAs und beauftragten Dritten, ein die Sicherheit unterstützendes System zu implementieren, das alle sicherheitsrelevanten Konfigurationsänderungen protokolliert, überwacht, erkennt und meldet.

Mitarbeiter in vertrauenswürdigen Rollen müssen solchen gemäß geltenden Rechtsvorschriften/besten Praktiken gespeicherten Warnungen nachgehen, um alle unbefugten Aktivitäten zu verhindern.

Erkennung von Schwachstellen und Patch-Management

CAs und beauftragte Dritte müssen Erkennungs- und Vermeidungskontrollen installiert haben, um Zertifikatsysteme gegen Viren oder Schadsoftware zu schützen.

Dieser Abschnitt fixiert eine Mindestanforderung für vierteljährliche Schwachstellen-Scans und jährliche Penetrationstests und definiert Standards für die rechtzeitige Beseitigung von Schwachstellen.

Alle Einzelheiten der Richtlinie finden Sie auf der Website unter:https://www.cabforum.org/Network_Security_Controls_V1.pdf