Directrices del Foro CA/B sobre los requisitos de seguridad de la red y del sistema de certificados
El 3 de agosto de 2012, el Foro CA/B adoptó un conjunto de directrices relativas a los requisitos de seguridad de la red y del sistema de certificados, para garantizar las mejores prácticas entre todas las Autoridades de Certificación de confianza pública y los terceros delegados.
El Foro CA/B, una organización voluntaria de las principales Autoridades de Certificación (CA) y vendedores de software para navegadores de Internet y otras aplicaciones, se ha comprometido a definir estándares para la industria de las Autoridades de Certificación desde 2005.
La nueva directriz, que entrará en vigor a partir del 01/01/2013, pretende hacer frente a los diversos ataques a proveedores de confianza que se produjeron durante 2011, estableciendo una serie de requisitos para garantizar una seguridad estricta en torno a las redes y sistemas de las CA y evitar que se produzcan más.
La directriz cubre una serie de áreas que incluyen las protecciones generales para la red y los sistemas de apoyo; los roles de confianza, los terceros delegados y las cuentas del sistema; el registro, la supervisión y las alertas; así como la detección de vulnerabilidades y la gestión de parches.
Todas las autoridades de certificación miembros, incluida GlobalSign, han acordado cumplir la normativa en la fecha de entrada en vigor, liderando así la mejora de los niveles de seguridad en el sector de las Autoridades de Certificación en su conjunto.
Protecciones generales para la red y los sistemas de apoyo
La directriz introduce el concepto de Zonas Seguras y Zonas de Alta Seguridad para la protección de los sistemas esenciales de las CA, incluidos los sistemas de CA raíz, los sistemas de emisión, los sistemas de gestión de certificados y los sistemas de apoyo a la seguridad.
Las CA deberán proporcionar un mayor control en cuanto al acceso a los sistemas de certificación para permitir sólo el acceso a las personas con roles de confianza, y la autenticación multifactor es obligatoria cuando se admita.
Roles de confianza, terceros delegados y cuentas del sistema
Los roles de confianza deben ser asignados en base a las preocupaciones de seguridad de las funciones a realizar. Cada individuo en un rol de confianza debe usar una credencial única para autenticarse en los sistemas de certificación, para asegurar que sólo pueden actuar dentro del ámbito de su rol. Esto se ve reforzado por una serie de reglas que cubren la política de contraseñas, los tiempos de inactividad y los bloqueos de cuentas.
Registro, supervisión y alerta
La nueva directriz del foro requiere que las CA y los Terceros Delegados implementen un Sistema de Soporte de Seguridad que registre, monitoree, detecte y alerte sobre cualquier cambio de configuración relacionado con la seguridad.
El personal de la función de confianza debe estar obligado a hacer un seguimiento de dichas alertas, y los registros deben conservarse de acuerdo con la legislación y las mejores prácticas aplicables, evitando en general las actividades no autorizadas.
Detección de vulnerabilidades y gestión de parches
Las CA y los terceros delegados deben disponer de controles de detección y prevención para proteger los sistemas de certificación contra virus o software malicioso.
Esta sección establece un requisito mínimo para los escaneos de vulnerabilidad trimestrales y las pruebas de penetración anuales, y define las normas para remediar las vulnerabilidades críticas de manera oportuna.
Los detalles completos de la directriz pueden encontrarse en el sitio web: https://www.cabforum.org/Network_Security_Controls_V1.pdf