Práticas seguras recomendadas para revendedores de chaves privadas
Artigo escrito por Ted Hebert
Tradução livre do texto escrito originalmente em inglês.
Naturalmente, este tópico é derivado de eventos atuais relacionados à exposição da chave privada e subsequente revogação em massa pelo Trustico , e é claro, devemos enfatizar primeiro que o método mais seguro de armazenamento de chaves é gerar as chaves privadas no servidor e usar o Certificate Signing Request (CSR) ao solicitar o certificado.
Se um revendedor gerar chaves privadas para clientes fora do ambiente de servidor Web em que o certificado será hospedado, deverá interromper essa prática imediatamente. Sério, pare agora!
ESTÁ BEM. Aqui está uma releitura rápida do blog anterior sobre as práticas recomendadas e os métodos básicos de armazenamento de chaves criptográficas:
Não importa quanta segurança cibernética ou segurança de ponto final você tenha, se as chaves privadas forem mal administradas, todas as medidas de segurança serão prejudicadas.
Chaves privadas devem permanecer seguras e, bem … privadas! Não as envie, compartilhe ou publique. Não acredita em mim? Basta perguntar ao Trustico o quanto isso funcionou para eles.
Os métodos de armazenamento de chaves criptográficas incluem:
Sistema Operacional e Certificado de Navegador / Key Stores como o Windows Certificate Store, Mac OS Keychain
Vários sistemas operacionais e navegadores fornecem certificados ou armazenamentos de chaves. Estes são bancos de dados baseados em software que armazenam seu par de chaves público / privado e certificado localmente em sua máquina.
Arquivos .pfx e .jks (keystores)
PKCS # 12 (.pfx ou .p12) e .jks * (criados pelo keytool Java) são arquivos que contêm seu par de chaves pública / privada. Ao contrário dos armazenamentos de chaves do sistema operacional e do navegador armazenados localmente, esses arquivos podem ser armazenados em praticamente qualquer lugar, incluindo servidores remotos e sempre protegidos por senha (ou seja, sempre que você quiser usar sua chave privada, é necessário digitar uma senha FORTE). Outro recurso é que, como esses arquivos são basicamente arquivos, você pode distribuir cópias facilmente se tiver várias pessoas que precisem usar o certificado. Por outro lado, como são apenas arquivos, eles são suscetíveis de serem distribuídos de maneira insegura. Com avanços rápidos em algoritmos de quebra de senha, certifique-se de criar uma senha aleatória suficientemente longa se usar esse método.
Módulos de segurança de hardware (HSM)
Para aqueles que precisam do armazenamento de chaves mais seguro, você deve considerar o uso de armazenamentos de chaves de software ou hardware aprovados pelo FIPS – Federal Information Processing Standards. Os HSMs são outra opção baseada em hardware criptográfico para armazenamento de chaves, especialmente se você não quiser, ou considera, muito complicado confiar em tokens individuais.
Critérios de revendedor para armazenamento criptográfico de chaves
Para os revendedores, é importante prestar muita atenção ao seguinte conjunto de critérios:
– Nunca use sites de terceiros para gerar chaves para você.
– Não gere chaves para seus usuários, exceto no ambiente do servidor da Web em que elas serão usadas.
-Não armazene chaves privadas para usuários ou disponibilize-as para download através de portais de usuários.
– Certificados SSL podem ser facilmente substituídos, portanto, não há necessidade de recuperar uma chave privada no caso de ela ser destruída (ao contrário do e-mail, onde é importante para os clientes recuperar uma chave privada perdida para que possam ler seus e-mails criptografados).
– Os revendedores são obrigados a fazer com que seus clientes concordem com o contrato de assinante e você, como revendedor, não deve intencionalmente desviar ou infringir qualquer uma das regras incluídas.
– Preste atenção às seções Obrigações e Garantias do Assinante, Geração de Chave e Uso do seu contrato de assinante de revendedor (consulte as seções 4 e 4.15 da GlobalSign como um exemplo).
Repetindo: NÃO arquive as chaves, e especialmente NÃO as envie em forma criptografada ou não criptografada para ninguém (Trustico novamente).
Alguns outros pontos para revendedores:
Os revendedores devem garantir que os sites e qualquer funcionalidade associada estejam protegidos e livres de vulnerabilidades exploráveis, incluindo:
– Apresente todas as páginas em HTTPS e verifique a configuração do seu servidor para garantir que ele esteja em conformidade com as práticas recomendadas do setor. Na verdade, a implantação do HSTS garante que seu site seja acessível apenas por HTTPS.
– Certifique-se de que sistemas operacionais, servidores da web e quaisquer outros componentes sejam atualizados regularmente.
– Certifique-se de que qualquer software personalizado esteja livre de vulnerabilidades comuns, como aquelas identificadas no OWASP top-10.
– Quando os revendedores estiverem fornecendo orientação ou assistência a seus usuários, verifique se você está usando as melhores práticas atuais e padronizando as opções de segurança.
– Sempre recomende aos seus clientes novos padrões de mercado quanto a tamanho de chaves e algoritmos de hashing, em vez de abordagens mais antigas que possam fornecer mais compatibilidade, mas que estejam mais próximas de serem preteridas devido a riscos de segurança.
– Quando os certificados forem renovados, certifique-se de que seus clientes aproveitem a oportunidade para criar um novo par de chaves em vez de reutilizar o existente. Ao utilizar a rotação de chaves durante a renovação do certificado, você limita o risco representado por uma chave comprometida ou por vícios de armazenamento da chave.
– Atenha-se a esses métodos e você sempre estará no nirvana de armazenamento de chaves criptográficas.
*Ted Hebert – Diretor de Marketing da GlobalSign
Fonte: Globalsign
Conheça nossa coluna de SSL/TLS