CAb论坛：网络和证书系统安全要求

2021 年 4 月 5 日版本 1.7

引言

概述

适用范围和适用性

这些网络和证书系统安全要求（要求）适用于所有受公众信任的证书颁发机构 (CA) ，采用这些要求的目的是，所有此类 CA 和委托第三方一旦被纳入为强制性要求，就应接受审核以确保其符合这些要求 任何主要 Internet 浏览客户端的根嵌入程序中的要求（如果不是强制性要求），并将它们纳入 WebTrust 服务原则和认证机构标准、ETSI TS 101 456、ETSI TS 102 042 和 ETSI EN 319 411- 1 包括其修订和实施，包括旨在确定其符合性的任何审计计划。

a.在这些要求中，CA 负责委托第三方和受信任角色执行的所有任务，CA 应定义、记录并向其审计员披露分配给委托第三方或受信任角色的任务，

b.与委托第三方做出的安排，以确保遵守这些要求，

c.委托第三方实施的相关做法。

* 生效日期基于完成 30 天知识产权审查而不提交任何排除通知。

定义

证书管理系统：CA或委托第三方用于处理、批准颁发或存储证书或证书状态信息的系统，包括数据库、数据库服务器和存储。

证书系统：CA或委托第三方用于提供身份验证、注册和注册、证书批准、颁发、有效性状态、支持和其他 与PKI 相关服务的系统。

通用漏洞评分系统 (CVSS)：用于衡量漏洞基本级别严重性的定量模型（参见 http://nvd.nist.gov/vuln-metrics/cvss）。

关键安全事件：检测可能导致绕过区域安全控制或损害证书系统完整性的事件、一组情况或异常活动，包括过多的登录尝试、尝试访问被禁止的资源、DoS/ DDoS 攻击、攻击者侦察、异常时间的过度流量、未经授权访问的迹象、系统入侵或组件完整性的实际危害。

严重漏洞：根据 NVD 或与此类 CVSS 评级相当的 CVSS v2.0 评分为 7.0 或更高的系统漏洞（请参阅 https://nvd.nist.gov/vuln-metrics/cvss），或作为否则被CA或CA/浏览器论坛指定为严重漏洞。

委托第三方：非CA且运营证书系统任何部分的自然人或法人实体。

委托第三方系统：委托第三方在执行CA委托给它的功能时使用的证书系统的任何部分。

前端/内部支持系统：具有公共IP地址的系统，包括Web服务器、邮件服务器、DNS服务器、跳转主机或认证服务器。

高安全区：CA或委托第三方的私钥或加密硬件所在的物理位置。

颁发系统：用于签署证书或有效性状态信息的系统。

多因素身份验证：一种身份验证机制，由以下两个或多个独立类别的凭据（即因素）组成，用于验证登录或其他交易的用户身份：您知道的东西（知识因素），您拥有的东西（拥有因素） ，以及你是什么（内在因素）。 每个因素必须是独立的。 只有当私钥存储在安全密钥存储设备中时，基于证书的身份验证才能用作多因素身份验证的一部分。

国家漏洞数据库 (NVD)：包含通用漏洞评分系统 (CVSS) 分数的数据库，其中包含与安全相关的软件缺陷、错误配置和与系统相关的漏洞（请参阅 http://nvd.nist.gov/）。

OWASP 前十名：Open Web Application Security Project 发布的应用程序漏洞列表（请参阅https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project）

渗透测试：通过积极使用已知攻击技术（包括不同类型漏洞的组合）来识别和尝试利用系统上的漏洞和漏洞的过程，目的是突破防御层并报告未修补的漏洞和系统弱点。

根 CA 系统：用于创建根证书或生成、存储或签名与根证书关联的私钥的系统。

SANS Top 25：根据 SANS Institute 和 Common Weakness Enumeration (CWE) 的输入创建的列表，确定了导致可利用漏洞的 25 个最危险的软件错误（请参阅 http://www.sans.org/top25-software -错误/）。

安全密钥存储设备：经认证至少满足 FIPS 140-2 总体 2 级、物理 3 级或通用标准 (EAL 4+) 的设备。

安全区：受物理和逻辑控制保护的区域（物理或逻辑），可适当保护证书系统的机密性、完整性和可用性。

安全支持系统：用于提供安全支持功能的系统，可能包括认证、网络边界控制、审计日志、审计日志缩减和分析、漏洞扫描和入侵检测（基于主机的入侵检测，基于网络的入侵检测） 。

系统：存储、转换或传输数据的一件或多件设备或软件。

可信角色：授权访问或控制安全区或高安全区的 CA 或委托第三方的员工或承包商。漏洞扫描：使用手动或自动工具探测内部和外部系统以检查和报告暴露于网络的操作系统、服务和设备的状态以及 NVD、OWASP 前十名中列出的漏洞的存在的过程， 或 SANS 前 25 名。

区域：由其他证书系统的系统逻辑或物理分区创建的证书系统子集。

网络和支持系统的一般保护，每个 CA 或委托第三方应：

a. 根据功能或逻辑关系将证书系统划分为网络，例如单独的物理网络或 VLAN；

b. 对与证书系统位于同一网络中的所有系统实施等效的安全控制；

c. 将根 CA系统维护在高安全区域并处于离线状态或与所有其他网络隔离；

d. 在至少一个安全区内维护和保护颁发系统、证书管理系统和安全支持系统；

e. 实施和配置安全支持系统，以保护安全区和高安全区内的系统和系统之间的通信，以及与这些区域外的非证书系统（包括那些与不提供 PKI 相关服务的组织业务部门的系统）和那些公共网络；

f. 使用规则配置每个网络边界控制（防火墙、交换机、路由器、网关或其他网络控制设备或系统），这些规则仅支持 CA 确定为其操作所必需的服务、协议、端口和通信；

g. 通过删除或禁用CA或委托第三方的操作中未使用的所有账户、应用程序、服务、协议和端口，并允许 仅那些经 CA或委托第三方批准的；

h. 确保 CA 的安全策略包含变更管理流程，遵循文档、批准和审查的原则，并确保对证书系统、颁发系统、证书管理系统、安全支持系统和前端/内部的所有更改 支持系统遵循上述变更管理流程；

i. 仅向担任受信任角色的人员授予对证书系统的管理访问权限，并要求他们对证书系统的安全负责；

j. 对支持多重身份验证的证书系统的每个组件实施多重身份验证；

k. 每当一个人在证书系统上管理访问该账户的授权被更改或撤销时，更改证书系统上任何特权账户或服务账户的身份验证密钥和密码；

l. 在安全补丁可用后的六 (6) 个月内将推荐的安全补丁应用到证书系统，除非 CA 证明安全补丁会引入额外的漏洞或不稳定性，这些漏洞或不稳定性超过了应用安全补丁的好处。

受信任的角色、委派的第三方和系统账户，每个 CA 或委托第三方应:

a. 遵循书面程序，任命个人担任受信任的角色并为其分配职责；

b. 记录分配给受信任角色的职责和任务，并根据要执行的功能的安全相关问题对此类受信任角色实施“职责分离”；

c. 确保只有分配给受信任角色的人员才能访问安全区和高安全区；

d. 确保受信任角色中的个人在执行分配给该角色的管理任务时仅在该角色的范围内行事；

e. 要求员工和承包商在访问或配置证书系统的访问权限时遵守“最低权限”原则；

f.要求受信任角色中的每个人都使用由该人创建或分配给该人的唯一凭据，以便向证书系统进行身份验证（出于问责目的，不得使用组账户或共享角色凭据）；

g. 如果受信任角色使用的身份验证控制是用户名和密码，则在技术上可行的情况下，实施以下控制：

1. 对于只能在安全区域或高安全区域内访问的账户，要求密码至少包含十二 (12) 个字符；

2. 对于跨越区域边界进入安全区域或高安全区域的身份验证，需要多重身份验证。 对于可从安全区或高安全区之外访问的账户，密码必须至少包含八 (8) 个字符并且不是用户之前的四 (4) 个密码之一； 并根据第 k 小节对失败的访问尝试实施账户锁定；

3. 在制定密码策略时，CA 应该考虑 NIST 800-63B 附录 A 中的密码指南。

4. 频繁的密码更改已被证明会导致用户选择安全性较低的密码。 如果 CA 有任何规定定期更改密码的政策，则该期限不应少于两年。 自 2020 年 4 月 1 日起，如果 CA 有任何要求例行定期更改密码的政策，则该期限不得少于两年。

h.制定政策要求受信任的角色在不再使用时注销或锁定工作站；

i. 有一个程序来配置具有不活动超时的工作站，在没有用户输入的情况下在设定的不活动时间后注销用户或锁定工作站（CA 或委托第三方可以允许工作站保持活动状态和无人看管，如果工作站 以其他方式保护并运行管理任务，这些任务会因不活动超时或系统锁定而中断）；

j. 至少每三 (3) 个月检查一次所有系统账户，并停用任何不再需要运营的账户；

k. 在不超过五 (5) 次访问尝试失败后，锁定账户对证书系统的访问，前提是此安全措施；

1. 受证书系统支持，

2. 不能用于拒绝服务攻击，

3. 不会削弱此身份验证控件的安全性;

l. 在个人与 CA 或委托第三方的雇佣关系或合同关系终止后的二十四 (24) 小时内，实施一个过程，禁止个人对证书系统的所有特权访问；

m. 强制执行多重身份验证或多方身份验证管理员访问颁发系统和证书管理系统；

n. 对可从安全区或高安全区外部访问的证书系统（包括批准颁发证书的那些，同样适用于委托第三方）上的所有受信任角色账户实施多重身份验证；

o. 限制远程管理或访问颁发系统、证书管理系统或安全支持系统，

1. 远程连接源自 CA 或委托第三方拥有或控制的设备，

2. 远程连接是通过多因素身份验证支持的临时非持久加密通道进行的，并且

3. 远程连接到指定的中间设备

i. 位于 CA 的网络内，

ii. 根据这些要求进行保护，

iii. 调解与颁发系统的远程连接。

4. 记录、监控和警报认证机构和委托第三方应:

a.在 CA 或委托第三方受信任角色的控制下实施一个系统，该系统持续监控、检测和提醒人员对证书系统、颁发系统、证书管理系统、安全支持系统和前端/内部支持系统的任何修改 除非修改已通过变更管理获得授权过程。 CA 或委托第三方应在最多二十四 (24) 小时内响应警报并启动行动计划；

b. 确定那些受 CA 控制的证书系统或能够监控和记录系统活动的委派第三方可信角色，并使这些系统能够记录并持续监控发行基准要求第 5.4.1 (3) 节中指定的事件 公共信任证书的管理；

c.在 CA 或委托第三方受信任角色的控制下实施自动化机制，以处理记录的系统活动，并使用提供给多个目的地的通知提醒人员可能发生的关键安全事件；

d. 要求受信任角色人员跟进可能发生的关键安全事件的警报;

e. 通过持续的自动监控和警报或通过人工审查来监控应用程序和系统日志的日志记录过程的完整性，以确保日志记录和日志完整性功能是有效的。

或者，如果使用人工审核并且系统在线，则该过程必须至少每 31 天执行一次。

f. 监控日志的存档和保留，以确保根据公开的业务实践和适用法律将日志保留适当的时间。

g.如果使用连续自动监控和警报来满足第 1.h 节的要求。 或 3.e. 这些要求中，响应警报并在最多二十四 (24) 小时内启动行动计划。

5. 漏洞检测和补丁管理

认证机构和受委托的第三方应:

a. 在 CA 或委托第三方受信任角色的控制下实施入侵检测和预防控制，以保护证书系统免受常见网络和系统威胁；

b. 记录并遵循解决漏洞识别、审查、响应和补救的漏洞纠正流程;

c. 进行或执行漏洞扫描；

1. 在收到 CA/浏览器论坛的请求后一 (1) 周内；

2. 在 CA 确定为重大的任何系统或网络更改之后，

3. 至少每三 (3) 个月，在由 CA 或委托第三方识别为 CA 或委托第三方的证书系统的公共和私有 IP 地址上；

d. 在 CA 确定为重大的基础设施或应用程序升级或修改之后，至少每年对 CA 和每个委托第三方的证书系统进行渗透测试;

e. 记录证明每个漏洞扫描和渗透测试是由具有提供可靠漏洞扫描或渗透测试所需的技能、工具、熟练程度、道德准则和独立性的个人或实体（或其集体）执行的证据；

f. 在发现 CA 的漏洞纠正流程之前未解决的关键漏洞后的九十六 (96) 小时内执行以下操作之一:

1. 修复关键漏洞;

2. 如果无法在九十六 (96) 小时内修复严重漏洞，请制定并实施缓解严重漏洞的计划，优先考虑 i. 具有高 CVSS 分数的漏洞，从 CA 确定的最关键的漏洞开始（例如那些 CVSS 分数为 10.0 的漏洞）和 ii. 缺乏足够的补偿控制的系统，如果不缓解漏洞，将允许外部系统控制、代码执行、特权升级或系统妥协；

3. 记录 CA 确定漏洞不需要修复的事实依据，

i. CA 不同意 NVD 评级,

ii. 识别是误报,

iii. 通过补偿控制或不存在威胁来防止漏洞的利用；

iv. 其他类似原因。