Anforderungen an die Reaktion auf Sicherheitsvorfälle – Microsoft Trusted Root Program

Definitionen

  1. "Ein Kompromiss" bezeichnet einen direkten oder indirekten Vorfall, der sich entweder auf die Zertifizierungsstelle, die Unterzertifizierungsstelle oder die signierten, nicht registrierten Wurzeln auswirkt, was zu einer tatsächlichen oder potenziellen Verschlechterung der Sicherheitsstruktur der PKI führt, die Hardware-, Software- oder physische Zugriffsprobleme umfasst.

  2. "Sicherheitsvorfall" oder "Vorfall" bezeichnet folgendes, das bei der Zertifizierungsstelle oder einer Unterzertifizierungsstelle auftritt:

    1. Der Kompromiss eines privaten Schlüssels.
    2. Ein falsch ausgestelltes Zertifikat.
    3. Eine bekannte oder möglicherweise bekannte, öffentlich gemeldete Sicherheitskompromittierung.
    4. Jegliche physische Kompromittierung der CAs-Infrastruktur (z. B. Ausfall der physischen Zugriffssteuerung, Baukompromittierung oder Fehler der HLK im Rechenzentrum).
    5. Jedes andere Problem, das Microsoft identifiziert, und die Integrität oder Vertrauenswürdigkeit der Zertifizierungsstelle in Frage stellt.

  3. "Außergewöhnliche Umstände" bezeichnet einen Vorfall(n), in dem Microsoft der Ansicht ist, dass die PKI kompromittiert wird, um den Sicherheitsstatus einer großen Anzahl von Microsoft-Kunden zu beeinträchtigen.

Verantwortlichkeiten der Zertifizierungsstelle im Falle eines Vorfalls

Alle CAs müssen mindestens einen 24/7 überwachten Kontakt oder Alias haben, der für die Vorfallverwaltung vorgesehen ist.

Im Falle eines Sicherheitsvorfalls muss die Zertifizierungsstelle Folgendes ausführen:

  1. Benachrichtigen Sie Microsoft, sobald es praktisch ist, aber spätestens 24 Stunden ab dem Zeitpunkt der Ermittlung von Sicherheitsvorfällen, indem Sie die folgenden Fragen ausführen und die abgeschlossenen Antworten senden.msroot@microsoft.com Für das Formular sind die folgenden Informationen erforderlich (sofern zur Zeit bekannt):

    • Wer den Vorfall festgestellt hat.
    • Falls verfügbar, wer den Vorfall begangen hat.
    • Wenn die Zertifizierungsstelle den Vorfall entdeckt hat.
    • Wo der Vorfall aufgetreten ist.
    • Welche Roots, Sub-CAs und die Anzahl der Endbenutzerzertifikate, die vom Vorfall betroffen waren.
    • Was die CA für die zugrunde liegende Ursache des Vorfalls hält.
    • Welche Abhilfemaßnahmen die Zertifizierungsstelle ergriffen hat oder ergreifen wird, von denen die Zertifizierungsstelle der Ansicht ist, dass sie die Ursache des Vorfalls beheben würden.
    • Alle anderen Informationen, die die Zertifizierungsstelle als angemessen erachtet.
    • Alle anderen Informationen, die Microsoft angefordert hat, wenn sie auf die anfängliche Benachrichtigung geantwortet hat.
    • Alle Informationen oder Aktionen, die die Zertifizierungsstelle von Microsoft fordert, um die Sicherheit zu erhöhen oder die Belastung der Endbenutzer zu verringern.

  2. Auf Anforderung von Microsoft muss die Zertifizierungsstelle eine Liste aller Zertifikate bereitstellen, die aufgrund des Vorfalls falsch ausgestellt wurden.

  3. Auf Anforderung von Microsoft muss die Zertifizierungsstelle Microsoft regelmäßige Berichte in einem von Microsoft angegebenen Intervall bereitstellen. Wenn Microsoft keine bestimmte Anforderung vornimmt, muss die Zertifizierungsstelle Microsoft alle 24 Stunden ein Update bereitstellen, bis der Vorfall behoben wurde.

  4. Sobald der Vorfall behoben wurde, muss die Zertifizierungsstelle einen endgültigen Sicherheitsvorfallbericht an Microsoft bereitstellen, der Folgendes umfasst:

    • Eine Liste der Zertifikate und Domänen, die an der Verletzung beteiligt sind.
    • Wie hat die Zertifizierungsstelle den Vorfall erkannt? Wenn die Zertifizierungsstelle die Verletzung nicht erkannt hat, wer hat und warum die Zertifizierungsstelle nicht erkannt?
    • Wenn im Laufe der Zeit ein Konflikt in den Berichten aufgetreten ist, warum?
    • Detaillierte Beschreibung des Exploits.
    • Details dazu, welche Infrastruktur kompromittiert wurde.
    • Details dazu, wie die Infrastruktur kompromittiert wurde.
    • Eine detaillierte Zeitachse der Ereignisse.
    • Die Auslegung der Zertifizierungsstelle, wer die Verletzung begangen haben soll.
    • Wurde die Sicherheitsanfälligkeit durch den normalen Betrieb der CAs erkannt? Wenn dies nicht der Grund war, erläutern Sie bitte, warum.
    • Wurde die Sicherheitsanfälligkeit in der letzten Prüfung entdeckt? Wenn ja, stellen Sie Informationen bereit, wenn die Sicherheitsanfälligkeit behoben wurde. Wenn die Sicherheitsanfälligkeit nicht behoben wurde, geben Sie bitte Informationen über den Grund dafür an.
    • Wurde diese Sicherheitsanfälligkeit von der letzten Überwachung erkannt? Wenn dies nicht der Grund war, erläutern Sie bitte, warum.
    • Wenn die Sicherheitsanfälligkeit in der letzten Überwachung erkannt wurde, wurde sie behoben? Wenn nicht, erläutern Sie bitte, warum.
    • Welche Änderungen an den CP/CPS-Richtlinien werden von der Zertifizierungsstelle vorgenommen?
    • Detaillierte Beschreibung, wie das Problem geschlossen wurde.

  5. Falls von Microsoft angefordert, einen vollständigen Untersuchungs- und technischen Bericht über den Kompromiss.

Microsoft-Rechte im Falle eines Vorfalls

Im Falle eines Sicherheitsvorfalls kann Microsoft nach eigenem Ermessen eine der folgenden Aktionen ausführen:

  1. Unter außergewöhnlichen Umständen entfernen und/oder untersagen Sie unverzüglich ein Zertifikat, das die Zertifizierungsstelle oder eine Unterzertifizierungsstelle im Programm registriert hat; andernfalls kann die Zertifizierungsstelle jedes Zertifikat entfernen und/oder untersagen, nachdem sie sieben Tage im Voraus benachrichtigt wurde.
  2. Microsoft kann Maßnahmen ergreifen, einschließlich, aber nicht beschränkt auf das Markieren von Dateien, die von kompromittierten Zertifikaten signiert wurden, als Schadsoftware, Blockieren der Webnavigation auf Websites, die mit kompromittierten Serverauthentifizierungszertifikaten bereitgestellt werden, usw.
  3. Fordern Sie die Zertifizierungsstelle auf, bestimmte Berichte in regelmäßigen Abständen zu erstellen, die von Microsoft festgelegt werden.
  4. Geben Sie ein Fälligkeitsdatum an, bis zu dem die CA einen endgültigen Sicherheitsvorfallbericht bei Microsoft einreichen soll.
  5. Kommunikation mit betroffenen Dritten.
  6. Fordern Sie die Zertifizierungsstelle auf, auf Kosten der Zertifizierungsstelle einen Drittanbieter zu verwenden, um den Sicherheitsvorfall zu untersuchen und den endgültigen Bericht über Sicherheitsvorfälle vorzubereiten.
  7. Disqualifizieren Sie alle qualifizierenden Prüfungen und erfordern, dass die Zertifizierungsstelle eine neue qualifizierende Prüfung auf alleinige Kosten der Zertifizierungsstelle durchführt.

Verantwortlichkeiten von Microsoft im Falle eines Sicherheitsvorfalls

Für den Fall, dass Microsoft eines der oben beschriebenen Rechte ausübt, wird Microsoft:

  1. Benachrichtigen Sie die Zertifizierungsstelle schriftlich über ihre Absichten 7 Tage vor der Aktion von Microsoft, außer unter außergewöhnlichen Umständen, in diesem Fall wird Microsoft angemessene Anstrengungen unternehmen, um vor der Durchführung von Maßnahmen mit der Zertifizierungsstelle zu kommunizieren; Und

  2. Gestatten Sie der Zertifizierungsstelle, einen alternativen Handlungsweg vorzuschlagen, in diesem Fall wird Microsoft angemessene Alternativen in Betracht ziehen, behält sich jedoch das Recht vor, solche Vorschläge abzulehnen, wenn sie der vorgeschlagene Handlungsverlauf für nicht das beste Interesse ihrer Kunden hält.

  • Last updated on