Freigeben über

Anforderungen an die Reaktion auf Sicherheitsvorfälle: Microsoft Trusted Root Program

Definitionen

  1. „Eine Kompromittierung“ bezeichnet einen direkten oder indirekten Vorfall, der sich entweder auf die Zertifizierungsstelle, Sub-Zertifizierungsstelle oder auf kreuzsignierte, nicht registrierte Roots ausdringt und zu einem tatsächlichen oder potenziellen Verschlechterung des Sicherheitsstatus der PKI führt, die Hardware-, Software- oder physische Zugriffsprobleme umfasst.

  2. „Sicherheitsvorfall“ bzw. „Incident“ bezeichnet einen der folgenden Punkte, die bei der Zertifizierungsstelle oder einer untergeordneten Zertifizierungsstelle auftreten:

    1. Eine Kompromittung des privaten Schlüssels.
    2. Ein falsch ausgestelltes Zertifikat.
    3. Eine bekannte oder einigermaßen erkennbare, öffentlich gemeldete Kompromittung.
    4. Jedwede physische Kompromittierung der Infrastruktur von Zertifizierungsstellen (z. B. Fehler beim Kontrollieren der physischen Addresse, Komprimittierung beim Generieren oder Fehler des HKL im Datenzentrum).
    5. Alle anderen Probleme, die Microsoft identifiziert, um die Integrität oder Vertrauenswürdigkeit der Zertifizierungsstelle in Frage zu stellen.

  3. „Ausnahmefälle“ sind Vorfälle, bei denen Microsoft der Meinung ist, dass die PKI kompromittiert ist, um den Sicherheitsstatus einer großen Anzahl von Microsoft-Kunden zu beeinträchtigen.

Zuständigkeiten der Zertifizierungsstelle bei einem Vorfall

Alle Zertifizierungsstellen müssen über mindestens einen rund um die Uhr überwachten Kontakt oder Alias verfügen, der für das Vorfallmanagement bestimmt ist.

Im Falle eines Sicherheitsvorfalls muss die Zertifizierungsstelle:

  1. Benachrichtigen Sie Microsoft so schnell wie möglich, spätestens jedoch 24 Stunden nach der Entdeckung des Sicherheitsvorfalls, indem Sie die folgenden Fragen ausfüllen und die vollständigen Antworten senden an msroot@microsoft.com. Das Formular erfordert die folgenden Informationen (sofern zu diesem Zeitpunkt bekannt):

    • Wer hat den Vorfall erkannt?
    • Falls verfügbar, wer den Vorfall verursacht hat.
    • Wenn die Zertifizierungsstelle den Vorfall entdeckt hat.
    • Wo der Vorfall aufgetreten ist.
    • Welche Roots, untergeordneten Zertifizierungsstellen und die Anzahl der Endbenutzerzertifikate, die von dem Vorfall betroffen waren.
    • Was die Zertifizierungsstelle als zugrunde liegende Ursache des Vorfalls betrachtet.
    • Welche Korrekturmaßnahmen die Zertifizierungsstelle ergriffen hat oder ergreifen wird, welche die zugrunde liegende Ursache des Vorfalls beheben sollen.
    • Alle anderen Informationen, die die Zertifizierungsstelle für geeignet hält.
    • Alle anderen Informationen, die Microsoft angefordert hat, als es auf die erste Benachrichtigung geantwortet hat.
    • Alle Informationen oder Aktionen, die die Zertifizierungsstelle von Microsoft anfordert, um die Sicherheit zu erhöhen oder Probleme der Endbenutzer zu lösen.

  2. Auf Anforderung von Microsoft muss die Zertifizierungsstelle eine Liste aller Zertifikate bereitstellen, die aufgrund des Vorfalls falsch ausgestellt wurden.

  3. Auf Anforderung von Microsoft muss die Zertifizierungsstelle Microsoft regelmäßige Berichte bereitstellen, in einem Zeitintervall, dass von Microsoft festgelegt wird. Wenn Microsoft keine bestimmte Anforderung stellt, muss die Zertifizierungsstelle Microsoft alle 24 Stunden ein Update bereitstellen, bis der Vorfall behoben ist.

  4. Sobald der Vorfall behoben wurde, muss die Zertifizierungsstelle Microsoft einen endgültigen Bericht zu Sicherheitsvorfällen bereitstellen, der Folgendes enthält:

    • Eine Liste der Zertifikate und Domänen, die an der Sicherheitsverletzung beteiligt sind.
    • Wie hat die Zertifizierungsstelle den Vorfall erkannt? Wer hat die Sicherheitsverletzung erkannt und warum hat die Zertifizierungsstelle sie nicht erkannt?
    • Wenn die Berichte im Zeitverlauf nicht übereinstimmen, warum ist dies der Fall?
    • Detaillierte Beschreibung des Ereignisses.
    • Details dazu, welche Infrastruktur kompromittiert wurde.
    • Details dazu, wie die Infrastruktur kompromittiert wurde.
    • Eine ausführliche Zeitachse von Ereignissen.
    • Die Interpretation der Zertifizierungsstelle, wer die Sicherheitsverletzung ausgelöst hat.
    • Wurde das Sicherheitsrisiko vom normalen Betrieb der Zertifizierungsstelle erkannt? Wenn dies nicht der Fall war, erläutern Sie den Grund.
    • Wurde das Sicherheitsrisiko bei der letzten Überwachung entdeckt? Wenn ja, geben Sie Informationen an, wenn das Sicherheitsrisiko beseitigt wurde. Wenn das Sicherheitsrisiko nicht beseitigt wurde, geben Sie Informationen zum Grund dafür an.
    • Wurde dieses Sicherheitsrisiko bei der letzten Überwachung erkannt? Wenn dies nicht der Fall war, erläutern Sie den Grund.
    • Wenn das Sicherheitsrisiko bei der letzten Überwachung erkannt wurde, wurde es beseitigt? Falls nicht, erläutern Sie die Gründe.
    • Welche Änderungen an den CP/CPS-Richtlinien werden von der Zertifizierungsstelle vorgenommen?
    • Ausführliche Beschreibung, wie das Problem geschlossen wurde.

  5. Bei Anfrage von Microsoft einen vollständigen technischen Bericht zur Kompromittung.

Rechte von Microsoft im Fall eines Vorfalls

Im Falle eines Sicherheitsvorfalls kann Microsoft nach eigenem Ermessen einen der folgenden Schritte unternehmen:

  1. Entfernen bzw. veralten Sie in außergewöhnlichen Fällen alle Zertifikate, die die Zertifizierungsstelle oder eine untergeordnete Zertifizierungsstelle für das Programm registriert hat, sofort und/oder nicht. Andernfalls kann ein Zertifikat entfernt bzw. nicht mehr für die Zertifizierungsstelle angegeben werden, wenn die Zertifizierungsstelle innerhalb von sieben Tagen darüber benachrichtigt wird.
  2. Microsoft kann Maßnahmen ergreifen, einschließlich, aber nicht beschränkt auf, das Markieren von Dateien, die von kompromittierten Zertifikaten als Schadsoftware signiert wurden, das Blockieren der Webnavigation zu Websites, die mit kompromittierten Serverauthentifizierungszertifikaten bereitgestellt werden, usw.
  3. Anforderung, dass die Zertifizierungsstelle in von Microsoft bestimmten regelmäßigen Abständen Berichte erstellt.
  4. Geben Sie ein Fälligkeitsdatum an, an dem die Zertifizierungsstelle Microsoft einen endgültigen Bericht zum Sicherheitsvorfall übermitteln soll.
  5. Kommunizieren Sie mit betroffenen Dritten.
  6. Fordern Sie die Zertifizierungsstelle auf Kosten der Zertifizierungsstelle auf, einen Drittanbieter zu verwenden, um den Sicherheitsvorfall zu untersuchen und den endgültigen Bericht zu Sicherheitsvorfällen vorzubereiten.
  7. Disqualifizieren Sie alle qualifizierenden Überwachungen und fordern Sie die Zertifizierungsstelle auf, auf Kosten der Zertifizierungsstelle eine neue qualifizierende Überprüfung durchzuführen.

Zuständigkeiten von Microsoft bei einem Sicherheitsvorfall

Für den Fall, dass Microsoft eines der oben beschriebenen Rechte ausübt, führt Microsoft Folgendes aus:

  1. Benachrichtigen der Zertifizierungsstelle 7 Tage vor der beabsichtigten Aktion von Microsoft, außer unter Ausnahmebedingungen, in diesem Fall unternimmt Microsoft angemessene Maßnahmen, um mit der Zertifizierungsstelle zu kommunizieren, bevor Maßnahmen ergriffen werden. Und

  2. Erlauben Sie der Zertifizierungsstelle, eine alternative Vorgehensweise vorzuschlagen. In diesem Fall zieht Microsoft angemessene Alternativen in Betracht, behält sich jedoch das Recht vor, solche Vorschläge abzulehnen, wenn die vorgeschlagene Vorgehensweise nicht im Interesse der Kunden liegt.