定义
“泄漏”是指影响 CA、子 CA 或交叉签名的未注册根证书的直接或间接事件,这些事件会导致实际或潜在的 PKI 安全状况降级,包括硬件问题、软件问题或物理访问问题。
“安全事件”或“事件”是指 CA 或子 CA 中发生的以下任意事件:
- 私钥泄漏。
- 错误颁发了证书。
- 已知或合理可获知的公开报告的漏洞。
- CA 基础设施的任何物理泄露(例如,数据中心中的物理访问控制故障、建筑物泄漏或 HVAC 故障)。
- Microsoft 标识为导致 CA 的完整性或可信度遭受质疑的任何其他问题。
“异常情况”是指 Microsoft 认为 PKI 受到破坏从而影响大量 Microsoft 客户的安全状况的事件。
发生事件时 CA 的职责
所有 CA 都必须指定至少一名全天候受监视的联系人或替班人员专门进行事件管理。
发生安全事件时,CA 必须:
填写以下问题并将已完成的回答发送到msroot@microsoft.com,尽快通知 Microsoft,最迟不能晚于自发现安全事件之时起的 24 小时内。 该表单需要包含以下信息(如果填写时已知):
- 检测到事件的人员。
- 实施了该事件的攻击者(如果可用)。
- CA 发现了事件的时间。
- 发生事件的位置。
- 受该事件影响的根证书、子 CA 和最终用户证书数量。
- CA 认为该事件的根本原因是什么。
- CA 认为能够解决该事件的根本原因并且已采取或者将采取的补救措施。
- CA 认为有用的任何其他信息。
- Microsoft 在响应初始通知时请求的任何其他信息。
- 为了提高安全性或缓解最终用户的痛苦,CA 请求 Microsoft 提供的任何信息或采取的任何措施。
根据 Microsoft 的请求,CA 必须提供由于该事件而错误颁发的所有证书的列表。
根据 Microsoft 的请求,CA 必须按照 Microsoft 指定的间隔向 Microsoft 提供定期报告。 如果 Microsoft 没有提出特定请求,则 CA 必须每 24 小时向 Microsoft 提供一次更新,直至事件得到解决为止。
事件已解决后,CA 必须向 Microsoft 提供最终安全事件报告,其中应包含以下信息:
- 这次破坏所涉及的证书和域的列表。
- CA 如何检测事件? 如果 CA 未检测到这次破坏,谁检测到这次破坏?为什么 CA 检测不到?
- 如果随着时间的推移,报告中存在不一致,为什么?
- 对攻击的详细说明。
- 有关受到破坏的基础设施的详细信息。
- 有关基础设施受到的具体破坏的详细信息。
- 事件的详细时间线。
- CA 对实施了破坏的人员的解释。
- CA 检测到的漏洞是否属于正常操作? 如果不是,请解释原因。
- 最近的审核是否发现了该漏洞? 如果是,则提供有关该漏洞是否已修复的信息。 如果该漏洞未修复,则提供未修复的原因。
- 最近的审核是否检测到该漏洞? 如果不是,请解释原因。
- 如果在最近的审核中检测到该漏洞,该漏洞是否已修复? 如果未修复,请解释原因。
- CA 将对 CP/CPS 策略进行哪些更改?
- 对解决问题的方法的详细说明。
根据 Microsoft 的请求,应提供对这次破坏的完整调查和技术报告。
发生事件时 Microsoft 的权利
发生安全事件时,Microsoft 可以自行决定采取以下任一措施:
- 发生异常情况时,立即删除和/或禁止 CA 或任何子 CA 已在该计划中注册的任何证书;否则,Microsoft 可能会在提前七天通知 CA 后删除和/或禁止任何证书。
- Microsoft 可能采取的措施包括但不限于:将泄露的证书签名的文件标记为恶意软件,阻止 Web 导航到使用泄漏的服务器身份验证证书的站点等。
- 请求 CA 按照 Microsoft 指定的间隔定期提供特定报告。
- 指定 CA 向 Microsoft 提交最终安全事件报告的截止日期。
- 与受影响的第三方沟通。
- 要求 CA 雇用第三方调查人员来调查安全事件并准备最终安全事件报告,费用由 CA 承担。
- 撤消任何资格审核,并要求 CA 执行新的资格审核,费用由 CA 独自承担。
发生安全事件时 Microsoft 的职责
如果 Microsoft 行使上述任何权利,Microsoft 将:
在 Microsoft 采取行动之前提前 7 天以书面方式向 CA 通知其意图,但在异常情况下除外,在这种情况下,Microsoft 将尽最大努力在采取行动之前与 CA 沟通;并
允许 CA 建议备选行动过程,在这种情况下,Microsoft 将考虑合理的替代方案,但保留在认为建议的行动过程无法保障客户的最大利益的情况下拒绝此类建议的权利。