Requisitos de respuesta a incidentes de seguridad: Programa raíz de confianza de Microsoft

Definiciones

  1. "Un compromiso" significa un incidente directo o indirecto, que afecta a la ca, sub-CA o a las raíces cruzadas, no inscritas, que da como resultado una degradación real o potencial de la estatura de seguridad de la PKI, que incluye problemas de hardware, software o acceso físico.

  2. "Incidente de seguridad" o "Incidente" significa cualquiera de los siguientes que se producen en la ca o en una sub-CA:

    1. Un compromiso de clave privada.
    2. Un certificado mal emitido.
    3. Un compromiso conocido o razonablemente conocido que se ha notificado públicamente.
    4. Cualquier compromiso físico de la infraestructura de CAs (por ejemplo, un error de control de acceso físico, un problema de creación o un error del HVAC en el centro de datos).
    5. Cualquier otro problema que Microsoft identifique como cuestionar la integridad o la fiabilidad de la entidad de certificación.
  3. "Circunstancias excepcionales": un incidente en el que Microsoft considera que la PKI está en peligro por afectar a la posición de seguridad de un gran número de clientes de Microsoft.

Responsabilidades de ca en caso de incidente

Se requiere que todas las ca tengan al menos un contacto o alias supervisados las 24 horas del día, los 7 días de la noche, destinados a la administración de incidentes.

En caso de un incidente de seguridad, la entidad de certificación debe:

  1. Notifique a Microsoft tan pronto como sea práctico, pero no más tarde de 24 horas desde el momento de la detección de incidentes de seguridad completando las siguientes preguntas y enviando las respuestas completadas a msroot@microsoft.com. El formulario requiere la siguiente información (si se conoce en ese momento):

    • Quién detectado el incidente.
    • Si está disponible, quién perpetró el incidente.
    • Cuando la ca descubrió el incidente.
    • Donde se produjo el incidente.
    • Qué roots, sub-CA y el número de certificados de usuario final que se vieron afectados por el incidente.
    • Lo que la ca cree que es la causa subyacente del incidente.
    • Qué medidas correctivas ha tomado o tomará la entidad de certificación que cree que abordará la causa subyacente del incidente.
    • Cualquier otra información que la entidad de certificación crea apropiada.
    • Cualquier otra información que Microsoft solicitó cuando respondió a la notificación inicial.
    • Cualquier información o acción que la entidad de certificación solicite a Microsoft para aumentar la seguridad o aliviar el dolor de los usuarios finales.
  2. A petición de Microsoft, la entidad de certificación debe proporcionar una lista de todos los certificados que se emitieron de forma errónea como resultado del incidente.

  3. A petición de Microsoft, la entidad de certificación debe proporcionar informes periódicos a Microsoft en un intervalo especificado por Microsoft. Si Microsoft no realiza una solicitud específica, la entidad de certificación debe proporcionar a Microsoft una actualización cada 24 horas hasta que se corrija el incidente.

  4. Una vez resuelto el incidente, la entidad de certificación debe proporcionar un informe final de incidentes de seguridad a Microsoft que incluya:

    • Una lista de certificados y dominios implicados en la infracción.
    • ¿Cómo detectó la ca el incidente? Si la entidad de certificación no detectó la infracción, ¿quién lo hizo y por qué no lo detectó?
    • Si hubo un error de coincidencia en los informes a lo largo del tiempo, ¿por qué?
    • Descripción detallada del exploit.
    • Detalles sobre qué infraestructura se ha visto comprometida.
    • Detalles sobre cómo se ha visto comprometida la infraestructura.
    • Una escala de tiempo detallada de eventos.
    • Interpretación de la autoridad de certificación de quién perpetró la infracción.
    • ¿Se ha detectado la vulnerabilidad por la operación normal de las ca? Si no es así, explíquese por qué.
    • ¿Se ha detectado la vulnerabilidad en la auditoría más reciente? Si es así, proporcione información si se ha corregido la vulnerabilidad. Si la vulnerabilidad no se ha corregido, proporcione información sobre el motivo de no hacerlo.
    • ¿Ha detectado esta vulnerabilidad la auditoría más reciente? Si no es así, explíquese por qué.
    • Si la vulnerabilidad se ha detectado en la auditoría más reciente, ¿se ha corregido? Si no es así, explíquese por qué.
    • ¿Qué cambios realizará la CA en las directivas cp/cps?
    • Descripción detallada de cómo se cerró el problema.
  5. Si Microsoft lo solicita, un informe técnico y de investigación completo del compromiso.

Derechos de Microsoft en caso de incidente

En caso de incidente de seguridad, Microsoft puede, a su entera discreción, realizar cualquiera de las siguientes acciones:

  1. En una circunstancia excepcional, quite inmediatamente o desautoríe cualquier certificado que la ca o cualquier sub-CA se haya inscrito en el Programa; de lo contrario, puede quitar o no permitir ningún certificado después de proporcionar un aviso de siete días a la autoridad de certificación.
  2. Microsoft puede tomar medidas, entre las que se incluyen, entre otras, marcar los archivos firmados por certificados en peligro como malware, bloquear la navegación web a sitios servidos con certificados de autenticación de servidor en peligro, etc.
  3. Solicite a la entidad de certificación que realice informes específicos en un intervalo periódico que Microsoft determine.
  4. Especifique una fecha de vencimiento para que la entidad de certificación envíe a Microsoft un informe final de incidentes de seguridad.
  5. Comunicarse con terceros afectados.
  6. Requerir que la entidad de certificación emplee, a expensas de la entidad de certificación, un investigador de terceros para investigar el incidente de seguridad y preparar el informe final de incidentes de seguridad.
  7. Descalifique cualquier auditoría que califique y requiera que la entidad de certificación realice una nueva auditoría de calificación a expensas de la entidad de certificación.

Responsabilidades de Microsoft en caso de incidente de seguridad

En caso de que Microsoft ejerza cualquiera de los derechos descritos anteriormente, Microsoft:

  1. Notifique a la entidad de certificación por escrito sus intenciones 7 días antes de la acción de Microsoft, excepto en Circunstancias excepcionales, en cuyo caso Microsoft hará los esfuerzos razonables para comunicarse con la ca antes de tomar medidas; y

  2. Permitir que la autoridad de certificación proponga un curso de acción alternativo, en cuyo caso, Microsoft considerará alternativas razonables, pero se reserva el derecho de rechazar dichas propuestas si considera que el curso de acción propuesto no está en el mejor interés de sus clientes.