Beveiligingsincidentresponsvereisten - Microsoft Trusted Root Program

Definities

  1. 'Een compromis': een direct of indirect incident, dat van invloed is op de ca, sub-ca of kruis ondertekende, niet-ingeschreven wortels, waardoor de beveiligingsatuur van de PKI feitelijk of mogelijk wordt aangetast, met hardware-, software- of fysieke toegangsproblemen.

  2. 'Beveiligingsincident' of 'Incident': een van de volgende incidenten die plaatsvinden in de CA of een sub-CA:

    1. Een private key-compromis.
    2. Een onjuist uitgegeven certificaat.
    3. Een bekend of redelijk bekend, openbaar gerapporteerd compromis.
    4. Elk fysiek compromis van de CAs-infrastructuur (bijvoorbeeld een fysieke toegangsbeheerfout, een bouwcompromitt of een fout van de HVAC in het datacenter).
    5. Elk ander probleem dat Microsoft identificeert als het in twijfel roepen van de integriteit of betrouwbaarheid van de ca.
  3. 'Uitzonderlijke omstandigheden(en)': een incident(en) waarbij Microsoft van mening is dat de PKI is gecompromitteerd om de beveiligingsincident van een groot aantal klanten van Microsoft te beïnvloeden.

CA-verantwoordelijkheden in geval van een incident

Alle CAs zijn verplicht om ten minste één 24/7-bewaakte contactpersoon of alias te hebben die is bedoeld voor incidentbeheer.

In het geval van een beveiligingsincident moet de ca:

  1. Informeer Microsoft zodra dit praktisch is, maar niet later dan 24 uur na de ontdekking van het beveiligingsincident door de volgende vragen te beantwoorden en de voltooide antwoorden te verzenden naar msroot@microsoft.com. Voor het formulier zijn de volgende gegevens vereist (indien op dat moment bekend):

    • Wie heeft het incident gedetecteerd.
    • Indien beschikbaar, wie het incident heeft gepleegd.
    • Toen de ca. het incident ontdekte.
    • Waar het incident heeft plaatsgevonden.
    • Welke Roots, sub-CAs en het aantal eindgebruikerscertificaten die door het incident zijn beïnvloed.
    • Wat volgens de ca. de onderliggende oorzaak van het incident is.
    • Welke herstelmaatregelen de CA heeft genomen of zal nemen die volgens de ca. de onderliggende oorzaak van het incident zullen aanpakken.
    • Alle andere informatie die volgens de ca. geschikt is.
    • Alle andere informatie die Microsoft heeft aangevraagd bij het reageren op de eerste melding.
    • Alle informatie of acties die microsoft van de ca.c.t. vraagt om de beveiliging te verhogen of de pijn voor de eindgebruikers te verlichten.
  2. Op verzoek van Microsoft moet de certificeringsinstantie een lijst met alle certificaten verstrekken die ten gevolg van het incident verkeerd zijn uitgegeven.

  3. Op verzoek van Microsoft moet de ca. Microsoft periodieke rapporten verstrekken met een interval dat door Microsoft is opgegeven. Als Microsoft geen specifiek verzoek indient, moet de ca. Microsoft elke 24 uur een update verstrekken totdat het incident is verkreed.

  4. Nadat het incident is opgelost, moet de ca. een definitief beveiligingsincidentrapport aan Microsoft verstrekken met de volgende informatie:

    • Een lijst met certificaten en domeinen die betrokken zijn bij de inbreuk.
    • Hoe heeft de ca. het incident gedetecteerd? Als de ca. de inbreuk niet heeft gedetecteerd, wie heeft het dan wel gedaan en waarom heeft de ca niet gedetecteerd?
    • Als de rapporten in de afgelopen tijd niet overeenkomen, waarom dan?
    • Gedetailleerde beschrijving van de exploit.
    • Details over welke infrastructuur is gecompromitteerd.
    • Details over hoe de infrastructuur is gecompromitteerd.
    • Een gedetailleerde tijdlijn van gebeurtenissen.
    • De interpretatie van de ca. wie de inbreuk heeft gepleegd.
    • Is het beveiligingsprobleem gedetecteerd door de normale werking van de CAs? Als dat niet zo was, kunt u uitleggen waarom.
    • Is het beveiligingsprobleem ontdekt in de meest recente audit? Zo ja, geef dan informatie op als het beveiligingsprobleem is opgelost. Als het beveiligingsprobleem niet is opgelost, geeft u informatie over de reden waarom u dit niet doet.
    • Is dit beveiligingsprobleem gedetecteerd door de meest recente audit? Als dat niet zo was, kunt u uitleggen waarom.
    • Als het beveiligingsprobleem is gedetecteerd in de meest recente audit, is het dan opgelost? Zo niet, leg dan uit waarom.
    • Welke wijzigingen in het CP/CPS-beleid worden door de CA aangebracht?
    • Gedetailleerde beschrijving van hoe het probleem is opgelost.
  5. Op verzoek van Microsoft, een volledig onderzoeks- en technisch rapport van het compromis.

Rechten van Microsoft in geval van een incident

In geval van een beveiligingsincident kan Microsoft naar eigen goed inzicht een van de volgende stappen uitvoeren:

  1. Verwijder in uitzonderlijke omstandigheden onmiddellijk een certificaat dat de CA of een sub-ca heeft geregistreerd in het programma en/of niet; anders kan het certificaat worden verwijderd en/of afgekeurd na een kennisgeving van zeven dagen aan de ca.
  2. Microsoft kan actie ondernemen, waaronder, maar niet beperkt tot, het markeren van bestanden die door gecompromitteerde certificaten zijn ondertekend als malware, het blokkeren van webnavigatie naar sites die worden uitgevoerd met gecompromitteerde serververificatiecertificaten, enzovoort.
  3. Vraag de CA om specifieke rapporten op te stellen met een periodiek interval dat door Microsoft moet worden bepaald.
  4. Geef een einddatum op waarop de ca. een definitief beveiligingsincidentrapport moet indienen bij Microsoft.
  5. Communiceer met betrokken derden.
  6. De ca moet op kosten van de ca. een externe onderzoeker in dienst nemen om het beveiligingsincident te onderzoeken en het uiteindelijke rapport beveiligingsincidenten voor te bereiden.
  7. Diskwalificeert een in aanmerking komende audit en vereist dat de ca een nieuwe in aanmerking komende audit moet uitvoeren op kosten van de ca.

Verantwoordelijkheden van Microsoft bij een beveiligingsincident

Als Microsoft een van de hierboven beschreven rechten oefent, zal Microsoft het volgende doen:

  1. De ca. schriftelijk op de hoogte stellen van de bedoelingen van de ca. 7 dagen vóór de actie van Microsoft, behalve onder uitzonderlijke omstandigheden, in welk geval Microsoft redelijke inspanningen zal leveren om met de ca te communiceren voordat ze actie onderneemt; en

  2. Sta de CA toe een alternatieve actie voor te stellen. In dat geval zal Microsoft redelijke alternatieven overwegen, maar behoudt zich het recht voor dergelijke voorstellen te weigeren als de voorgestelde actie niet in het belang van haar klanten is.