Ви можете обміняти Ваш поточний сертифікат на більш престижний сертифікат DigiCert Thawte GeoTrust або RapidSSL і
при цьому отримати безкоштовно до 12 місяців додатково за програмою DigiCert Competitive Replacement Program
Ви можете обміняти будь-який Ваш поточний сертифікат на будь-який більш престижний сертифікат DigiCert Group (Symantec, VeriSign) Thawte або GeoTrust
і при цьому отримати безкоштовно бонус за програмою DigiCert Competitive Replacement Program
* Програма дійсна в рамках вимог CAB Forum LetsEncrypt сертифікати виключені з програми з відомих причин ;)
Мета: Поліпшення безпеки веб-сайтів за рахунок DigiCert Competitive Replacement Program.
Якщо Ви маєте поточний активний сертифікат, виданий
Baltimore, Comodo, Entrust, Microsoft, GlobalSign, GoDaddy, SECOM, Polish CA Certum, USER Trust - Comodo's White Label Root, DigiNotar
Amazon Trust Services, Atos, China Financial Certification Authority, ComSign, Cybertrust Japan, D-Trust, DocuSign, Google Trust Services, IdenTrust, Sectigo, SwissSign, Taiwan CA, T-Systems, TurkTrust, WoSign...
- Ви маєте право взяти участь у DigiCert Competitive Replacement Program.
Нижче наведені приклади заміни вашого поточного сертифіката для розрахунку конкурентної заміни
( DigiCert Competitive Replacement Program )
Прийняти обдумане рішення про зміну центру сертифікації (CA) - мудрий хід.
Зміна будь-якого елементу ІТ-інфраструктури організації є серйозною подією, враховуючи його вплив на системи, безпеку та ефективність. Іноді протокол, що використовується, здається
кращим або ефективним, тому що це знайомо. ЦС, відповідальний за випуск і управління платформою цифрових
сертифікатів, які захищають внутрішні сервери, веб-додатки, електронні листи і інші протоколи
безпеки безумовно заслуговує на увагу пильною ІТ-команди.
Перехід на цифрові сертифікати в новий ЦС вводить невизначеність в ключові точки дотику: ІТ-інфраструктура
і безпеку, конфіденційність клієнтів, веб-сайти і електронна комерція. Ці точки дотику досить вагомі,
і повинні бути продуманими, щоб проаналізувати питання про те, чи може ваш поточний центр сертифікації адекватно
представляти бренд і безпеку вашої організації і ваших клієнтів.
Кілька подій можуть спровокувати необхідність переходу на новий ЦС:
ЦС пропонує політику ціноутворення і ліцензування, яка не відповідає вашим бюджетним цілям
ЦС не росте разом з вашою організацією і не буде відповідати всім її поточним і майбутнім потребам
ЦС не бере участі в Раді безпеки ЦС (CA Security Council) і не підтримує ініціативи,
які пом'якшують загрози безпеки
Які і питання і ключові міркування необхідно враховувати при зміні Центру Сертифікації.
1. Як ЦС спілкується з вашою організацією?
Будучи галузевим експертом, ЦА повинен прийняти консультативний підхід до вашого проекту, працюючи в партнерстві
з різними зацікавленими сторонами у вашій організації для досягнення взаємних цілей безшовної інтеграції
з поточного CA до нового. Він повинен встановити процес документообігу для сертифіката, який відповідає унікальним
бізнес-вимогам організації.
Командна робота і розподіл відповідальності
Новий ЦС повинен бути готовий зустрітися з вашими колегами, включаючи виконавчий і директорський персонал в області
інформаційних технологій, ІТ-менеджерів і будь-яких криптографів, які будуть керувати повсякденною діяльністю,
фінансувати і виробляти закупівлі, а також будь-які інші ключові зацікавлені сторони, які беруть участь в
процесі прийняття рішень. Зустріч і визначення команди членів від кожної організації, деталізуючи, хто є
контактною особою і їх конкретні обов'язки.
Розуміння бізнесу
Розуміння вашого бізнесу є важливим компонентом успішного партнерство. Подумайте, скільки досвіду має новий ЦС
в обслуговуванні вашої галузі, розміри і географічне охоплення вашої організації або наскільки добре вони демонструють
будь-який пов'язаний і переданий досвід.
Розуміння унікальних вимог вашого бізнесу
Кожна організація має свої унікальні бізнес-потреби і новий центр сертифікації повинні бути в змозі
продемонструвати вам, як їх платформа і протоколи можуть або задовольняти існуючі потреби, або покращувати їх,
щоб відповідати вашим зростаючим і майбутнім вимогам.
Створення процесу переходу
Новий ЦС повинен створити конкретний процес для досягнення ваших цілей і створити тимчасову шкалу, яка буде
ефективно просуватися до цих цілей
Демонстрація здатності здійснення безпеки і досягнення мети
Ви повинні уважно спостерігати за фактичною діяльністю ЦС, яка показує рівень прихильності нового ЦС і
готовність йти з вами далі і далі
2. Як ЦС відноситься до ваших проблем?
Новий ЦС повинен повністю розуміти ваші проблеми і мати план, як пом'якшити ризики і домогтися плавної міграції.
Інвентаризація
Проведення повної інвентаризації цифрових сертифікатів для підприємства є серйозною проблемою.
Новий ЦС повинен продемонструвати інструменти пошуку та імпорту сертифікатів і що він може знайти сертифікати на
декількох платформах і варіантів ERP і централізувати видимість для одного управління життєвим циклом
Платформа. Кращі інструменти: Discovery, Transparency Certificate (CT) Search, CT Import і ручної імпорт.
Пошук в журналах дає вам можливість перевірити, хто видав SSL-сертифікати на ваше доменне ім'я.
Це допомагає запобігти перехопленню імітаторами і ідентифікувати видачу SSL-сертифікатів з боку шахрайських ЦС.
Випуск і установка
Доцільність і точність мають вирішальне значення для встановлення довіри між новою CA і вашою організацією,
а також вашою організацією і людьми та системами, які взаємодіють з ними. Вимоги до видачі сертифікатів ОВ і EV
повинні бути повідомлені заздалегідь, щоб уникнути затримки і підтримувати встановлені часи обороту.
Автоустановщики можуть значно збільшити швидкість і точність установки сертифікатів SSL / TLS.
Автоматизовані засоби управління беруть на себе тягар ручних процесів з ІТ-ресурсів. Це зменшує накладні витрати,
пом'якшує ризики і зменшує необхідність використання спеціального програмного забезпечення та інших трудомістких зусиль
щодо усунення неполадок. У поєднанні з автоматичним оновленням на попередньо схвалених доменах, автоінсталлятори
також усувають ризик закінчення терміну дії сертифікатів.
Вартість
Витрати можуть значно відрізнятися серед Центрів Сертіфікаціії. Гнучка політика ліцензування, наприклад,
автоматизоване продовження, необмежене ліцензування сертифіката і необмежені перевидання
забезпечують значну економію.
Забезпечення безперервності
Активне життя, що залишилося на існуючих сертифікатах під час переходу може стати проблемою для організацій,
які вже інвестували в значному обсязі. Багато ЦС пропонують плани переходу, які враховують всі або частину
строку дії для зазначеного часу.
Безпека
Забезпечення і підтримка безпечних веб-додатків для клієнтів і для внутрішньої передачі даних повинні бути першочерговими.
Це область, в якій новий центр сертифікації повинен бути зобов'язаний дотримуватися або перевершити галузеві стандарти і правила
для захисту брендів і людей.
Промислові стандарти
Добровільна участь в зусиллях, які перешкоджають поширенню відомих загроз, може бути більш ефективною,
коли це робиться в якості колективних зусиль із забезпечення безпеки ІТ екосистеми.
Яка позиція нового ЦС з цього питання? Які інструменти і системи існують для зниження ризиків від фішингових атак.
Групи галузевих стандартів: Оцініть відносини нового ЦС з галузевими стандартними групами. Дослідження
їх історії із задоволенням базових вимог, які були використані для забезпечення безпеки сертифікатів
і суспільної довіри. Всі центри сертифікації повинні проходити щорічний аудит.
Практична безпека: Визначте методи, що застосовуються новим ЦС для підтримки суворої безпеки
протоколів і пом'якшення ризиків для оптимізації безпеки вашої організації: сервер тестування конфігурації,
кращі практики, а також постійне навчання клієнтів і підвищення освіти.
3. Який рівень підтримки ви отримаєте при міграції?
Виділені ресурси
Новий ЦС повинен бути готовий ідентифікувати і здійснити повну підтримку фахівців для великомасштабного
проекту міграції СА, включаючи контактну інформацію з можливістю зв'язатися з ними за межами робочого часу:
Терміни реалізації проекту
Завершення проектів міграції CA засноване на декількох факторах і варіюється в залежності від розміру компанії,
кількості доменів і типів розгорнутих сертифікатів. Як тільки непередбачені обставини враховані, новий ЦС
повинен надати прийнятний графік для завершення міграції.
4. Який рівень продуктивності ключових технологій нового CA?
Питання коренів
Кореневі сертифікати CA є основою довіри, що забезпечує вашим користувачам і бренду глобальну довіру.
Кореневі сертифікати є першими у в ланцюжку довіри. Веб-браузер і сполучні пристрої за своєю суттю
довіряють всім сертифікатам, які були підписані будь-яким коренем, який був вбудований в браузер або в операційну
систему, на яку він спирається. Відомий ЦС, давно вбудований в кореневі програми, буде мати можливість додати
велику настирливість, навіть для більш нових коренів. Це робиться шляхом повторної прив'язки нових коренів до їх старших
успадкованих коренів. Це ключ до того, що застарілі вузли / пристрої, які не отримують кореневого поновлення
програми, будуть довіряти вашому новому ЦС. Ви повинні переконатися, що ваш новий ЦС має поширити корені для
задоволення всіх потреб ваших користувачів і клієнтів.
Комплекс ланцюгів довіри
Галузевий протокол вимагає, щоб ЦС використовували ланцюжок сертифікатів з довіреного кореня. Цей процес, що також
відомий як складний ланцюжок, пом'якшує ризики, підвищує продуктивність і пропонує гнучкість CA у встановленні політики.
Сертифікати, прив'язані до кореня, підкоряються йому і пропонують вуаль захисту в разі компромісу. Компроміс тільки
впливає на хакнутий сертифікат, що захищає довірений корінь. Перевірка відкликаних сертифікатів може бути зроблена
більш доцільно, оскільки список відкликанних сертифікатів (CRL) згортаються до тих пір, поки згортається сертифікат, до якого він прив'язаний.
Центри сертифікації можуть зміцнювати ланцюг сертифікатів, встановлюючи більш нову політику і протоколи шифрування,
які покращують безпеку. Незважаючи на те, що довірений ЦС перерахований в кореневих програмах, ваша організація,
можливо, вирішила встановити більш жорсткий захист і примусове використання вибраної кількості центрів сертифікації,
яким можна довіряти (наприклад, внутрішній і поточний загальнодоступний ЦС). Це робиться за допомогою мережевих політик.
Переконайтеся, що у вашій внутрішній мережі немає налаштовуючихся списків довіри коренів, що застосовуються в мережевих політиках.
Перевірте, чи немає сторонніх служб, які також застосовують це. Можливо, вам буде потрібно відправити запит на обслуговування,
щоб додати новий CA в список довіри третьої сторони.
Надійний ЦС може продемонструвати вам свою здатність надавати кілька шляхів довіри через складний ланцюжок і
кращої практики. Видача цифрових сертифікатів кінцевого користувача безпосередньо з кореневого ЦС вводить ризик,
обмежуючи управління і застосовування політики сертифіката.
Визнання коренів програмним забезпеченням третіх сторін
Коріння CA повинні бути довірені додаткам, що використовують сервер-сервер комунікації. На додаток до розповсюдженних браузерів
коріння ЦС повинні бути прийняті ІТ-інфраструктурою організації
Авторизація ЦС
Організації повинні шукати CA, який підтримує і дотримується політики CAA.
CAA дозволяє власнику домену вказувати в своїх DNS-записах CA який уповноважений
видавати сертифікати для зазначеного домену. Нова Політика CAA була визначена на форумі CA / Browser і діє з 8 вересня 2017 року.
Технічні вимоги до CAA охоплюються стандартом RFC 6844.
CAA посилює безпеку для власників доменів, дозволяючи їм обмежувати випуск сертифікатів
тільки тим центрам сертифікації, на які вони надали дозвіл, - це може бути або один або
багато конкретних ЦС. CAA також може надати дозвіл на отримання підстановлювальних Субдоменів сертифікатів.
Це дозволяє конкретному ЦС видавати підстановочні сертифікати або повністю запобігати видачу підстановлювальних
сертифікатів для домену.
CAA може бути кращим способом захистити власників домену від шахрайства
сертифікатів, виданих в їх доменному імені. Це стає все більш важливим
з поширенням неавторизованих підтверджених доменних (DV) сертифікатів.
Перевірка запису CAA є обов'язковою для всіх центрів сертифікації, але є добровільною для власників домену.
Для доменів дуже важливо реєструвати затверджені ЦС для запобігання шахрайських
сертифікатів від ваших доменів.
Перед розгортанням запису CAA визначте поточні довірені ЦС. Це можна зробити
шляхом виконання пошуку CT або за допомогою інструменту виявлення сертифікатів. Як тільки центри сертифікації
ідентифікувані, розгорнути записи CAA для всіх центрів сертифікації, які ви плануєте продовжувати використовувати.
Продуктивність сервера при завантаженні сайту
Час, необхідний браузеру для перевірки SSL / TLS сертифіката має вирішальне значення для кінцевих користувачів,
яким не подобається чекати завантаження сторінок. Це робить час зв'язку між веб-сайтом і CA найважливішим компонентом процесу
прийняття рішень. Середній час відгуку OCSP має становити менше 80 мс для кінцевих користувачів і він повинен мати
безперервний доступ.
5. Який процес перевірки, включаючи вимоги і час виконання?
CA / Browser Forum є галузевою групою стандартів, яка визначає керівні принципи,
всі центри сертифікації повинні дотримуватися правил для видачі цифрового сертифікату.
Процес і вимоги однакові для всіх ЦС. Це означає, що якщо ви купуєте сертифікат підтвердження організації (OV)
або розширений сертифікат валідації (EV), процес перевірки та вимоги не повинні відрізняються між СА.
Відмінності полягають в рівні пропонованих послуг і очікуваних витратах для видачі сертифікатів:
Рівень підтримки
Велике підприємство повинно мати можливість вимагати, щоб був виділений фахівець з перевірки.
Термін виконання роботи
Середній термін виконання роботи для нових доменів і організацій за стандартом OV один - три робочих дні і
три - п'ять бізнес днів для перевірки відповідного стандарту EV. Миттєвий випуск EV і сертифікатів SSL OV повинні
бути доступні для попередньо перевірених областей і організацій..
Години роботи
Глобальна команда, яка стратегічно розподілена в усьому світі, може запропонувати найбільш
повне охоплення і повинна бути доступна 24x5 з понеділка по п'ятницю щоб допомогти вам. Більшість центрів сертифікації
пропонують більш високий рівень обслуговування, включаючи 24x7x365 і більш швидкі обороти в якості додаткової
пропозиції.
Контактні методи
Кілька точок підтримки, включаючи телефон, електронну пошту та чат, повинні бути доступні для забезпечення найбільш
доцільного способу зв'язку для ресурсів організації.
Ось короткий огляд вимог перевірки для OV і сертифікатів EV:
OV CERTIFICATE
EV CERTIFICATE
• Показати контроль домену
• Місцезнаходження
• Доказ активного і зареєстрованого бізнесу
• Докази фізичного місцезнаходження
• Сторонній номер телефону для підтвердження виклику
• Контакт з співробітником (або той, хто управляє сертифікатами від імені організації)
На додаток до вимог OV сертифікати EV вимагають додаткових перевірок:
• Інформація про юрисдикцію
• Інтеграція бізнесу
•Додаткові контакти: - директор або інший вищий огрган управління компанією
6. Повна демонстрація сертифіката. Платформа управління? Наявність тимчасових сертифікатів?
Перш ніж приступати до роботи з потенційними ЦС, проконсультуйтеся зі співробітниками у вашій організації,
які відповідають за відстеження виходів і щоденне управління цифровими сертифікатами. Визначте, які
можливості повинен мати новий ЦС, а також чи є в наявність те, що необхідно вам в даний час.
Попросіть потенційний СА продемонструвати ці функції зокрема і показати вам унікальну або
інноваційну функціональність на своїй платформі. Крім того, попросіть випустити тимчасовий сертифікат,
щоб ваш ІТ-персонал зміг отримати практичний досвід роботи з вашою платформою.
Можливість централізованого управління
Порівняйте інструменти і процеси, доступні на вашій існуючій платформі, з тими, які вам знадобляться
для забезпечення безпеки, управління і повної інвентаризації цифрових сертифікатів на новій платформі.
Подумайте про деякі можливості, які недоступні в вашому поточному ЦС, але покращують управління сертифікатами
і дізнайтеся, чи має потенційний центр сертифікації ці можливості.
Консолідоване управління сертифікатами
Організації, що використовують цифрові сертифікати з більш ніж одного центру сертифікації, потребують
додаткової видимості для управління всією цифровою інвентаризацією сертифікатів в масштабах підприємства
з єдиної платформи. Такі інструменти, як Discovery, CT Import і ручний імпорт, необхідні для цього процесу.
Способи доставки
Автоматизовані інструменти установки і різні варіанти доставки сертифікатів усувають проблеми, пов'язані з помилкою вручну, і прискорюють процес установки.
Наступність і найкраща практика
Застосування передової практики передбачає як надання інструментів, так і поточну освіти, що забезпечує
безпечну конфігурацію кінцевих точок, видимість, запобігання загрозам і готовність захищати домени від нових
виникаючих загроз.
Звіти та нагадування
Управління запасами сертифікатів, щоб залишатися в курсі дат закінчення терміну дії та підтримки часу
безвідмовної роботи для веб-додатків, є важливими компонентами управління цифровими сертифікатами.
Бюджетне планування
Гнучкі політики ліцензування, бюджетні плани підписки і можливості обміну сертифікатами можуть забезпечити
економію і вартість, які виходять за межі номінальної вартості самого сертифіката.
Делегування повноважень
Спрощення видачі сертифікатів і централізація бюджету для цифрових сертифікатів на великому підприємстві стають
практично застосованими на практиці, коли система дозволяє групам всередині організації нести відповідальність за частину загального
інвентарю сертифікатів.
Додаткові елементи забезпечення безпеки сайтів
Додаткова перевага пакета забезпечення безпеки веб-сайтів, який ідентифікує шкідливе ПО
і загальні уразливості веб-сайту, дозволяє проводити планові перевірки та перевірки на вимогу, а також забезпечує
моніторинг репутації, а також опції для виправлення - це те, що пропонує більш повний пакет цифрового безпеки
для вашої організації.
Одне джерело для всіх видів сертифікатів
Широкий спектр цифрових сертифікатів, доступних через одну платформа управління сертифікатами для SSL / TLS,
підпис коду, документів, і S / MIME пристроїв дає можливість запропонувати вам найпростіше адміністрування.
7. Можливості для створення робочих процесів, що настроюються,і інтеграції з сторонніми постачальниками
ЦС повинен мати можливість надавати веб-форми, які масштабуються до будь-якого розміру бізнесу і можуть
бути вбудовані в процес документообігу, щоб відповідати унікальним бізнес-потребам організації.
Eforms і API є загальними інструментами, які дозволяють CA розподіляти ролі по всій організації.
Наприклад, передплатники SSL можуть робити запити на сертифікати, звільняючи адміністраторів PKI від утомливих обов'язків.
Ці інструменти допомагають досягти безшовної інтеграції, яка вписується в існуючу бізнес модель організації.
Сторонні інтеграції є вирішальним фактором для підприємств, які хочуть підтримувати централізовану
систему процесів документообігу. CA, який має досвід інтеграції з такими платформами, як Venafi, ServiceNow
або будь-яка інша інтеграція API може дійсно полегшити плавний і спрощений перехід.
Ідентифікація ваших потреб і їх вимір проти того, що може запропонувати потенційний ЦС, усуває
невизначеність, пов'язану з процесом міграції ЦС, і може значно допомогти надати організації необхідну
впевненість для просування вперед з переходом на новий центр сертифікації, який має можливості і
репутацію організації, щоб поглибити взаємодію з клієнтами. А це люди, які покладаються на ваш бренд для
забезпечення своїх особистих транзакційних даних. Зміни часто відповідають інтересам організації, коли вони добре
продумані і вносять вклад в загальну стратегічну цінність організації. Перехід до нового ЦС може створити велику
безпеку бренду і забезпечити душевний спокій для ІТ-команди, яка захищає бренд і клієнтів,
які покладаються на вашу організацію для забезпечення своїх онлайн-транзакцій.
Споживачі, громадяни і співробітники все частіше піддаються загрозам всюди де завгодно, в будь-який час - здійснюють покупки,
перетинають кордон, отримують доступ до електронних служб або реєструються в корпоративних мережах. DigiCert пропонує
надійну ідентифікацію та безпечні технології транзакцій, які роблять цей досвід надійним і безпечним.
Рішення варіюються від фізичного світу фінансових карт, паспортів і посвідчень особи до цифрової
сфери аутентифікації, сертифікатів і захищеного зв'язку.