Beveiligingsmaatregelen

Door het technische karakter is specifieke deskundigheid nodig bij het beveiligen van uw servercertificaat. Vraag uw ICT-leverancier u te helpen. Het doel van de vereiste beveiligingsmaatregelen is dat het onmogelijk moet zijn om de private sleutel behorend bij het servercertificaat ongemerkt te stelen of te kopiƫren.

Naast de vereiste maatregelen is het advies om de informatiebeveiliging in uw omgeving te baseren op een risicoanalyse, bijvoorbeeld op basis van de ISO 27001 norm voor informatiebeveiliging. Voor adequate beveiliging van het servercertificaat moeten de volgende algemene beveiligingsmaatregelen aanwezig zijn:

  • Anti-malware software voorzien van de laatste updates.
  • Een firewall ingericht zodat alleen communicatiekanalen die noodzakelijk zijn voor bekende toepassingen worden toegelaten.
  • Het besturingssysteem en applicatiesoftware moeten voorzien zijn van de laatste updates.
  • Het besturingssysteem dient alleen noodzakelijke functionaliteit te bieden (hardening).
  • Er moeten minimaal 2 lagen van fysieke toegangsbeveiliging zijn voordat er toegang is tot het systeem met de private sleutel. Bijvoorbeeld een afgesloten serverruimte en een afgesloten serverkast waarin het systeem met de private sleutel zich bevindt.
  • Een schermbeveiliging die bij inactiviteit toegang blokkeert.

De private sleutel moet versleuteld zijn en alleen gebruikt kunnen worden door de betreffende applicatie. Dit om te voorkomen dat de private sleutel onbeveiligd in een backup komt te staan of aangeroepen kan worden door ongeautoriseerde software. Om de vertrouwelijkheid van de private sleutel te waarborgen moeten de volgende specifieke beveiligingsmaatregelen op de server gedaan worden:

  • Het hoogste beveiligingsniveau. Dit kunt u realiseren door een HSM (Hardware Security Module) te gebruiken voor het genereren van het sleutelpaar en de beveiliging van de private sleutel. Daarmee is een aantal van de hierna volgende beveiligingseisen direct al ingevuld.
  • Als u geen gebruik maakt van een HSM maak gebruik de Certificate Store van het betreffende besturingssysteem of van een applicatieplatform.
  • Daarnaast moet u het bestand met daarin de private sleutel zo beveiligen dat alleen de applicatie toegang krijgt tot dit bestand.
  • De activeringscode dient te voldoen aan de gangbare complexiteitseisen voor sterke wachtwoorden.