Beveiligingsmaatregelen

Een servercertificaat mag niet zomaar op iedere computer worden geïnstalleerd. Als beheerder van een servercertificaat bent u verplicht het te beschermen tegen ongeoorloofd gebruik. U dient er daarom voor te zorgen dat onbevoegden geen toegang tot uw systeem krijgen.

Vermoedt u dat een ander uw servercertificaat heeft gebruikt?

Neem direct uw maatregelen. Trek uw servercertificaat in.

Beveiliging van uw servercertificaat

Het beveiligen van uw servercertificaat om de vertrouwelijkheid van uw private sleutel te waarborgen, vereist enige technische kennis. Vraag uw softwareleverancier of systeembeheerder om u te helpen.

De te nemen vereiste beveiligingsmaatregelen zijn:

  • Het installeren van anti-malware. Het besturingsysteem en de applicatiesoftware moeten bovendien van de laatste updates zijn voorzien.
  • Het installeren van een firewall. Op deze manier worden alleen noodzakelijke toepassingen toegelaten en het besturingssysteem biedt alleen noodzakelijke functionaliteit.
  • Het aanbrengen van minimaal twee lagen van fysieke toegangsbeveiliging. Bijvoorbeeld met een afgesloten serverruimte en een afgesloten serverkast waarin het systeem met de private sleutel zich bevindt.
  • Het aanbrengen van een schermbeveiliging (screensaver) bij inactiviteit.
  • De versleuteling van de private sleutel. De sleutel is dan alleen te gebruiken door de betreffende applicatie.
  • Het voldoen aan het hoogste beveiligingsniveau van uw server. Dit kunt u realiseren door een HSM (Hardware Security Module) te gebruiken voor het genereren van het sleutelpaar en de beveiliging van de private sleutel. Daarmee is een aantal van de volgende beveiligingseisen direct al ingevuld. Indien u geen gebruik maakt van een HSM, maak dan gebruik van de Certificate Store van het betreffende besturingssysteem of van een applicatieplatform.
  • Het aanmaken van een veilige activeringscode die voldoet aan de eisen voor sterke wachtwoorden.

Naast de vereiste maatregelen adviseren wij om de informatiebeveiliging in uw omgeving te baseren op een risicoanalyse, bijvoorbeeld op basis van de ISO 27001 norm voor informatiebeveiliging.

Verhuizen naar een andere provider?

Heeft u een nieuwe provider? Vraag dan een nieuw servercertificaat en het bijbehorende sleutelmateriaal aan. De redenen hiervoor zijn: 

  • Het is lastig om af te dwingen dat tijdens het kopiëren en uitwisselen van de private sleutel (behorende bij het servercertificaat) alle beveiligingsmaatregelen van kracht blijven, zoals genoemd in het Certification Practice Statement (CPS);
  • Het is lastig om aan te tonen dat de oude provider alle kopieën van de sleutel heeft vernietigd;
  • Het lastig is om bij constatering van oneigenlijk gebruik van uw private sleutel, te weten welke partij - de oude of de nieuwe provider - hiervoor verantwoordelijk is.