PCI、HIPAA、または一般政府、支払い処理、ヘルスケアに影響を与える可能性のあるその他のセキュリティ標準に、主要なブラウザから信頼されているCAベンダーが公衆向けWebサイトの有効な選択肢となる資格を失う要件はありますか?または、承認されている特定のCAベンダーのリストを規定していますか?ブラウザーで信頼され、sha2、2048などの他の要件を満たす証明書を発行できる最も安価なベンダーを利用することの既知の欠点はありますか?.
最初にHIPAAについて説明します。これは、準拠する必要がある実際の規制であるためです(お客様が対象エンティティである場合)。PCI準拠は、銀行/販売アカウントプロバイダー/ゲートウェイプロセッサによって販売者に課される契約上の要件です。
HIPAAには、SSL証明書に関する特定の技術要件はありません。 PHIを転送中と静止状態の両方で暗号化する必要がありますが、 National Institute for Standards and Technology で定義されているように、一般に技術的な詳細について「ベストプラクティス」と見なされるものに従います。
原則として、監査を行う会社が、最新のTLSプロトコルと証明書に十分に強力な暗号化レベルを使用していること、および使用しているストレージシステムのデータを適切に暗号化していることを確認すると思います。私の経験では、これらは「合格/不合格」ではなく、スコアリングの連続体です。
主要なベンダーが提供する完全なEV SSL証明書を使用して会社の詳細なバックグラウンドチェックを行い、ビジネス(本人確認)とLet's Encryptなどを使用して完全に有効な証明書を生成する代わりに、技術(最新の強力な暗号化を使用するように構成された証明書)どちらの場合も、少なくとも私の経験ではなく、監査を「失敗」させることはありません。私は CloudFlare's 共有SSL/TLS証明書を使用しましたが、YMMVを使用していました。
この記事 必要なものとベストプラクティスの違いを理解するのに役立ちました。また、私は Qualsys SSL/TLSオンラインテストツール を使用して自分の監査中にクライアント構成を確認する傾向があり、それが役立つ場合があります。
PCI-DSSコンプライアンスは少し異なります。それら 要件を指定(および時間をかけて更新)する コンプライアンスに必要な特定のTLS/SSL暗号化テクノロジーについて。ただし、一般的に、前述の上記のいずれにも準拠できるはずです。
監査でより高いスコアを獲得したい場合(およびマーチャントアカウントの取引手数料とサイバー保険料を下げる可能性がある場合)、完全に支払われたハイエンドEV証明書を入手してください。これは、技術的な決定や可能性よりもビジネス上の決定です上記の説明は、ベストプラクティスに従うことを前提として、技術的なニーズを満たす必要があります。