Od začátku až do konce května došlo v oblasti kybernetické bezpečnosti k mnoha zajímavým událostem. Ale než o nich budeme diskutovat, otevřeme tento zpravodaj se dvěma novými důležitými změnami zásad, které provedlo fórum certifikační autority/prohlížeče (CA/B) pro certifikáty SSL a podepisování kódu.
Organizační jednotka (OU) bude brzy ukončena ve veřejném SSL/TLS certifikáty
Podle výsledků hlasování SC47V2, fórum Certifikační autority/prohlížeče (CA/B) hlasovalo pro ukončení podpory pole Organizační jednotka (OU) pro veřejné SSL/TLS certifikáty, s uzávěrkou 1. září 2022. Fórum CA/B zjistilo, že organizační jednotka může být v každé společnosti interpretována velmi odlišně, a proto představuje pro certifikační autoritu problémy, pokud jde o její ověřování pomocí externích zdrojů. Odstraněním pole OU zabráníte zahrnutí nejistých informací do SSL/TLS certifikát a zlepšuje proces ověřování. My v SSL.com chceme zajistit, aby přechod na toto nové pravidlo byl pro naše zákazníky hladký. V následujících měsících budeme rozesílat upomínky a aktualizace týkající se uzávěrky 1. září.Nové požadavky na úložiště klíčů pro OV a IV Code Signing Certificates
Od 1. června 2023 v souladu s CA/Browser Forum's nové požadavky na úložiště klíčů pro zvýšení zabezpečení certifikátů pro podepisování kódu budou certifikáty pro podepisování kódu organizace SSL.com (OV) a individuální ověření (IV) vydávány pouze na USB tokenech Federal Information Processing Standard 140-2 (FIPS 140-2) nebo prostřednictvím našeho eSigneru. cloudová služba podepisování kódu.eSigner poskytuje bezpečné cloudové podepisování kódu bez potřeby dalšího hardwaru.
Obrovský výpadek podcastů způsobený tím, že Spotify neobnovilo svůj certifikát SSL
A nyní k některým novinovým klipům zahrnujícím digitální certifikáty. Za prvé, Spotify se dostalo na titulky, když platforma podcastů, kterou vlastní, zaznamenala významný výpadek. Kvůli prošlému certifikátu SSL neměli posluchači podcastů Megaphone přístup k mnoha jejich pořadům po dobu osmi hodin. Mluvčí Spotify Erin Styles v prohlášení potvrdila příčinu incidentu: „Megaphone zaznamenal výpadek platformy kvůli problému souvisejícímu s naším certifikátem SSL. Během výpadku neměli klienti přístup k Megaphone CMS a posluchači podcastů nemohli stahovat epizody podcastů od vydavatelů hostovaných Megaphonem. Megaphone získal dvouletý certifikát SSL v květnu 2020 a v prosinci téhož roku společnost koupila společnost Spotify. Tato změna vlastnictví mohla přispět k dohledu nad správou zabezpečení webových stránek společnosti Megaphone. Jeden podcaster poznamenal že chyba mohla způsobit vydavatelům podcastů tisíce stažení, protože nemohli nahrát svůj obsah po dobu osmi hodin. Není to poprvé, co velká společnost zapomněla obnovit svůj SSL certifikát. V dubnu 2015 instagramProšlý certifikát SSL uživatele vedl k tomu, že jeho uživatelé dostávali bezpečnostní varování. Pokud zkombinujeme náklady na postižené zákazníky a vážná bezpečnostní rizika, která s sebou nese prošlý certifikát, mohou společnosti touto jednoduchou chybou hodně ztratit. Podle Marie Korolovové z ČSÚ„průměrných 5,000 15 globálních společností utratí asi 25 milionů dolarů na zotavení se ze ztráty podnikání v důsledku výpadku certifikátu – a čelí dalším XNUMX milionům dolarů v potenciálním dopadu na dodržování předpisů.“Takeaway SSL.com: Případ Megaphone demonstruje problém, kterému čelí velké organizace, pokud jde o to, aby byly schopny samy efektivně spravovat obnovování certifikátů SSL. Velké společnosti řeší spoustu operací a správa IT prostě není jejich silná stránka. To je důvod, proč jsme uzavřeli partnerství se společností Venafi – globálním lídrem v oblasti automatizované správy digitálních certifikátů. S SSL.com Adaptable Driver for Venafi je nyní pro společnosti snazší než kdy předtím automatizovat poskytování certifikátů, sledovat vypršení platnosti a odvolání, chránit přístup klientů a snadno spravovat šifrovací služby. Zamiřte k našemu článek k přečtení úplných integračních funkcí našeho adaptabilního ovladače a také způsobu jeho stažení. Navíc, protože jedním z našich primárních cílů je propagovat rozšířenou bezpečnost webových stránek, nabízíme také oblíbené prostředí pro správu automatických certifikátů (ACME) pro SSL/TLS Automatizace certifikátů. Jako dobře zdokumentovaný otevřený standard s mnoha dostupnými klientskými implementacemi je ACME široce přijímán jako řešení pro automatizaci podnikových certifikátů. S radostí můžeme říci, že naši zákazníci využívají tento protokol ke snadné automatizaci SSL/TLS vydávání a obnovování certifikátu webových stránek a včasnou ochranu svých webových stránek. Udělejte si čas na přečtení plné výhody SSL.com ACME.
SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro webové stránky HTTPS.
Skrytý web Tor zjistil, že nabízí levné a přizpůsobitelné balíčky malwaru
Eternity Project, webová stránka ukrytá v Tor, byla odhalena, že prodává balíčky malwaru, včetně zlodějů, červů, těžařů a ransomwaru za roční sazbu pouhých 260 $. Pohodlný přístup k malwaru, který Eternity poskytuje, je znepokojující, protože se shoduje s rostoucími případy phishingu, DDoS a ransomwarových útoků v posledních letech. Ještě loni v dubnu, Zabezpečení objevil novou službu phishing-as-a-Service nazvanou Frappo, která se používala k vytváření velmi nevyzpytatelných phishingových stránek pro velké webové stránky online bankovnictví, stránky elektronického obchodu a známé maloobchodní značky. Vývojáři Frappo šli do takové míry, aby poskytovali technickou podporu a aktualizace, přičemž jejich nejnovějšími cíli jsou Uber a 20 finančních institucí. Jeff Burt z Registru vysvětluje, jak snadno dostupný malware prodávaný společností Eternity znásobuje rizika, kterým čelí podniky a organizace: „S malware-as-a-service má programátor různé příležitosti, jak svou prací vydělat. Mohou sami používat svůj malware k tomu, aby získali neoprávněně získané zisky; přinést hotovost leasingem nebo prodejem kódu; a poplatek za podporu a související služby. Přitom lumpové, kteří nemají schopnosti ani čas na vývoj vlastního škodlivého kódu, si jej mohou jednoduše koupit od někoho jiného.“Takeaway SSL.com: Útoky založené na malwaru stojí společnosti po celém světě miliardy dolarů každý rok a placení kyberzločincům je čím dál tím více odrazováno, protože důkazy ukazují, že neexistuje žádná záruka, že budou věrní svým slovům, jakmile budou zaplaceni. Zlomyslní aktéři jsou stále odvážnější a méně se bojí zacílit na velké organizace a podniky. Více než kdy jindy byste měli zlepšit svou obranu v oblasti kybernetické bezpečnosti. Pokud jste vývojář/vydavatel nebo vlastník společnosti a snažíte se ochránit svá softwarová aktiva před útoky založenými na malwaru, můžete se podívat na funkce našeho Certifikáty pro podepisování kódu EV které silně zabraňují neoprávněné manipulaci s aplikacemi a programy. Pokud si přejete chránit své e-mailové účty před phishingovými útoky a zabránit neoprávněnému přístupu k vašim kritickým systémům, můžete se také podívat na naše Osobní e-mail a certifikát ClientAuth.
Uživatelé mohou podepsat kód pomocí Cloudové podepisování rozšířeného ověřovacího kódu společnosti eSigner schopnost. Pro více informací klikněte níže.
Singapur nahrazuje papírové rodné a úmrtní listy digitálně kódovanými elektronickými dokumenty
Od loňského 29. května přestal Singapur pro své občany vydávat fyzické rodné a úmrtní listy ve prospěch digitálních kopií těchto dokumentů. To také znamenalo online posun, pokud jde o registraci narození a úmrtí. Singapurci si dříve museli registrovat rodný list v nemocnici nebo na Imigračním a kontrolním úřadu (ICA). Podle singapurského ICA je tato změna součástí mandátu jejich vlády k digitalizaci veřejných služeb. Nyní, když lze rodné a úmrtní listy registrovat, stahovat a ukládat do stolních počítačů nebo mobilních telefonů, obyvatelé Singapuru zjišťují, že je pohodlnější tento proces řešit. K 30. květnu 6:219 singapurského standardního času mohla ICA vydat 39,100 digitálních rodných listů, což je dvojnásobek denního průměru fyzických rodných listů. Pokud bude tento trend pokračovat, očekává se, že digitální certifikáty, které lze zpracovávat každý rok, překročí roční průměr za posledních pět let pro fyzické rodné listy, který byl XNUMX XNUMX. Tato významná změna je považována za strategii k zajištění lepších procesů ověřování a ověřování těchto důležitých dokumentů. Podle ICA „vládní agentury a soukromé subjekty, jako jsou průmyslová sdružení a finanční instituce, mohou používat QR kódy obsažené na všech digitálních certifikátech k ověření jejich pravosti. QR kód bude propojen se systémem ICA, kde lze ověřit podrobnosti o digitálním certifikátu s databází ICA.“ Digitalizace rodných a úmrtních listů je inovativní politikou Singapuru. Kromě toho, že jsou efektivnější než manuální procesy, jsou digitální registrace a ukládání bezpečnější a nákladově efektivnější. Ve srovnání s papírovými dokumenty nemohou být digitální dokumenty poškozeny požárem a jinými nebezpečími a nevyžadují mnoho fyzického prostoru pro údržbu. Nabízí také silnější funkce ověřování a autentizace, protože QR kódy umístěné na rodných a úmrtních listech jsou digitální kódy, které je účinněji chrání před manipulací než vlastnoruční podpisy.Takeaway SSL.com: Systém QR kódů, který Singapur používá pro své nové digitální rodné a úmrtní listy, nabízí podobné výhody jako naše digitální certifikáty pro podepisování dokumentů. Pomocí standardního průmyslového šifrování dat, Certifikáty pro podepisování dokumentů SSL.com může digitálně podepisovat elektronické dokumenty, aby prokázal, kdo je vlastníkem dokumentů, a zajistit, že tyto nebyly od jejich podpisu změněny. Naše certifikáty pro podepisování dokumentů splňují americký federální zákon ESIGN a zákony mnoha dalších zemí, díky čemuž jsou právně přijatelné celosvětový. Kromě toho lze naše certifikáty pro podepisování dokumentů zaregistrovat do našeho Cloudová podepisovací služba eSigner což našim uživatelům umožňuje bezpečně podepisovat své dokumenty z jakéhokoli připojení k internetu device. Digitální revoluce implementovaná Singapurem pro jeho veřejné záznamy potvrzuje dlouhodobou vizi SSL.com, pokud jde o prosazování digitálních transakcí, ukládání dat a správu kritických aktiv. Přejděte k našemu PKI a digitální certifikáty pro státní správu článku se dozvíte více o tom, jak pomáháme vládním institucím posilovat jejich kybernetickou bezpečnost.
Podívejte se na SSL.com Obchodní průkazy totožnosti které nabízejí podepisování dokumentů, zabezpečení e-mailu a ověřování klienta.
ZÍSKEJTE VÍCE O PODEPISOVÁNÍ DOKUMENTŮ
