En masse nyhedsværdige cybersikkerhedsbegivenheder har fundet sted fra starten til slutningen af maj. Men før vi diskuterer dem, vil vi åbne dette nyhedsbrev med to nye vigtige politiske ændringer foretaget af Certificate Authority/Browser (CA/B) Forum for SSL og kodesigneringscertifikater.
Organisation Unit (OU) snart udfaset i offentlig SSL/TLS certifikater
Ifølge resultatet af afstemningen SC47V2, Certificate Authority/Browser (CA/B) Forum har stemt for at udfase feltet Organizational Unit (OU) for offentlig SSL/TLS certifikater, med deadline fastsat til 1. september 2022. CA/B Forum har fastslået, at Organisationsenheden kan fortolkes meget forskelligt i enhver virksomhed, og det giver derfor problemer for en Certificate Authority, når det kommer til at autentificere den ved hjælp af eksterne ressourcer. Fjernelse af OU-feltet forhindrer usikre oplysninger i at blive inkluderet i SSL/TLS certifikat og forbedrer valideringsprocessen. Vi hos SSL.com ønsker at sikre, at overgangen til denne nye regel bliver problemfri for vores kunder. I de følgende måneder vil vi udsende påmindelser og opdateringer om fristen den 1. september.Nye krav til nøgleopbevaring for OV- og IV-kodesigneringscertifikater
Fra den 1. juni 2023 i overensstemmelse med CA/Browser Forum's nye krav til nøgleopbevaring for at øge sikkerheden for kodesigneringscertifikater udstedes SSL.com's organisationsvalidering (OV) og individuel validering (IV) kodesigneringscertifikater kun enten på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller gennem vores eSigner cloud-kodesigneringstjeneste.Kæmpe nedetid for podcast forårsaget af, at Spotify ikke kunne forny deres SSL-certifikat
Og nu til nogle nyhedsklip, der involverer digitale certifikater. Først og fremmest skabte Spotify overskrifter, da en podcast-platform, den ejer, oplevede en betydelig nedetid. På grund af et udløbet SSL-certifikat kunne Megaphones podcastlyttere ikke få adgang til mange af deres shows i otte timer. I en erklæring bekræftede Spotify-talsmand Erin Styles årsagen til hændelsen: "Megaphone oplevede en platformafbrydelse på grund af et problem relateret til vores SSL-certifikat. Under strømafbrydelsen kunne klienter ikke få adgang til Megaphone CMS, og podcastlyttere var ikke i stand til at downloade podcast-episoder fra Megaphone-hostede udgivere." Megaphone erhvervede et toårigt SSL-certifikat i maj 2020, og i december samme år blev virksomheden købt af Spotify. Dette ejerskifte kunne have bidraget til et tilsyn med sikkerhedsstyringen af Megaphones hjemmeside. En podcaster bemærkede at fejlen kan have forårsaget podcast-udgivere tusindvis af downloads, fordi de ikke kunne uploade deres indhold i otte timer. Det er ikke første gang, at en stor virksomhed har glemt at forny sit SSL-certifikat. I april 2015 Instagram's udløbne SSL-certifikat resulterede i, at dets brugere fik sikkerhedsadvarsler. Hvis vi kombinerer omkostningerne ved, at kunder bliver berørt, og de alvorlige sikkerhedsrisici, der følger med et udløbet certifikat, står virksomhederne til at tabe meget med denne simple fejl. Ifølge Maria Korolov af CSO, "den gennemsnitlige globale 5,000 virksomhed bruger omkring 15 millioner dollars på at komme sig over tabet af forretning på grund af et certifikatudfald - og står over for yderligere 25 millioner dollars i potentiel indvirkning på overholdelse."SSL.com's Takeaway: Sagen om Megaphone demonstrerer den udfordring, som store organisationer står over for, når det kommer til effektivt at kunne administrere deres SSL-certifikatfornyelser på egen hånd. Store virksomheder beskæftiger sig med en masse drift og it-ledelse er simpelthen ikke deres stærke side. Dette er grunden til, at vi har indgået partnerskab med Venafi – en global leder, når det kommer til automatiseret styring af digitale certifikater. Med SSL.com Adaptable Driver til Venafi er det nu nemmere end nogensinde for virksomheder at automatisere certifikatforsyning, holde styr på udløb og tilbagekaldelser, beskytte klientadgang og nemt administrere krypteringstjenester. Gå over til vores artikel for at læse de fulde integrationsfunktioner i vores tilpasningsdygtige driver, samt hvordan man downloader den. Derudover, fordi et af vores primære mål er at fremme udbredt webstedssikkerhed, tilbyder vi også det populære Automated Certificate Management Environment (ACME) til SSL/TLS Certifikatautomatisering. Som en veldokumenteret, åben standard med mange tilgængelige klientimplementeringer er ACME bredt udbredt som en automatiseringsløsning for virksomhedscertifikater. Vi er glade for at kunne sige, at vores kunder udnytter denne protokol til nemt at automatisere SSL/TLS udstedelse og fornyelse af webstedscertifikater og beskytte deres websteder rettidigt. Brug lidt tid på at læse fulde fordele ved SSL.com ACME.
SSL.com tilbyder en bred vifte af SSL /TLS servercertifikater til HTTPS-websteder.
Tor-skjult websted opdagede at tilbyde billige og tilpasselige malware-pakker
Eternity Project, et websted skjult i Tor, er blevet afsløret for at sælge malware-bundter, herunder stjælere, orme, minearbejdere og løsepenge for en årlig rate så lav som $260. Den bekvemme adgang til malware leveret af Eternity giver anledning til bekymring, da den falder sammen med de stigende tilfælde af phishing, DDoS og ransomware-angreb i de seneste år. I april sidste år, Sikkerhed opdagede en ny phishing-as-a-service kaldet Frappo, som blev brugt til at producere yderst lumske phishing-sider til store netbankwebsteder, e-handelssider og velkendte detailmærker. Udviklerne af Frappo er gået i et sådant omfang, at de har ydet teknisk support og opdateringer, hvor deres seneste mål er Uber og 20 finansielle institutioner. Jeff Burt fra Registret forklarer, hvordan den let tilgængelige malware, der sælges af Eternity, mangedobler de risici, som virksomheder og organisationer står over for: "Med malware-as-a-service har programmøren forskellige muligheder for at tjene penge på deres arbejde. De kan selv bruge deres malware til at skaffe dårligt opnåede gevinster; indbringe kontanter ved at lease eller sælge koden; og opkræve betaling for support og relaterede tjenester. Samtidig kan skurke, der ikke har evnerne eller tiden til at udvikle deres egen ondsindede kode, simpelthen købe den af en anden."SSL.com's Takeaway: Malware-baserede angreb koster virksomheder verden over milliarder af dollars hvert år, og det frarådes i stigende grad at betale cyberkriminelle, fordi beviser viser, at der ikke er nogen sikkerhed for, at de vil være tro mod deres ord, når de først er betalt. Ondsindede aktører bliver dristigere og mindre bange for at målrette mod store organisationer og virksomheder. Mere end nogensinde bør du forbedre dit cybersikkerhedsforsvar. Hvis du er en udvikler/udgiver eller en virksomhedsejer, og du søger at beskytte dine softwareaktiver mod malware-baserede angreb, kan du se på funktionerne i vores EV-kodesigneringscertifikater som kraftigt forhindrer manipulation af applikationer og programmer. Hvis du ønsker at forsvare dine e-mail-konti mod phishing-angreb og forhindre uautoriseret adgang til dine kritiske systemer, kan du også tage et kig på vores Personlig Pro-e-mail og ClientAuth-certifikat.
Brugere kan signere kode med eSigners skybaserede Extended Validation Code Signing evne. Klik nedenfor for mere info.
Singapore erstatter papirbaserede fødsels- og dødsattester med digitalt kodede elektroniske dokumenter
Fra den 29. maj sidste år stoppede Singapore med at udstede fysiske fødsels- og dødsattester til sine borgere til fordel for digitale kopier til disse dokumenter. Dette medførte også et online-skifte, når det kommer til registrering af fødsler og dødsfald. Singaporeanere skulle tidligere registrere en fødselsattest på hospitalet eller hos Immigration and Checkpoints Authority (ICA). Ifølge Singapores ICA er denne ændring en del af deres regerings mandat til at digitalisere offentlige tjenester. Nu hvor fødsels- og dødsattester kan registreres, downloades og gemmes på stationære computere eller mobiltelefoner, finder Singapores indbyggere det mere bekvemt at håndtere processen. Fra den 30. maj kl. 6 Singaporean Standard Time var ICA i stand til at frigive 219 digitale fødselsattester, hvilket var det dobbelte af det daglige gennemsnit for fysiske fødselsattester. Hvis denne tendens fortsætter, forventes de digitale attester, der kan behandles hvert år, at gå ud over det seneste femårige årlige gennemsnit for fysiske fødselsattester, som var 39,100. Denne store ændring ses som en strategi til at give bedre validerings- og autentificeringsprocesser for disse vigtige dokumenter. Ifølge ICA kan statslige myndigheder og private enheder, såsom brancheforeninger og finansielle institutioner, bruge QR-koder inkluderet på alle digitale certifikater til at verificere deres ægthed. QR-koden vil blive knyttet til et ICA-system, hvor detaljer på det digitale certifikat kan verificeres mod ICAs database.” Digitalisering af fødsels- og dødsattester er en innovativ politik fra Singapores side. Udover at være mere effektive end manuelle processer, er digital registrering og opbevaring sikrere og mere omkostningseffektive. Sammenlignet med papirbaserede dokumenter kan digitale dokumenter ikke blive beskadiget af brand og andre farer og kræver ikke meget fysisk plads for at blive vedligeholdt. Det tilbyder også stærkere validerings- og autentificeringsfunktioner, fordi QR-koder placeret på fødsels- og dødsattester er digitale koder, der mere effektivt beskytter disse mod manipulation i modsætning til håndskrevne signaturer.SSL.com's Takeaway: QR-kodesystemet, der bruges af Singapore til dets nye digitale fødsels- og dødsattester, tilbyder lignende fordele som vores digitale dokumentsigneringscertifikater. Ved at bruge industristandard datakryptering, SSL.com's dokumentsigneringscertifikater kan digitalt underskrive elektroniske dokumenter for at bevise, hvem der er ejeren af dokumenterne og sikre, at disse ikke er blevet ændret, siden de blev underskrevet. Vores doc-signeringscertifikater opfylder den amerikanske føderale ESIGN-lov og lovene i mange andre nationer, hvilket gør dem juridisk acceptable verdensplan. Derudover kan vores dokumentsigneringscertifikater tilmeldes vores eSigner skysigneringstjeneste som giver vores brugere mulighed for sikkert at underskrive deres dokumenter fra enhver internetforbundet device. Den digitale revolution implementeret af Singapore for sine offentlige registre validerer den langsigtede vision for SSL.com, når det kommer til at slå til lyd for digital-baserede transaktioner, datalagring og administration af kritiske aktiver. Gå over til vores PKI og digitale certifikater til regeringen artikel for at lære mere om, hvordan vi hjælper statslige institutioner med at styrke deres cybersikkerhed.
Tjek SSL.com's Virksomhedsidentitetscertifikater som tilbyder dokumentsignering, e-mailsikkerhed og klientgodkendelse.
