Von Anfang an bis Ende Mai haben sich viele berichtenswerte Cybersicherheitsereignisse ereignet. Aber bevor wir diese besprechen, werden wir diesen Newsletter mit zwei neuen wichtigen Richtlinienänderungen eröffnen, die vom Forum der Zertifizierungsstelle/Browser (CA/B) für SSL- und Codesignaturzertifikate vorgenommen wurden.
Organization Unit (OU) bald veraltet in öffentlichem SSL/TLS Zertifikate
Laut Abstimmungsergebnis SC47V2, hat das Forum für Zertifizierungsstellen/Browser (CA/B) dafür gestimmt, das Feld Organisationseinheit (OU) für öffentliches SSL/TLS Zertifikate mit der Frist bis zum 1. September 2022. Das CA/B-Forum hat festgestellt, dass die Organizational Unit in jedem Unternehmen sehr unterschiedlich interpretiert werden kann und daher für eine Zertifizierungsstelle Probleme bei der Authentifizierung durch externe Ressourcen darstellt. Das Entfernen des OU-Felds verhindert, dass unsichere Informationen in die SSL/TLS Zertifikat und verbessert den Validierungsprozess. Wir bei SSL.com möchten sicherstellen, dass der Übergang zu dieser neuen Regel für unsere Kunden reibungslos verläuft. In den folgenden Monaten werden wir Erinnerungen und Updates bezüglich der Deadline am 1. September versenden.Neue Schlüsselspeicheranforderungen für OV- und IV-Code Signing-Zertifikate
Ab dem 1. Juni 2023 in Übereinstimmung mit den CA/Browser-Foren neue Schlüsselspeicheranforderungen Um die Sicherheit für Code Signing-Zertifikate zu erhöhen, werden Code Signing-Zertifikate von SSL.com mit Organization Validation (OV) und Individual Validation (IV) nur entweder auf USB-Token gemäß Federal Information Processing Standard 140-2 (FIPS 140-2) oder über unseren eSigner ausgestellt Cloud-Codesignaturdienst.eSigner bietet sichere Cloud-Code-Signierung ohne zusätzliche Hardware.
Erfahren Sie mehr über eSigner
Riesige Podcast-Ausfallzeit, die dadurch verursacht wurde, dass Spotify sein SSL-Zertifikat nicht erneuert hat
Und nun zu einigen Nachrichtenclips über digitale Zertifikate. Zunächst einmal machte Spotify Schlagzeilen, als eine Podcast-Plattform, die es besitzt, eine erhebliche Ausfallzeit hatte. Aufgrund eines abgelaufenen SSL-Zertifikats konnten die Podcast-Hörer von Megaphone acht Stunden lang nicht auf viele ihrer Sendungen zugreifen. In einer Erklärung bestätigte Spotify-Sprecherin Erin Styles die Ursache des Vorfalls: „Bei Megaphone kam es aufgrund eines Problems im Zusammenhang mit unserem SSL-Zertifikat zu einem Plattformausfall. Während des Ausfalls konnten Kunden nicht auf das Megaphone-CMS zugreifen und Podcast-Hörer konnten keine Podcast-Episoden von Megaphone-gehosteten Herausgebern herunterladen.“ Megaphone erwarb im Mai 2020 ein zweijähriges SSL-Zertifikat und im Dezember desselben Jahres wurde das Unternehmen von Spotify gekauft. Dieser Eigentümerwechsel könnte zu einem Versehen des Sicherheitsmanagements der Website von Megaphone beigetragen haben. Ein Podcaster bemerkt dass die Panne den Herausgebern von Podcast-Shows Tausende von Downloads verursacht haben könnte, weil sie ihre Inhalte acht Stunden lang nicht hochladen konnten. Dies ist nicht das erste Mal, dass ein großes Unternehmen vergessen hat, sein SSL-Zertifikat zu erneuern. Im April 2015, InstagramDas abgelaufene SSL-Zertifikat von führte dazu, dass seine Benutzer Sicherheitswarnungen erhielten. Wenn wir die Kosten der betroffenen Kunden und die schwerwiegenden Sicherheitsrisiken, die mit einem abgelaufenen Zertifikat einhergehen, kombinieren, können Unternehmen mit diesem einfachen Fehler viel verlieren. Laut Maria Korolov von CSO, „das durchschnittliche globale 5,000-Unternehmen gibt etwa 15 Millionen US-Dollar aus, um sich von dem Geschäftsverlust aufgrund eines Zertifikatsausfalls zu erholen – und sieht sich weiteren 25 Millionen US-Dollar an potenziellen Auswirkungen auf die Compliance gegenüber.“Fazit von SSL.com: Der Fall von Megaphone zeigt die Herausforderung, vor der große Organisationen stehen, wenn es darum geht, die Erneuerung ihrer SSL-Zertifikate selbst effektiv zu verwalten. Große Unternehmen beschäftigen sich mit vielen Vorgängen und das IT-Management ist einfach nicht ihre Stärke. Aus diesem Grund sind wir eine Partnerschaft mit Venafi eingegangen – einem weltweit führenden Unternehmen im Bereich der automatisierten Verwaltung digitaler Zertifikate. Mit dem anpassbaren SSL.com-Treiber für Venafi ist es für Unternehmen jetzt einfacher denn je, die Bereitstellung von Zertifikaten zu automatisieren, Ablauf und Sperrung zu überwachen, den Client-Zugriff zu schützen und Verschlüsselungsdienste einfach zu verwalten. Gehen Sie zu unserem Artikel um die vollständigen Integrationsfunktionen unseres anpassbaren Treibers zu lesen und ihn herunterzuladen. Da eines unserer Hauptziele die Förderung einer weit verbreiteten Website-Sicherheit ist, bieten wir außerdem die beliebte Automated Certificate Management Environment (ACME) für SSL/TLS Zertifikatsautomatisierung. Als gut dokumentierter, offener Standard mit vielen verfügbaren Client-Implementierungen wird ACME weithin als Lösung zur Automatisierung von Unternehmenszertifikaten angenommen. Wir freuen uns, sagen zu können, dass unsere Kunden dieses Protokoll nutzen, um SSL/TLS Website-Zertifikatsausstellung und -erneuerung und schützen ihre Websites rechtzeitig. Nehmen Sie sich etwas Zeit zum Lesen volle Vorteile von SSL.com ACME.
SSL.com bietet eine Vielzahl von SSL /TLS Serverzertifikate für HTTPS-Websites.
Tor-versteckte Website, die entdeckt wurde, dass sie günstige und anpassbare Malware-Pakete anbietet
Eternity Project, eine in Tor verborgene Website, verkauft Malware-Bundles, darunter Stealer, Würmer, Miner und Ransomware, zu einem Jahrespreis von nur 260 US-Dollar. Der bequeme Zugriff auf Malware, der von Eternity bereitgestellt wird, gibt Anlass zur Sorge, da er mit den zunehmenden Fällen von Phishing-, DDoS- und Ransomware-Angriffen in den letzten Jahren zusammenfällt. Erst im vergangenen April Sicherheit entdeckte einen neuen Phishing-as-a-Service namens Frappo, der verwendet wurde, um äußerst hinterhältige Phishing-Seiten für große Online-Banking-Websites, E-Commerce-Websites und bekannte Einzelhandelsmarken zu erstellen. Die Entwickler von Frappo sind so weit gegangen, technischen Support und Updates bereitzustellen, wobei ihre jüngsten Ziele Uber und 20 Finanzinstitute waren. Jeff Burt von Das Register erklärt, wie die leicht zugängliche Malware, die von Eternity verkauft wird, die Risiken vervielfacht, denen Unternehmen und Organisationen ausgesetzt sind: „Mit Malware-as-a-Service hat der Programmierer verschiedene Möglichkeiten, mit seiner Arbeit Geld zu verdienen. Sie können ihre Malware selbst verwenden, um unrechtmäßig erlangte Gewinne einzusacken; Bargeld durch Leasing oder Verkauf des Codes einbringen; und Gebühr für Support und damit verbundene Dienstleistungen. Gleichzeitig können Gauner, die nicht die Fähigkeiten oder die Zeit haben, ihren eigenen bösartigen Code zu entwickeln, ihn einfach von jemand anderem kaufen.“Fazit von SSL.com: Malware-basierte Angriffe kosten Unternehmen weltweit jedes Jahr Milliarden von Dollar, und es wird zunehmend davon abgeraten, Cyberkriminelle zu bezahlen, da Beweise zeigen, dass es keine Garantie dafür gibt, dass sie zu ihren Worten stehen, sobald sie bezahlt werden. Böswillige Akteure werden mutiger und haben weniger Angst davor, große Organisationen und Unternehmen anzugreifen. Mehr denn je sollten Sie Ihre Cybersicherheitsabwehr verbessern. Wenn Sie ein Entwickler/Herausgeber oder ein Firmeninhaber sind und Ihre Software-Assets vor Malware-basierten Angriffen schützen möchten, können Sie sich die Funktionen unserer ansehen EV Code Signing-Zertifikate die eine Manipulation von Anwendungen und Programmen stark verhindern. Wenn Sie Ihre E-Mail-Konten vor Phishing-Angriffen schützen und unbefugten Zugriff auf Ihre kritischen Systeme verhindern möchten, können Sie auch einen Blick auf unsere werfen Persönliche Pro-E-Mail und ClientAuth-Zertifikat.
Benutzer können Code mit signieren eSigners Cloud-basierte Extended Validation Code Signing Fähigkeit. Klicken Sie unten für weitere Informationen.
Singapur ersetzt papierbasierte Geburts- und Sterbeurkunden durch digital verschlüsselte elektronische Dokumente
Ab dem 29. Mai hat Singapur die Ausstellung physischer Geburts- und Sterbeurkunden für seine Bürger zugunsten digitaler Kopien dieser Dokumente eingestellt. Damit verbunden war auch eine Online-Verlagerung bei der Registrierung von Geburten und Todesfällen. Früher mussten Singapurer eine Geburtsurkunde im Krankenhaus oder bei der Immigration and Checkpoints Authority (ICA) registrieren. Laut Singapurs ICA ist diese Änderung Teil des Mandats ihrer Regierung, öffentliche Dienstleistungen zu digitalisieren. Jetzt, da Geburts- und Sterbeurkunden registriert, heruntergeladen und auf Desktop-Computern oder Mobiltelefonen gespeichert werden können, finden es die Einwohner Singapurs bequemer, mit dem Prozess umzugehen. Am 30. Mai um 6:219 Uhr singapurischer Standardzeit konnte ICA 39,100 digitale Geburtsurkunden herausgeben, was doppelt so hoch war wie der tägliche Durchschnitt für physische Geburtsurkunden. Wenn sich dieser Trend fortsetzt, wird erwartet, dass die Zahl der jährlich zu verarbeitenden digitalen Urkunden den vergangenen fünfjährigen Jahresdurchschnitt für physische Geburtsurkunden von XNUMX übersteigen wird. Diese große Änderung wird als Strategie zur Bereitstellung besserer Validierungs- und Authentifizierungsprozesse für diese wichtigen Dokumente angesehen. Laut ICA „können Regierungsbehörden und private Einrichtungen wie Branchenverbände und Finanzinstitute QR-Codes verwenden, die auf allen digitalen Zertifikaten enthalten sind, um ihre Authentizität zu überprüfen. Der QR-Code wird mit einem ICA-System verknüpft, wo Details zum digitalen Zertifikat mit der ICA-Datenbank abgeglichen werden können.“ Die Digitalisierung von Geburts- und Sterbeurkunden ist eine innovative Politik seitens Singapurs. Die digitale Registrierung und Speicherung ist nicht nur effizienter als manuelle Prozesse, sondern auch sicherer und kostengünstiger. Im Vergleich zu papierbasierten Dokumenten können digitale Dokumente nicht durch Feuer und andere Gefahren beschädigt werden und benötigen nicht viel physischen Platz zur Pflege. Es bietet auch stärkere Validierungs- und Authentifizierungsfunktionen, da QR-Codes auf Geburts- und Sterbeurkunden digitale Codes sind, die diese im Gegensatz zu handschriftlichen Unterschriften wirksamer vor Manipulation schützen.Fazit von SSL.com: Das QR-Code-System, das von Singapur für seine neuen digitalen Geburts- und Sterbeurkunden verwendet wird, bietet ähnliche Vorteile wie unsere digitalen Zertifikate zum Signieren von Dokumenten. Mit branchenüblicher Datenverschlüsselung, Zertifikate zum Signieren von Dokumenten von SSL.com kann elektronische Dokumente digital signieren, um nachzuweisen, wer der Eigentümer der Dokumente ist, und sicherstellen, dass diese seit der Signierung nicht verändert wurden. Unsere Dokumentensignaturzertifikate erfüllen den US Federal ESIGN Act und die Gesetze vieler anderer Nationen, wodurch sie rechtlich zulässig sind Das weltweit. Darüber hinaus können unsere Dokumentensignaturzertifikate in unserem registriert werden eSigner-Cloud-Signaturdienst die es unseren Benutzern ermöglicht, ihre Dokumente von jedem mit dem Internet verbundenen dGerät. Die digitale Revolution, die Singapur für seine öffentlichen Aufzeichnungen implementiert hat, bestätigt die langfristige Vision von SSL.com, wenn es darum geht, sich für digitalbasierte Transaktionen, Datenspeicherung und Verwaltung kritischer Vermögenswerte einzusetzen. Geh rüber zu unserem PKI und digitale Zertifikate für die Regierung Artikel, um mehr darüber zu erfahren, wie wir Regierungsinstitutionen dabei helfen, ihre Cybersicherheit zu stärken.
Sehen Sie sich SSL.com an Identitätszertifikate für Unternehmen die Dokumentensignierung, E-Mail-Sicherheit und Client-Authentifizierung bieten.
ERFAHREN SIE MEHR ÜBER DAS SIGNIEREN VON DOKUMENTEN
