Πολλά συμβάντα κυβερνοασφάλειας με αξιοσημείωτα είδηση έχουν συμβεί από την αρχή μέχρι τα τέλη Μαΐου. Ωστόσο, προτού τα συζητήσουμε, θα ανοίξουμε αυτό το ενημερωτικό δελτίο με δύο νέες σημαντικές αλλαγές πολιτικής που πραγματοποιήθηκαν από το Φόρουμ της Αρχής Πιστοποιητικών/Προγραμματιστή (CA/B) για πιστοποιητικά SSL και υπογραφής κώδικα.
Οργανωτική Μονάδα (OU) σύντομα θα καταργηθεί σε δημόσιο SSL/TLS πιστοποιητικά
Σύμφωνα με τα αποτελέσματα της ψηφοφορίας SC47V2, το Φόρουμ Αρχή Πιστοποιητικών/Πρόγραμμα περιήγησης (CA/B) ψήφισε την κατάργηση του πεδίου Οργανωτική Μονάδα (OU) για δημόσιο SSL/TLS πιστοποιητικά, με καταληκτική ημερομηνία την 1η Σεπτεμβρίου 2022. Το Φόρουμ CA/B έχει καθορίσει ότι η Οργανωτική Μονάδα μπορεί να ερμηνευτεί πολύ διαφορετικά σε κάθε εταιρεία, και ως εκ τούτου δημιουργεί προβλήματα για μια Αρχή Πιστοποιητικών όταν πρόκειται για τον έλεγχο γνησιότητάς της χρησιμοποιώντας εξωτερικούς πόρους. Η κατάργηση του πεδίου OU αποτρέπει τη συμπερίληψη αβέβαιων πληροφοριών στο SSL/TLS πιστοποιητικό και βελτιώνει τη διαδικασία επικύρωσης. Εμείς στο SSL.com θέλουμε να διασφαλίσουμε ότι η μετάβαση σε αυτόν τον νέο κανόνα θα είναι ομαλή για τους πελάτες μας. Τους επόμενους μήνες, θα στείλουμε υπενθυμίσεις και ενημερώσεις σχετικά με την προθεσμία της 1ης Σεπτεμβρίου.Νέες απαιτήσεις αποθήκευσης κλειδιών για Πιστοποιητικά υπογραφής κωδικών OV και IV
Από την 1η Ιουνίου 2023, σε συμμόρφωση με το φόρουμ CA/Browser νέες απαιτήσεις αποθήκευσης κλειδιών για να αυξηθεί η ασφάλεια των πιστοποιητικών υπογραφής κώδικα, τα πιστοποιητικά υπογραφής κώδικα του Οργανισμού Επικύρωσης (OV) και Ατομικής Επικύρωσης (IV) του SSL.com θα εκδίδονται μόνο είτε στα κουπόνια USB του Federal Information Processing Standard 140-2 (FIPS 140-2) είτε μέσω του eSigner μας υπηρεσία υπογραφής κώδικα cloud.Το eSigner παρέχει ασφαλή υπογραφή κώδικα cloud χωρίς να απαιτείται πρόσθετο υλικό.
Μάθετε περισσότερα για το eSigner
Τεράστια διακοπή λειτουργίας podcast που προκαλείται από την αποτυχία του Spotify να ανανεώσει το πιστοποιητικό SSL του
Και τώρα, σε μερικά αποσπάσματα ειδήσεων που αφορούν ψηφιακά πιστοποιητικά. Πρώτα απ 'όλα, το Spotify έγινε πρωτοσέλιδο όταν μια πλατφόρμα podcast που κατέχει γνώρισε σημαντικό χρόνο εκτός λειτουργίας. Λόγω ενός ληγμένου πιστοποιητικού SSL, οι ακροατές podcast του Megaphone δεν μπορούσαν να έχουν πρόσβαση σε πολλές εκπομπές τους για οκτώ ώρες. Σε μια δήλωση, η εκπρόσωπος του Spotify, Erin Styles, επιβεβαίωσε την αιτία του συμβάντος: «Το Megaphone παρουσίασε διακοπή της πλατφόρμας λόγω ενός προβλήματος που σχετίζεται με το πιστοποιητικό SSL μας. Κατά τη διάρκεια της διακοπής λειτουργίας, οι πελάτες δεν μπορούσαν να έχουν πρόσβαση στο Megaphone CMS και οι ακροατές podcast δεν μπορούσαν να κατεβάσουν επεισόδια podcast από εκδότες που φιλοξενούνται στο Megaphone." Η Megaphone απέκτησε διετές πιστοποιητικό SSL τον Μάιο του 2020 και τον Δεκέμβριο του ίδιου έτους, η εταιρεία αγοράστηκε από το Spotify. Αυτή η αλλαγή ιδιοκτησίας θα μπορούσε να έχει συμβάλει σε μια παράβλεψη της διαχείρισης ασφάλειας του ιστότοπου της Megaphone. Ένα podcaster παρατήρησε ότι το σφάλμα μπορεί να είχε προκαλέσει στους εκδότες podcast χιλιάδες λήψεις επειδή δεν μπορούσαν να ανεβάσουν το περιεχόμενό τους για οκτώ ώρες. Δεν είναι η πρώτη φορά που μια μεγάλη εταιρεία ξέχασε να ανανεώσει το πιστοποιητικό SSL της. Τον Απρίλιο του 2015, InstagramΤο ληγμένο πιστοποιητικό SSL είχε ως αποτέλεσμα οι χρήστες του να λαμβάνουν προειδοποιήσεις ασφαλείας. Αν συνδυάσουμε το κόστος των πελατών που επηρεάζονται και τους σοβαρούς κινδύνους ασφαλείας που συνοδεύουν ένα ληγμένο πιστοποιητικό, οι εταιρείες θα χάσουν πολλά με αυτό το απλό λάθος. Σύμφωνα με τη Μαρία Κορόλοφ του CSO, «η μέση παγκόσμια εταιρεία των 5,000 δαπανά περίπου 15 εκατομμύρια δολάρια για να ανακάμψει από την απώλεια της επιχείρησης λόγω διακοπής του πιστοποιητικού — και αντιμετωπίζει άλλα 25 εκατομμύρια δολάρια σε πιθανές επιπτώσεις στη συμμόρφωση».Takeaway του SSL.com: Η περίπτωση του Megaphone καταδεικνύει την πρόκληση που αντιμετωπίζουν οι μεγάλοι οργανισμοί όταν πρόκειται να είναι σε θέση να διαχειρίζονται αποτελεσματικά τις ανανεώσεις των πιστοποιητικών SSL μόνοι τους. Οι μεγάλες εταιρείες ασχολούνται με πολλές λειτουργίες και η διαχείριση πληροφορικής απλά δεν είναι το πλεονέκτημά τους. Αυτός είναι ο λόγος για τον οποίο συνεργαστήκαμε με τη Venafi – έναν παγκόσμιο ηγέτη όσον αφορά την αυτοματοποιημένη διαχείριση ψηφιακών πιστοποιητικών. Με το SSL.com Adaptable Driver για Venafi, είναι πλέον ευκολότερο από ποτέ για τις εταιρείες να αυτοματοποιούν την παροχή πιστοποιητικών, να παρακολουθούν τις λήξεις και τις ανακλήσεις, να προστατεύουν την πρόσβαση των πελατών και να διαχειρίζονται εύκολα τις υπηρεσίες κρυπτογράφησης. Κατευθυνθείτε στο δικό μας άρθρο για να διαβάσετε τις πλήρεις δυνατότητες ενσωμάτωσης του προσαρμόσιμου προγράμματος οδήγησης καθώς και τον τρόπο λήψης του. Επιπλέον, επειδή ένας από τους πρωταρχικούς μας στόχους είναι η προώθηση της ευρείας ασφάλειας ιστοτόπων, προσφέρουμε επίσης το δημοφιλές Περιβάλλον Διαχείρισης Αυτοματοποιημένων Πιστοποιητικών (ACME) για SSL/TLS Αυτοματισμός Πιστοποιητικού. Ως ένα καλά τεκμηριωμένο, ανοιχτό πρότυπο με πολλές διαθέσιμες υλοποιήσεις πελατών, το ACME υιοθετείται ευρέως ως λύση αυτοματισμού εταιρικών πιστοποιητικών. Είμαστε στην ευχάριστη θέση να πούμε ότι οι πελάτες μας εκμεταλλεύονται αυτό το πρωτόκολλο για να αυτοματοποιήσουν εύκολα το SSL/TLS έκδοση πιστοποιητικού ιστότοπου και ανανέωση και προστασία των ιστοσελίδων τους έγκαιρα. Αφιερώστε λίγο χρόνο για να διαβάσετε το πλήρη πλεονεκτήματα του SSL.com ACME.
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS.
Ανακαλύφθηκε ότι ο ιστότοπος κρυμμένος με Tor προσφέρει φθηνά και προσαρμόσιμα πακέτα κακόβουλου λογισμικού
Το Eternity Project, ένας ιστότοπος που κρύβεται στο Tor, αποκαλύφθηκε ότι πουλά πακέτα κακόβουλου λογισμικού, συμπεριλαμβανομένων κλέφτες, σκουλήκια, εξορύκτες και ransomware για ετήσιο επιτόκιο που φτάνει τα 260 $. Η εύκολη πρόσβαση σε κακόβουλο λογισμικό που παρέχεται από το Eternity προκαλεί ανησυχία, καθώς συμπίπτει με τις αυξανόμενες περιπτώσεις επιθέσεων phishing, DDoS και ransomware τα τελευταία χρόνια. Μόλις τον περασμένο Απρίλιο, Ασφάλεια ανακάλυψε ένα νέο Phishing-as-a-Service με το όνομα Frappo, το οποίο χρησιμοποιήθηκε για την παραγωγή εξαιρετικά δόλιων σελίδων phishing για μεγάλους διαδικτυακούς ιστότοπους τραπεζικών συναλλαγών, ιστότοπους ηλεκτρονικού εμπορίου και γνωστές μάρκες λιανικής. Οι προγραμματιστές του Frappo έχουν φτάσει σε τέτοιο βαθμό ώστε να παρέχουν τεχνική υποστήριξη και ενημερώσεις, με πιο πρόσφατους στόχους τους την Uber και 20 χρηματοπιστωτικά ιδρύματα. Τζεφ Μπερτ του Το μητρώο εξηγεί πώς το εύκολα προσβάσιμο κακόβουλο λογισμικό που πωλείται από το Eternity πολλαπλασιάζει τους κινδύνους που αντιμετωπίζουν οι επιχειρήσεις και οι οργανισμοί: «Με το κακόβουλο λογισμικό ως υπηρεσία, ο προγραμματιστής έχει διάφορες ευκαιρίες να κερδίσει χρήματα από τη δουλειά του. Μπορούν να χρησιμοποιήσουν οι ίδιοι το κακόβουλο λογισμικό τους για να αποσπάσουν παράνομα κέρδη. να φέρει σε μετρητά με μίσθωση ή πώληση του κωδικού. και χρέωση για υποστήριξη και σχετικές υπηρεσίες. Ταυτόχρονα, οι απατεώνες που δεν έχουν τις δεξιότητες ή τον χρόνο να αναπτύξουν τον δικό τους κακόβουλο κώδικα μπορούν απλά να τον αγοράσουν από κάποιον άλλο».Takeaway του SSL.com: Οι επιθέσεις που βασίζονται σε κακόβουλο λογισμικό κοστίζουν στις εταιρείες σε όλο τον κόσμο δισεκατομμύρια δολάρια κάθε χρόνο και η πληρωμή των εγκληματιών στον κυβερνοχώρο αποθαρρύνεται όλο και περισσότερο επειδή τα στοιχεία δείχνουν ότι δεν υπάρχει καμία διασφάλιση ότι θα είναι πιστοί στα λόγια τους μόλις πληρωθούν. Οι κακόβουλοι παράγοντες γίνονται όλο και πιο τολμηροί και φοβούνται λιγότερο να στοχοποιήσουν μεγάλους οργανισμούς και επιχειρήσεις. Περισσότερο από ποτέ, θα πρέπει να βελτιώσετε την άμυνα στον κυβερνοχώρο. Εάν είστε προγραμματιστής/εκδότης ή ιδιοκτήτης εταιρείας και επιδιώκετε να προστατεύσετε τα στοιχεία του λογισμικού σας από επιθέσεις που βασίζονται σε κακόβουλο λογισμικό, μπορείτε να δείτε τις δυνατότητες του Πιστοποιητικά υπογραφής κωδικού EV που αποτρέπουν έντονα την παραβίαση εφαρμογών και προγραμμάτων. Εάν θέλετε να υπερασπιστείτε τους λογαριασμούς email σας από επιθέσεις phishing και να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση στα κρίσιμα συστήματά σας, μπορείτε επίσης να ρίξετε μια ματιά στο Προσωπικό email Pro και πιστοποιητικό ClientAuth.
Οι χρήστες μπορούν να υπογράψουν κώδικα με Υπογραφή εκτεταμένου κώδικα επικύρωσης που βασίζεται σε σύννεφο του eSigner ικανότητα. Κάντε κλικ παρακάτω για περισσότερες πληροφορίες.
Η Σιγκαπούρη αντικαθιστά τα έντυπα πιστοποιητικά γέννησης και θανάτου με ψηφιακά κωδικοποιημένα ηλεκτρονικά έγγραφα
Από τον περασμένο Μάιο, στις 29 Μαΐου, η Σιγκαπούρη σταμάτησε να εκδίδει φυσικά πιστοποιητικά γέννησης και θανάτου για τους πολίτες της υπέρ των ψηφιακών αντιγράφων για αυτά τα έγγραφα. Αυτό συνεπαγόταν επίσης μια διαδικτυακή αλλαγή όσον αφορά την καταγραφή γεννήσεων και θανάτων. Οι κάτοικοι της Σιγκαπούρης έπρεπε προηγουμένως να δηλώσουν πιστοποιητικό γέννησης στο νοσοκομείο ή στην Αρχή Μετανάστευσης και Σημείων Ελέγχου (ICA). Σύμφωνα με την ICA της Σιγκαπούρης, αυτή η αλλαγή αποτελεί μέρος της εντολής της κυβέρνησής τους να ψηφιοποιήσει τις δημόσιες υπηρεσίες. Τώρα που τα πιστοποιητικά γέννησης και θανάτου μπορούν να καταχωρηθούν, να ληφθούν και να αποθηκευτούν σε επιτραπέζιους υπολογιστές ή κινητά τηλέφωνα, οι κάτοικοι της Σιγκαπούρης θεωρούν ότι είναι πιο βολικό να αντιμετωπίσουν τη διαδικασία. Από τις 30 Μαΐου, στις 6 μ.μ. Τυπική ώρα Σιγκαπούρης, η ICA ήταν σε θέση να εκδώσει 219 ψηφιακά πιστοποιητικά γέννησης, τα οποία ήταν διπλάσια από αυτόν του ημερήσιου μέσου όρου για τα φυσικά πιστοποιητικά γέννησης. Εάν συνεχιστεί αυτή η τάση, τα ψηφιακά πιστοποιητικά που μπορούν να υποβάλλονται σε επεξεργασία κάθε χρόνο αναμένεται να υπερβούν τον ετήσιο μέσο όρο της τελευταίας πενταετίας για τα φυσικά πιστοποιητικά γέννησης που ήταν 39,100. Αυτή η σημαντική αλλαγή θεωρείται ως μια στρατηγική για την παροχή καλύτερων διαδικασιών επικύρωσης και ελέγχου ταυτότητας για αυτά τα σημαντικά έγγραφα. Σύμφωνα με την ICA, «Κρατικοί φορείς και ιδιωτικοί φορείς, όπως ενώσεις του κλάδου και χρηματοπιστωτικά ιδρύματα, μπορούν να χρησιμοποιούν κωδικούς QR που περιλαμβάνονται σε όλα τα ψηφιακά πιστοποιητικά για να επαληθεύσουν τη γνησιότητά τους. Ο κωδικός QR θα συνδεθεί με ένα σύστημα ICA όπου οι λεπτομέρειες σχετικά με το ψηφιακό πιστοποιητικό μπορούν να επαληθευτούν με βάση τη βάση δεδομένων της ICA.» Η ψηφιοποίηση των πιστοποιητικών γέννησης και θανάτου είναι μια καινοτόμος πολιτική εκ μέρους της Σιγκαπούρης. Εκτός από το ότι είναι πιο αποτελεσματικές από τις μη αυτόματες διαδικασίες, η ψηφιακή εγγραφή και αποθήκευση είναι ασφαλέστερες και πιο οικονομικά. Σε σύγκριση με έγγραφα που βασίζονται σε χαρτί, τα ψηφιακά έγγραφα δεν μπορούν να καταστραφούν από φωτιά και άλλους κινδύνους και δεν απαιτούν πολύ φυσικό χώρο για να διατηρηθούν. Προσφέρει επίσης ισχυρότερες λειτουργίες επικύρωσης και ελέγχου ταυτότητας, επειδή οι κωδικοί QR που τοποθετούνται στα πιστοποιητικά γέννησης και θανάτου είναι ψηφιακοί κωδικοί που τα προστατεύουν πιο αποτελεσματικά από παραποίηση σε αντίθεση με τις χειρόγραφες υπογραφές.Takeaway του SSL.com: Το σύστημα κωδικών QR που χρησιμοποιείται από τη Σιγκαπούρη για τα νέα ψηφιακά πιστοποιητικά γέννησης και θανάτου προσφέρει παρόμοια οφέλη με τα ψηφιακά πιστοποιητικά υπογραφής εγγράφων. Χρησιμοποιώντας βιομηχανικά πρότυπα κρυπτογράφησης δεδομένων, Πιστοποιητικά υπογραφής εγγράφων του SSL.com μπορεί να υπογράψει ψηφιακά ηλεκτρονικά έγγραφα για να αποδείξει ποιος είναι ο κάτοχος των εγγράφων και να διασφαλίσει ότι αυτά δεν έχουν τροποποιηθεί από τότε που υπογράφηκαν. Τα πιστοποιητικά υπογραφής εγγράφων μας πληρούν τον Ομοσπονδιακό νόμο ESIGN των ΗΠΑ και τους νόμους πολλών άλλων εθνών, καθιστώντας τα νομικά αποδεκτά παγκόσμιος. Επιπλέον, τα πιστοποιητικά υπογραφής εγγράφων μας μπορούν να εγγραφούν στο δικό μας Υπηρεσία υπογραφής cloud eSigner που επιτρέπει στους χρήστες μας να υπογράφουν με ασφάλεια τα έγγραφά τους από οποιοδήποτε συνδεδεμένο στο Διαδίκτυο δκακία. Η ψηφιακή επανάσταση που εφαρμόστηκε από τη Σιγκαπούρη για τα δημόσια αρχεία της επικυρώνει το μακροπρόθεσμο όραμα του SSL.com όσον αφορά την υποστήριξη των ψηφιακών συναλλαγών, της αποθήκευσης δεδομένων και της διαχείρισης κρίσιμων περιουσιακών στοιχείων. Επικεφαλής πάνω μας PKI και Ψηφιακά Πιστοποιητικά για Κυβέρνηση άρθρο για να μάθετε περισσότερα σχετικά με το πώς βοηθάμε τα κυβερνητικά ιδρύματα να ενισχύσουν την ασφάλεια στον κυβερνοχώρο.
Ρίξτε μια ματιά στο SSL.com Πιστοποιητικά Επιχειρηματικής Ταυτότητας που προσφέρουν υπογραφή εγγράφων, ασφάλεια email και έλεγχο ταυτότητας πελάτη.
ΜΑΘΕΤΕ ΠΕΡΙΣΣΟΤΕΡΑ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΥΠΟΓΡΑΦΗ ΕΓΓΡΑΦΟΥ
