Se han producido muchos eventos de ciberseguridad de interés periodístico desde el inicio hasta finales de mayo. Pero antes de discutirlos, abriremos este boletín con dos nuevos cambios de política importantes realizados por el foro de autoridad de certificación/navegador (CA/B) para SSL y certificados de firma de código.
Unidad organizativa (OU) que pronto quedará obsoleta en SSL público/TLS certificados
Según los resultados de la votación SC47V2, el foro de la autoridad de certificación/navegador (CA/B) votó para desaprobar el campo Unidad organizativa (OU) para SSL público/TLS certificados, con fecha límite fijada el 1 de septiembre de 2022. El Foro CA/B ha determinado que la Unidad Organizativa se puede interpretar de manera muy diferente en cada empresa, y por lo tanto plantea problemas a una Autoridad de Certificación a la hora de autenticarla utilizando recursos externos. Eliminar el campo OU evita que se incluya información incierta en el SSL/TLS certificado y mejora el proceso de validación. En SSL.com queremos asegurarnos de que la transición a esta nueva regla sea fluida para nuestros clientes. En los meses siguientes, enviaremos recordatorios y actualizaciones sobre la fecha límite del 1 de septiembre.Nuevos requisitos de almacenamiento de claves para certificados de firma de código OV e IV
A partir del 1 de junio de 2023, de conformidad con CA/Browser Forum nuevos requisitos de almacenamiento de claves Para aumentar la seguridad de los certificados de firma de código, los certificados de firma de código de validación de organización (OV) e individual (IV) de SSL.com solo se emitirán en tokens USB del estándar federal de procesamiento de información 140-2 (FIPS 140-2) o a través de nuestro eSigner servicio de firma de código en la nube.eSigner proporciona una firma de código segura en la nube sin necesidad de hardware adicional.
Enorme tiempo de inactividad de los podcasts causado por Spotify al no renovar su certificado SSL
Y ahora, pasemos a algunos clips de noticias relacionados con los certificados digitales. En primer lugar, Spotify apareció en los titulares cuando una plataforma de podcasts que posee experimentó un tiempo de inactividad significativo. Debido a un certificado SSL caducado, los oyentes de podcasts de Megaphone no pudieron acceder a muchos de sus programas durante ocho horas. En un comunicado, la portavoz de Spotify, Erin Styles, confirmó la causa del incidente: “Megaphone experimentó una interrupción de la plataforma debido a un problema relacionado con nuestro certificado SSL. Durante la interrupción, los clientes no pudieron acceder al CMS de Megaphone y los oyentes de podcasts no pudieron descargar episodios de podcasts de editores alojados en Megaphone”. Megaphone adquirió un certificado SSL de dos años en mayo de 2020 y en diciembre de ese mismo año, Spotify compró la empresa. Este cambio de propiedad podría haber contribuido a un descuido en la gestión de seguridad del sitio web de Megaphone. un podcaster comentó que la falla podría haber causado miles de descargas a los editores de programas de podcasts porque no pudieron cargar su contenido durante ocho horas. No es la primera vez que una gran empresa se olvida de renovar su certificado SSL. En abril de 2015, InstagramEl certificado SSL caducado provocó que sus usuarios recibieran advertencias de seguridad. Si combinamos los costos de los clientes afectados y los graves riesgos de seguridad que conlleva un certificado caducado, las empresas pueden perder mucho con este simple error. Según María Korolov de CSO, “la empresa promedio global 5,000 gasta alrededor de $15 millones para recuperarse de la pérdida de negocios debido a una interrupción del certificado, y enfrenta otros $25 millones en impacto potencial de cumplimiento”.Conclusiones de SSL.com: El caso de Megaphone demuestra el desafío al que se enfrentan las grandes organizaciones cuando se trata de poder gestionar de forma eficaz sus renovaciones de certificados SSL por su cuenta. Las grandes empresas se ocupan de muchas operaciones y la gestión de TI simplemente no es su fuerte. Esta es la razón por la que nos hemos asociado con Venafi, un líder mundial en lo que respecta a la gestión automatizada de certificados digitales. Con el controlador adaptable SSL.com para Venafi, ahora es más fácil que nunca para las empresas automatizar el aprovisionamiento de certificados, mantenerse al día con los vencimientos y revocaciones, proteger el acceso de los clientes y administrar fácilmente los servicios de encriptación. Dirígete a nuestro artículo para leer las funciones de integración completas de nuestro controlador adaptable y cómo descargarlo. Además, debido a que uno de nuestros objetivos principales es promover la seguridad generalizada de los sitios web, también ofrecemos el popular Entorno de administración de certificados automatizado (ACME) para SSL/TLS Automatización de certificados. Como un estándar abierto bien documentado con muchas implementaciones de clientes disponibles, ACME es ampliamente adoptado como una solución de automatización de certificados empresariales. Nos complace decir que nuestros clientes aprovechan este protocolo para automatizar fácilmente SSL/TLS emisión y renovación de certificados de sitios web y proteger sus sitios web de manera oportuna. Tómese un tiempo para leer el todas las ventajas de SSL.com ACME.
SSL.com proporciona una amplia variedad de SSL /TLS certificados de servidor para sitios web HTTPS.
Se descubre que el sitio web oculto de Tor ofrece paquetes de malware baratos y personalizables
Se ha revelado que Eternity Project, un sitio web oculto en Tor, vende paquetes de malware, incluidos ladrones, gusanos, mineros y ransomware por una tasa anual tan baja como $260. El cómodo acceso al malware proporcionado por Eternity es motivo de preocupación, ya que coincide con el aumento de casos de ataques de phishing, DDoS y ransomware en los últimos años. Apenas el pasado mes de abril, Reseguridad descubrió un nuevo Phishing-as-a-Service llamado Frappo que se estaba utilizando para producir páginas de phishing altamente engañosas para grandes sitios web de banca en línea, sitios de comercio electrónico y marcas minoristas conocidas. Los desarrolladores de Frappo han ido tan lejos como para brindar soporte técnico y actualizaciones, y sus objetivos más recientes son Uber y 20 instituciones financieras. Jeff Burt de El registro explica cómo el malware de fácil acceso que vende Eternity multiplica los riesgos que enfrentan las empresas y organizaciones: “Con el malware como servicio, el programador tiene varias oportunidades para ganar dinero con su trabajo. Pueden usar su malware ellos mismos para embolsarse ganancias obtenidas de forma ilícita; traer efectivo alquilando o vendiendo el código; y cobrar por el apoyo y los servicios relacionados. Al mismo tiempo, los delincuentes que no tienen las habilidades o el tiempo para desarrollar su propio código malicioso pueden simplemente comprárselo a otra persona”.Conclusiones de SSL.com: los ataques basados en malware cuestan a las empresas de todo el mundo miles de millones de dólares cada año, y se desalienta cada vez más a los ciberdelincuentes a pagar porque la evidencia muestra que no hay garantía de que sean fieles a sus palabras una vez que se les pague. Los actores maliciosos se están volviendo más audaces y menos temerosos de apuntar a grandes organizaciones y empresas. Más que nunca, debe mejorar sus defensas de ciberseguridad. Si es desarrollador/editor o propietario de una empresa y busca proteger sus activos de software de ataques basados en malware, puede ver las características de nuestro Certificados de firma de código EV que previenen fuertemente la manipulación de aplicaciones y programas. Si desea defender sus cuentas de correo electrónico de los ataques de phishing y evitar el acceso no autorizado a sus sistemas críticos, también puede consultar nuestra Correo electrónico personal Pro y certificado de ClientAuth.
Los usuarios pueden firmar código con Firma de código de validación extendida basada en la nube de eSigner capacidad. Haga click abajo para más información.
Singapur reemplaza los certificados de nacimiento y defunción en papel con documentos electrónicos codificados digitalmente
Desde el pasado 29 de mayo, Singapur dejó de emitir certificados físicos de nacimiento y defunción para sus ciudadanos a favor de copias digitales de estos documentos. Esto también implicó un cambio en línea en lo que respecta al registro de nacimientos y defunciones. Anteriormente, los singapurenses tenían que registrar un certificado de nacimiento en el hospital o en la Autoridad de Inmigración y Puntos de Control (ICA). Según la ICA de Singapur, este cambio es parte del mandato de su gobierno para digitalizar los servicios públicos. Ahora que los certificados de nacimiento y defunción se pueden registrar, descargar y almacenar en computadoras de escritorio o teléfonos móviles, a los residentes de Singapur les resulta más conveniente lidiar con el proceso. A partir del 30 de mayo, a las 6:219 p. m., hora estándar de Singapur, ICA pudo emitir 39,100 certificados de nacimiento digitales, el doble que el promedio diario de certificados de nacimiento físicos. Si esta tendencia continúa, se espera que los certificados digitales que se pueden procesar cada año superen el promedio anual de los últimos cinco años de certificados de nacimiento físicos, que fue de XNUMX. Este importante cambio se considera una estrategia para proporcionar mejores procesos de validación y autenticación para estos importantes documentos. Según ICA, “Las agencias gubernamentales y las entidades privadas, como las asociaciones industriales y las instituciones financieras, pueden usar los códigos QR incluidos en todos los certificados digitales para verificar su autenticidad. El código QR se vinculará a un sistema ICA donde los detalles del certificado digital se pueden verificar con la base de datos de ICA”. La digitalización de los certificados de nacimiento y defunción es una política innovadora por parte de Singapur. Además de ser más eficientes que los procesos manuales, el registro y el almacenamiento digitales son más seguros y rentables. En comparación con los documentos en papel, los documentos digitales no pueden dañarse por el fuego y otros peligros y no requieren mucho espacio físico para su mantenimiento. También ofrece funciones de validación y autenticación más sólidas porque los códigos QR colocados en los certificados de nacimiento y defunción son códigos digitales que los protegen de manera más efectiva contra la manipulación en lugar de las firmas manuscritas.Conclusiones de SSL.com: El sistema de código QR que utiliza Singapur para sus nuevos certificados digitales de nacimiento y defunción ofrece beneficios similares a nuestros certificados digitales de firma de documentos. Utilizando el cifrado de datos estándar de la industria, Certificados de firma de documentos de SSL.com puede firmar digitalmente documentos electrónicos para demostrar quién es el propietario de los documentos y asegurarse de que estos no han sido alterados desde que fueron firmados. Nuestros certificados de firma de documentos cumplen con la Ley Federal ESIGN de EE. UU. y las leyes de muchas otras naciones, lo que los hace legalmente aceptables. en todo el mundo. Además, nuestros certificados de firma de documentos se pueden inscribir en nuestro Servicio de firma en la nube eSigner que permite a nuestros usuarios firmar sus documentos de forma segura desde cualquier dispositivo conectado a Internet.dispositivo La revolución digital implementada por Singapur para sus registros públicos valida la visión a largo plazo de SSL.com cuando se trata de abogar por transacciones digitales, almacenamiento de datos y administración de activos críticos. Dirigirnos a nuestro PKI y certificados digitales para el gobierno artículo para conocer más sobre cómo ayudamos a las instituciones gubernamentales a fortalecer su ciberseguridad.
Echa un vistazo a SSL.com Certificados de Identidad Empresarial que ofrecen firma de documentos, seguridad de correo electrónico y autenticación de clientes.
MÁS INFORMACIÓN SOBRE LA FIRMA DE DOCUMENTOS
