Paljon uutisarvoisia kyberturvallisuustapahtumia on tapahtunut alusta alkaen toukokuun loppuun asti. Mutta ennen kuin keskustelemme niistä, avaamme tämän uutiskirjeen kahdella uudella tärkeällä käytäntömuutoksella, jotka CA/B-foorumi on tehnyt SSL- ja koodiallekirjoitusvarmenteille.
Organisaatioyksikkö (OU) poistuu pian käytöstä julkisessa SSL:ssä/TLS todistukset
Äänestyksen tulosten mukaan SC47V2, varmentaja/selain (CA/B) -foorumi on äänestänyt organisaatioyksikkö (OU) -kentän käytöstä poistamisen puolesta julkista SSL:ää varten.TLS todistukset, joiden määräaika on 1. CA/B-foorumi on todennut, että organisaatioyksikköä voidaan tulkita hyvin eri tavalla jokaisessa yrityksessä, mikä aiheuttaa ongelmia varmentajalle sen todentamisessa ulkoisten resurssien avulla. OU-kentän poistaminen estää epävarman tiedon sisällyttämisen SSL/TLS sertifikaatti ja parantaa validointiprosessia. Me SSL.comilla haluamme varmistaa, että siirtyminen tähän uuteen sääntöön on asiakkaillemme sujuvaa. Seuraavien kuukausien aikana lähetämme muistutuksia ja päivityksiä syyskuun 1. päivän määräajasta.Uudet avainten tallennusvaatimukset OV- ja IV-koodiallekirjoitusvarmenteille
1 alkaen CA/Browser Forumin mukaisesti uudet avainten säilytysvaatimukset Koodin allekirjoitusvarmenteiden turvallisuuden lisäämiseksi SSL.comin organisaation vahvistus (OV) ja yksilöllinen vahvistus (IV) koodin allekirjoitusvarmenteita myönnetään vain joko Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tunnuksilla tai eSignerimme kautta. pilvikoodin allekirjoituspalvelu.eSigner tarjoaa suojatun pilvikoodin allekirjoittamisen ilman lisälaitteita.
Valtava podcast-seisokki johtui siitä, että Spotify ei uusinut SSL-sertifikaattiaan
Ja nyt muutamiin digitaalisia varmenteita koskeviin uutisleikkeisiin. Ensinnäkin Spotify nousi otsikoihin, kun sen omistama podcast-alusta koki merkittävän seisokkiajan. Vanhentuneen SSL-sertifikaatin vuoksi Megaphonen podcast-kuuntelijat eivät voineet käyttää monia esityksiään kahdeksaan tuntiin. Lausunnossaan Spotifyn tiedottaja Erin Styles vahvisti tapauksen syyn: "Megaphone koki alustan käyttökatkoksen SSL-varmenteeseen liittyvän ongelman vuoksi. Katkosen aikana asiakkaat eivät voineet käyttää Megaphone CMS:ää, eivätkä podcast-kuuntelijat pystyneet lataamaan podcast-jaksoja Megaphone-isännöimiltä julkaisijoilta. Megaphone hankki kaksivuotisen SSL-sertifikaatin toukokuussa 2020 ja saman vuoden joulukuussa Spotify osti yrityksen. Tämä omistajanvaihto olisi voinut vaikuttaa Megaphonen verkkosivuston tietoturvan hallinnan valvontaan. Yksi podcaster huomautti että häiriö on saattanut aiheuttaa podcast-ohjelmien julkaisijoille tuhansia latauksia, koska he eivät voineet ladata sisältöään kahdeksaan tuntiin. Tämä ei ole ensimmäinen kerta, kun suuri yritys on unohtanut uusia SSL-sertifikaattinsa. Huhtikuussa 2015 InstagramVanhentunut SSL-sertifikaatti johti siihen, että sen käyttäjät saivat tietoturvavaroituksia. Jos yhdistämme asiakkaiden vaikutusten aiheuttamat kustannukset ja vanhentuneeseen varmenteeseen liittyvät vakavat turvallisuusriskit, yritykset menettävät paljon tällä yksinkertaisella virheellä. Maria Korolovin mukaan CSO, "keskimäärin maailmanlaajuisesti 5,000 15 yritys käyttää noin 25 miljoonaa dollaria toipuakseen sertifikaattikatkoksen aiheuttamasta liiketoiminnan menetyksestä – ja sillä on vielä XNUMX miljoonan dollarin potentiaalinen vaatimustenmukaisuusvaikutus."SSL.com's Takeaway: Megaphonen tapaus osoittaa, kuinka suuret organisaatiot kohtaavat haasteen, kun ne voivat hallita SSL-sertifikaattien uusimista tehokkaasti yksin. Suuret yritykset käsittelevät paljon operaatioita, eikä IT-hallinta yksinkertaisesti ole niiden vahvuus. Tästä syystä olemme tehneet yhteistyötä Venafin kanssa, joka on digitaalisten sertifikaattien automatisoidun hallinnan globaali johtaja. SSL.com Adaptable Driver for Venafi -ajurin avulla yritysten on nyt helpompaa kuin koskaan automatisoida varmenteiden hankintaa, pysyä ajan tasalla vanhentumisista ja peruutuksista, suojata asiakkaiden pääsyä ja hallita salauspalveluita helposti. Mene meille artikkeli lukeaksesi mukautuvan ohjaimemme täydelliset integrointiominaisuudet sekä sen lataamisen. Lisäksi, koska yksi tärkeimmistä tavoitteistamme on edistää laajaa verkkosivustojen turvallisuutta, tarjoamme myös suositun ACME (Automated Certificate Management Environment) SSL:lle/TLS Sertifikaattiautomaatio. ACME on hyvin dokumentoitu, avoin standardi, jossa on monia saatavilla olevia asiakastoteutuksia, ja se on laajalti otettu käyttöön yrityksen varmenteiden automaatioratkaisuna. Meillä on ilo kertoa, että asiakkaamme hyödyntävät tätä protokollaa automatisoidakseen SSL/TLS verkkosivustojen varmenteiden myöntäminen ja uusiminen sekä verkkosivustojen suojaaminen oikea-aikaisesti. Ota aikaa lukeaksesi kaikki SSL.com ACME:n edut.
SSL.com tarjoaa laajan valikoiman SSL /TLS palvelinvarmenteet HTTPS-verkkosivustoille.
Tor-salattu verkkosivusto tarjoaa halpoja ja muokattavia haittaohjelmapaketteja
Toriin kätketty Eternity Project -sivusto on paljastanut, että se myy haittaohjelmapaketteja, mukaan lukien varastajat, matot, kaivostyöläiset ja kiristysohjelmat, jopa 260 dollarin vuosihinnalla. Eternityn tarjoama kätevä pääsy haittaohjelmiin on huolestuttava, koska se osuu samaan aikaan viime vuosina lisääntyneiden tietojenkalastelu-, DDoS- ja kiristysohjelmahyökkäysten kanssa. Juuri viime huhtikuussa, Uudelleen turvaaminen löysi uuden Phishing-as-a-Servicen nimeltä Frappo, jota käytettiin tuottamaan erittäin kekseliäitä phishing-sivuja suurille verkkopankkisivustoille, verkkokauppasivustoille ja tunnetuille vähittäiskaupan brändeille. Frappon kehittäjät ovat menneet niin pitkälle tarjotakseen teknistä tukea ja päivityksiä, ja heidän viimeisimmät kohteensa ovat Uber ja 20 rahoituslaitosta. Jeff Burt Rekisteri selittää, kuinka Eternityn myymä helposti saatavilla oleva haittaohjelma moninkertaistaa yritysten ja organisaatioiden kohtaamat riskit: ”Haittaohjelmien avulla ohjelmoijalla on useita mahdollisuuksia ansaita työstään rahaa. He voivat käyttää haittaohjelmiaan itse pakkaamaan väärin hankittuja voittoja. tuo käteistä liisaamalla tai myymällä koodi; ja laskuttaa tuesta ja siihen liittyvistä palveluista. Samaan aikaan roistot, joilla ei ole taitoja tai aikaa kehittää omaa haittakoodiaan, voivat ostaa sen joltain toiselta.SSL.com:n Takeaway: Haittaohjelmapohjaiset hyökkäykset maksavat yrityksille maailmanlaajuisesti miljardeja dollareita joka vuosi, ja kyberrikollisten maksaminen on yhä masentavampaa, koska todisteet osoittavat, ettei ole varmuutta siitä, että he pitävät sanojaan, kun heille maksetaan. Haitalliset toimijat ovat entistä rohkeampia ja vähemmän pelkäävät kohdistua suuriin organisaatioihin ja yrityksiin. Sinun pitäisi parantaa kyberturvallisuuttasi enemmän kuin koskaan. Jos olet kehittäjä/julkaisija tai yrityksen omistaja ja haluat suojata ohjelmistoomaisuutesi haittaohjelmapohjaisilta hyökkäyksiltä, voit tutustua EV-koodin allekirjoitussertifikaatit jotka estävät voimakkaasti sovellusten ja ohjelmien peukaloinnin. Jos haluat suojata sähköpostitilejäsi tietojenkalasteluhyökkäyksiä vastaan ja estää luvattoman pääsyn kriittisiin järjestelmiisi, voit myös katsoa Henkilökohtainen Pro-sähköposti ja ClientAuth-varmenne.
Käyttäjät voivat allekirjoittaa koodin eSignerin pilvipohjainen laajennettu validointikoodin allekirjoitus kyky. Napsauta alla saadaksesi lisätietoja.
Singapore korvaa paperipohjaiset syntymä- ja kuolintodistukset digitaalisesti koodatuilla sähköisillä asiakirjoilla
Singapore lopetti viime 29. toukokuuta alkaen fyysisten syntymä- ja kuolintodistusten myöntämisen kansalaisilleen, mikä suosii näiden asiakirjojen digitaalisia kopioita. Tämä merkitsi myös online-muutosta syntyneiden ja kuolleiden rekisteröinnissä. Aiemmin singaporelaisten oli rekisteröitävä syntymätodistus sairaalassa tai Immigration and Checkpoints Authorityssä (ICA). Singaporen ICA:n mukaan tämä muutos on osa heidän hallituksensa valtuutusta digitoida julkiset palvelut. Nyt kun syntymä- ja kuolintodistukset voidaan rekisteröidä, ladata ja tallentaa pöytätietokoneisiin tai matkapuhelimiin, Singaporen asukkaiden on helpompi käsitellä prosessia. 30. toukokuuta kello 6 Singaporen normaalia aikaa ICA pystyi julkaisemaan 219 digitaalista syntymätodistusta, mikä on kaksinkertainen fyysisten syntymätodistusten päivittäiseen keskiarvoon verrattuna. Jos tämä suuntaus jatkuu, vuosittain käsiteltävissä olevien digitaalisten todistusten odotetaan ylittävän fyysisten syntymätodistusten viimeisen viiden vuoden keskiarvon, joka oli 39,100 XNUMX. Tämä suuri muutos nähdään strategiana tarjota parempia validointi- ja todennusprosesseja näille tärkeille asiakirjoille. ICA:n mukaan "Valtion virastot ja yksityiset tahot, kuten toimialajärjestöt ja rahoituslaitokset, voivat käyttää kaikkiin digitaalisiin sertifikaatteihin sisältyviä QR-koodeja niiden aitouden tarkistamiseen. QR-koodi linkitetään ICA-järjestelmään, jossa digitaalisen varmenteen tiedot voidaan tarkistaa ICA:n tietokannasta." Syntymä- ja kuolintodistusten digitalisointi on Singaporen innovatiivinen politiikka. Sen lisäksi, että digitaalinen rekisteröinti ja tallennus ovat tehokkaampia kuin manuaaliset prosessit, ne ovat turvallisempia ja kustannustehokkaampia. Verrattuna paperipohjaisiin asiakirjoihin, digitaaliset asiakirjat eivät voi vaurioitua tulipalosta tai muista vaaroista, eivätkä ne vaadi paljon fyysistä tilaa ylläpitääkseen. Se tarjoaa myös vahvemmat vahvistus- ja todennusominaisuudet, koska syntymä- ja kuolintodistuksiin sijoitetut QR-koodit ovat digitaalisia koodeja, jotka suojaavat niitä tehokkaammin peukaloitumiselta käsinkirjoitettujen allekirjoitusten sijaan.SSL.comin takeaway: Singaporen uusien digitaalisten syntymä- ja kuolintodistusten yhteydessä käyttämä QR-koodijärjestelmä tarjoaa samanlaisia etuja kuin digitaaliset asiakirjamme allekirjoitustodistukset. Käyttää alan standardia tietojen salausta, SSL.com:n asiakirjan allekirjoitusvarmenteet voi allekirjoittaa sähköisiä asiakirjoja digitaalisesti todistaakseen, kuka asiakirjojen omistaja on, ja varmistaakseen, että niitä ei ole muutettu allekirjoittamisen jälkeen. Asiakirjan allekirjoitustodistuksemme täyttävät Yhdysvaltain liittovaltion ESIGN-lain ja monien muiden maiden lakeja, joten ne ovat laillisesti hyväksyttäviä maailmanlaajuisesti. Lisäksi asiakirjojen allekirjoitusvarmenteemme voidaan rekisteröidä palveluumme eSigner pilviallekirjoituspalvelu jonka avulla käyttäjämme voivat allekirjoittaa asiakirjansa turvallisesti mistä tahansa Internet-yhteydestä device. Singaporen julkisissa rekistereissään toteuttama digitaalinen vallankumous vahvistaa SSL.comin pitkän aikavälin näkemyksen digitaalisiin tapahtumiin, tietojen tallentamiseen ja kriittisten omaisuuserien hallintaan. Päätä meidän PKI ja digitaaliset sertifikaatit hallitukselle artikkelista saat lisätietoja siitä, kuinka autamme valtion instituutioita vahvistamaan kyberturvallisuuttaan.
Tutustu SSL.com-sivustoon Yrityksen henkilöllisyystodistukset jotka tarjoavat asiakirjojen allekirjoittamisen, sähköpostin suojauksen ja asiakkaan todennuksen.
LUE LISÄÄ ASIAKIRJOJEN ALLEKIRJOITTAMISESTA
