De nombreux événements de cybersécurité dignes d'intérêt se sont produits depuis le début jusqu'à la fin du mois de mai. Mais avant d'en discuter, nous ouvrirons cette newsletter avec deux nouveaux changements de politique importants apportés par le forum Autorité de certification/Navigateur (CA/B) pour les certificats SSL et de signature de code.
L'unité d'organisation (OU) sera bientôt obsolète dans le SSL public/TLS certificats
Selon les résultats du scrutin SC47V2, le forum Autorité de certification/Navigateur (CA/B) a voté pour rendre obsolète le champ Unité organisationnelle (OU) pour SSL public/TLS certificats, avec la date limite fixée au 1er septembre 2022. Le CA/B Forum a déterminé que l'Unité Organisationnelle peut être interprétée très différemment dans chaque entreprise, et pose donc des problèmes à une Autorité de Certification lorsqu'il s'agit de l'authentifier à l'aide de ressources externes. La suppression du champ OU empêche l'inclusion d'informations incertaines dans le SSL/TLS certificat et améliore le processus de validation. Chez SSL.com, nous voulons nous assurer que la transition vers cette nouvelle règle se fera en douceur pour nos clients. Au cours des prochains mois, nous enverrons des rappels et des mises à jour concernant la date limite du 1er septembre.Nouvelles exigences de stockage des clés pour les certificats de signature de code OV et IV
A partir du 1er juin 2023, conformément aux CA/Browser Forum nouvelles exigences de stockage des clés pour augmenter la sécurité des certificats de signature de code, les certificats de signature de code de validation d'organisation (OV) et de validation individuelle (IV) de SSL.com ne seront émis que sur des jetons USB Federal Information Processing Standard 140-2 (FIPS 140-2) ou via notre eSigner service de signature de code en nuage.eSigner fournit une signature de code cloud sécurisée sans matériel supplémentaire nécessaire.
Énorme temps d'arrêt du podcast causé par le non-renouvellement par Spotify de son certificat SSL
Et maintenant, passons à quelques clips d'actualité impliquant des certificats numériques. Tout d'abord, Spotify a fait la une des journaux lorsqu'une plate-forme de podcast dont il est propriétaire a connu un temps d'arrêt important. En raison d'un certificat SSL expiré, les auditeurs de podcast de Megaphone n'ont pas pu accéder à un grand nombre de leurs émissions pendant huit heures. Dans un communiqué, la porte-parole de Spotify, Erin Styles, a confirmé la cause de l'incident : « Megaphone a connu une panne de plateforme en raison d'un problème lié à notre certificat SSL. Pendant la panne, les clients n'ont pas pu accéder au CMS Megaphone et les auditeurs de podcasts n'ont pas pu télécharger les épisodes de podcasts des éditeurs hébergés par Megaphone. Megaphone a acquis un certificat SSL de deux ans en mai 2020 et en décembre de la même année, la société a été achetée par Spotify. Ce changement de propriétaire aurait pu contribuer à un oubli de la gestion de la sécurité du site Web de Megaphone. Un podcasteur remarqué que le problème aurait pu causer aux éditeurs de podcasts des milliers de téléchargements car ils ne pouvaient pas télécharger leur contenu pendant huit heures. Ce n'est pas la première fois qu'une grande entreprise oublie de renouveler son certificat SSL. En avril 2015, InstagramLe certificat SSL expiré de a entraîné l'envoi d'avertissements de sécurité à ses utilisateurs. Si nous combinons les coûts des clients touchés et les graves risques de sécurité qui accompagnent un certificat expiré, les entreprises risquent de perdre beaucoup avec cette simple erreur. Selon Maria Korolov de CSO (Directeur des ventes), "l'entreprise mondiale moyenne de 5,000 15 personnes dépense environ 25 millions de dollars pour se remettre de la perte d'activité due à une panne de certificat - et fait face à XNUMX millions de dollars supplémentaires d'impact potentiel sur la conformité."À retenir de SSL.com : le cas de Megaphone illustre le défi auquel sont confrontées les grandes organisations lorsqu'il s'agit de gérer efficacement par elles-mêmes leurs renouvellements de certificats SSL. Les grandes entreprises gèrent de nombreuses opérations et la gestion informatique n'est tout simplement pas leur fort. C'est la raison pour laquelle nous nous sommes associés à Venafi, un leader mondial en matière de gestion automatisée des certificats numériques. Avec le pilote adaptable SSL.com pour Venafi, il est désormais plus facile que jamais pour les entreprises d'automatiser la fourniture de certificats, de suivre les expirations et les révocations, de protéger l'accès client et de gérer facilement les services de chiffrement. Rendez-vous sur notre article pour lire les fonctionnalités d'intégration complètes de notre pilote adaptable ainsi que la façon de le télécharger. De plus, comme l'un de nos principaux objectifs est de promouvoir la sécurité généralisée des sites Web, nous proposons également le célèbre environnement de gestion automatisée des certificats (ACME) pour SSL/TLS Automatisation des certificats. En tant que norme ouverte bien documentée avec de nombreuses implémentations client disponibles, ACME est largement adopté comme solution d'automatisation des certificats d'entreprise. Nous sommes heureux de dire que nos clients profitent de ce protocole pour automatiser facilement SSL/TLS l'émission et le renouvellement du certificat de site Web et protéger leurs sites Web en temps opportun. Prenez le temps de lire le tous les avantages de SSL.com ACME.
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS.
Un site Web dissimulé par Tor a découvert qu'il proposait des offres groupées de logiciels malveillants bon marché et personnalisables
Eternity Project, un site Web dissimulé dans Tor, a été révélé comme vendant des paquets de logiciels malveillants, y compris des voleurs, des vers, des mineurs et des rançongiciels pour un taux annuel aussi bas que 260 $. L'accès pratique aux logiciels malveillants fourni par Eternity est un sujet de préoccupation car il coïncide avec l'augmentation des cas d'attaques de phishing, de DDoS et de ransomware ces dernières années. Juste en avril dernier, Sécurisation a découvert un nouveau Phishing-as-a-Service appelé Frappo qui était utilisé pour produire des pages de phishing hautement sournoises pour de grands sites bancaires en ligne, des sites de commerce électronique et des marques de vente au détail bien connues. Les développeurs de Frappo sont allés jusqu'à fournir un support technique et des mises à jour, leurs cibles les plus récentes étant Uber et 20 institutions financières. Jeff Burt de Le registre explique comment le logiciel malveillant facilement accessible vendu par Eternity multiplie les risques auxquels sont confrontées les entreprises et les organisations : « Avec le logiciel malveillant en tant que service, le programmeur a diverses opportunités de gagner de l'argent grâce à son travail. Ils peuvent utiliser eux-mêmes leurs logiciels malveillants pour empocher des gains mal acquis ; apporter de l'argent en louant ou en vendant le code ; et facturer les services d'assistance et les services connexes. Dans le même temps, les escrocs qui n'ont pas les compétences ou le temps de développer leur propre code malveillant peuvent simplement l'acheter à quelqu'un d'autre.À retenir de SSL.com : les attaques basées sur des logiciels malveillants coûtent chaque année aux entreprises du monde entier des milliards de dollars, et le paiement des cybercriminels est de plus en plus découragé car les preuves montrent qu'il n'y a aucune garantie qu'ils seront fidèles à leurs paroles une fois qu'ils seront payés. Les acteurs malveillants deviennent plus audacieux et ont moins peur de cibler de grandes organisations et entreprises. Plus que jamais, vous devez améliorer vos défenses en matière de cybersécurité. Si vous êtes un développeur/éditeur ou un propriétaire d'entreprise et que vous cherchez à protéger vos actifs logiciels contre les attaques basées sur des logiciels malveillants, vous pouvez consulter les fonctionnalités de notre Certificats de signature de code EV qui empêchent fortement la falsification des applications et des programmes. Si vous souhaitez protéger vos comptes de messagerie contre les attaques de phishing et empêcher l'accès non autorisé à vos systèmes critiques, vous pouvez également consulter notre E-mail Pro personnel et certificat ClientAuth.
Les utilisateurs peuvent signer le code avec Signature de code de validation étendue basée sur le cloud d'eSigner aptitude. Cliquez ci-dessous pour plus d'informations.
Singapour remplace les certificats de naissance et de décès sur papier par des documents électroniques codés numériquement
Depuis le 29 mai dernier, Singapour a cessé de délivrer des certificats de naissance et de décès physiques pour ses citoyens au profit de copies numériques de ces documents. Cela a également entraîné un virage en ligne en ce qui concerne l'enregistrement des naissances et des décès. Les Singapouriens devaient auparavant enregistrer un certificat de naissance à l'hôpital ou auprès de l'Autorité de l'immigration et des points de contrôle (ICA). Selon l'ICA de Singapour, ce changement fait partie du mandat de leur gouvernement de numériser les services publics. Maintenant que les certificats de naissance et de décès peuvent être enregistrés, téléchargés et stockés sur des ordinateurs de bureau ou des téléphones portables, les résidents de Singapour trouvent qu'il est plus pratique de gérer le processus. Au 30 mai, 6 heures, heure normale de Singapour, l'ICA a pu publier 219 certificats de naissance numériques, soit le double de la moyenne quotidienne des certificats de naissance physiques. Si cette tendance se poursuit, les certificats numériques pouvant être traités chaque année devraient dépasser la moyenne annuelle des cinq dernières années pour les certificats de naissance physiques, qui était de 39,100 XNUMX. Ce changement majeur est considéré comme une stratégie visant à fournir de meilleurs processus de validation et d'authentification pour ces documents importants. Selon l'ICA, "les agences gouvernementales et les entités privées, telles que les associations industrielles et les institutions financières, peuvent utiliser les codes QR inclus sur tous les certificats numériques pour vérifier leur authenticité. Le code QR sera lié à un système ICA où les détails du certificat numérique pourront être vérifiés par rapport à la base de données de l'ICA. La numérisation des actes de naissance et de décès est une politique innovante de la part de Singapour. En plus d'être plus efficaces que les processus manuels, l'enregistrement et le stockage numériques sont plus sûrs et plus rentables. Par rapport aux documents papier, les documents numériques ne peuvent pas être endommagés par le feu et d'autres dangers et ne nécessitent pas beaucoup d'espace physique pour être entretenus. Il offre également des fonctionnalités de validation et d'authentification plus solides, car les codes QR placés sur les certificats de naissance et de décès sont des codes numériques qui les protègent plus efficacement contre la falsification que les signatures manuscrites.À retenir de SSL.com : le système de code QR utilisé par Singapour pour ses nouveaux certificats numériques de naissance et de décès offre des avantages similaires à nos certificats numériques de signature de documents. En utilisant le cryptage de données standard de l'industrie, Certificats de signature de documents de SSL.com peut signer numériquement des documents électroniques pour prouver qui est le propriétaire des documents et s'assurer que ceux-ci n'ont pas été modifiés depuis leur signature. Nos certificats de signature de documents satisfont à la loi fédérale américaine ESIGN et aux lois de nombreux autres pays, ce qui les rend légalement acceptables partout dans le monde. De plus, nos certificats de signature de documents peuvent être inscrits dans notre Service de signature cloud eSigner qui permet à nos utilisateurs de signer leurs documents en toute sécurité à partir de n'importe quel ordinateur connecté à Internet.appareil. La révolution numérique mise en œuvre par Singapour pour ses archives publiques valide la vision à long terme de SSL.com lorsqu'il s'agit de défendre les transactions numériques, le stockage des données et l'administration des actifs critiques. Dirigez-vous vers notre PKI et certificats numériques pour le gouvernement article pour en savoir plus sur la façon dont nous aidons les institutions gouvernementales à renforcer leur cybersécurité.
Découvrez SSL.com Certificats d'identité d'entreprise qui offrent la signature de documents, la sécurité des e-mails et l'authentification client.
EN SAVOIR PLUS SUR LA SIGNATURE DE DOCUMENTS
