A kezdetektől május végéig számos hírértékű kiberbiztonsági esemény történt. Mielőtt azonban ezeket megvitatnánk, megnyitjuk ezt a hírlevelet két új, fontos irányelv-módosítással, amelyet a Tanúsítványszolgáltató/Böngésző (CA/B) Fórum hozott az SSL- és kódaláíró tanúsítványokra vonatkozóan.
A szervezeti egység (OU) hamarosan megszűnik a nyilvános SSL/TLS tanúsítványok
A szavazás eredménye szerint SC47V2, a Tanúsító hatóság/Böngésző (CA/B) fóruma megszavazta a Szervezeti egység (OU) mező megszüntetését a nyilvános SSL/TLS igazolásokat, a 1. szeptember 2022-i határidővel. A CA/B Fórum megállapította, hogy a Szervezeti egység minden vállalatnál nagyon eltérően értelmezhető, és ezért problémákat okoz a hitelesítő hatóság számára, amikor a külső erőforrásokkal történő hitelesítésről van szó. Az OU mező eltávolítása megakadályozza, hogy bizonytalan információk kerüljenek az SSL/TLS tanúsítványt, és javítja az érvényesítési folyamatot. Mi az SSL.com-nál szeretnénk biztosítani, hogy ügyfeleink zökkenőmentesen lépjenek át erre az új szabályra. A következő hónapokban emlékeztetőket és frissítéseket küldünk a szeptember 1-i határidővel kapcsolatban.Új kulcstárolási követelmények az OV és IV kódaláíró tanúsítványokhoz
1. június 2023-jétől a CA/Browser Forum előírásainak megfelelően új kulcstárolási követelmények a kódaláíró tanúsítványok biztonságának növelése érdekében az SSL.com szervezeti érvényesítési (OV) és egyéni érvényesítési (IV) kódaláíró tanúsítványait csak a Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokeneken vagy az eSignerünkön keresztül bocsátják ki. felhő kód aláíró szolgáltatás.Az eSigner biztonságos felhőalapú kód-aláírást biztosít további hardver nélkül.
További információ az eSignerről
Hatalmas podcast-leállás, amiatt, hogy a Spotify nem tudta megújítani az SSL-tanúsítványt
És most térjünk rá néhány digitális tanúsítványt tartalmazó hírre. Először is, a Spotify akkor került a címlapokra, amikor a tulajdonában lévő podcast-platform jelentős leállási időt tapasztalt. Egy lejárt SSL-tanúsítvány miatt a Megaphone podcast-hallgatói nyolc órán keresztül nem fértek hozzá sok műsorukhoz. Erin Styles, a Spotify szóvivője közleményében megerősítette az incidens okát: „A Megaphone platformleállást tapasztalt az SSL-tanúsítványunkkal kapcsolatos probléma miatt. A kimaradás alatt az ügyfelek nem fértek hozzá a Megaphone CMS-hez, a podcast-hallgatók pedig nem tudtak letölteni podcast-epizódokat a Megaphone által üzemeltetett kiadóktól.” A Megaphone 2020 májusában szerzett kétéves SSL-tanúsítványt, és ugyanazon év decemberében a Spotify megvásárolta a céget. Ez a tulajdonosváltás hozzájárulhatott a Megaphone weboldalának biztonsági kezelésének felügyeletéhez. Egy podcaster jegyezte hogy a hiba több ezer letöltést okozhatott a podcast-műsorok kiadóinak, mert nyolc órán át nem tudták feltölteni a tartalmaikat. Nem ez az első eset, hogy egy nagy cég elfelejti megújítani SSL-tanúsítványát. 2015 áprilisában InstagramA lejárt SSL-tanúsítvány miatt a felhasználók biztonsági figyelmeztetéseket kaptak. Ha összevonjuk az érintett ügyfelek költségeit és a lejárt tanúsítvánnyal járó súlyos biztonsági kockázatokat, akkor a vállalatok sokat veszítenek ezzel az egyszerű hibával. Maria Korolov szerint KSH, „az átlagosan 5,000 fős globális vállalat körülbelül 15 millió dollárt költ arra, hogy felépüljön a tanúsítványkimaradás miatti üzletveszteségből – és további 25 millió dolláros megfelelőségi hatással kell szembenéznie.”Az SSL.com átvétele: A Megaphone esete azt a kihívást mutatja, amellyel a nagy szervezetek szembesülnek, amikor önállóan tudják hatékonyan kezelni SSL-tanúsítvány-megújításaikat. A nagy cégek sok művelettel foglalkoznak, és az IT-menedzsment egyszerűen nem az erősségük. Ez az oka annak, hogy partnerre léptünk a Venafival – a digitális tanúsítványok automatizált kezelésének globális vezetőjével. Az SSL.com Adaptable Driver for Venafi segítségével a cégek minden eddiginél könnyebben automatizálhatják a tanúsítványok rendelkezésre bocsátását, követhetik a lejáratokat és visszavonásokat, védhetik az ügyfelek hozzáférését, és egyszerűen kezelhetik a titkosítási szolgáltatásokat. Irány a miénk cikkben olvassa el az adaptálható illesztőprogramunk teljes integrációs funkcióit, valamint a letöltési módját. Ezen túlmenően, mivel egyik elsődleges célunk a webhelyek széles körű biztonságának előmozdítása, kínáljuk a népszerű SSL-hez való ACME-t (Automated Certificate Management Environment) is.TLS Tanúsítvány automatizálás. Jól dokumentált, nyílt szabványként számos rendelkezésre álló ügyfélmegvalósítással, az ACME-t széles körben alkalmazzák vállalati tanúsítvány-automatizálási megoldásként. Örömmel jelenthetjük, hogy ügyfeleink kihasználják ezt a protokollt az SSL/TLS webhelytanúsítványok kiállítása és megújítása, valamint webhelyeik megfelelő időben történő védelme. Szánjon egy kis időt a az SSL.com ACME teljes előnyei.
Az SSL.com széles skáláját kínálja SSL /TLS szerver tanúsítványok HTTPS webhelyekhez.
A Tor által elrejtett webhelyről kiderült, hogy olcsó és testreszabható rosszindulatú programcsomagokat kínál
Kiderült, hogy az Eternity Project, a Torban elrejtett webhely rosszindulatú programcsomagokat árul, beleértve a lopókat, férgeket, bányászokat és ransomware-eket, éves áron akár 260 dollárért. Az Eternity által biztosított rosszindulatú programok kényelmes elérése aggodalomra ad okot, mivel ez egybeesik az adathalászat, a DDoS és a ransomware támadások megnövekedett eseteivel az elmúlt években. Még tavaly áprilisban, Újrabiztonság felfedezett egy új adathalászat, mint szolgáltatás, a Frappo, amelyet nagy online banki webhelyek, e-kereskedelmi webhelyek és jól ismert kiskereskedelmi márkák rendkívül körülményes adathalász oldalainak előállítására használtak. A Frappo fejlesztői olyan mértékig mentek, hogy technikai támogatást és frissítéseket nyújtsanak, legutóbbi célpontjuk az Uber és 20 pénzintézet. Jeff Burt A regisztráció elmagyarázza, hogy az Eternity által árusított, könnyen hozzáférhető rosszindulatú programok hogyan sokszorozzák meg a vállalkozások és szervezetek kockázatait: „A kártevő-szolgáltatással a programozónak számos lehetősége van arra, hogy pénzt keressen a munkájával. Maguk is használhatják rosszindulatú programjaikat jogosulatlanul szerzett haszonszerzésre; hozzon be készpénzt a kód lízingelésével vagy eladásával; és díjat kell fizetni a támogatásért és a kapcsolódó szolgáltatásokért. Ugyanakkor azok a szélhámosok, akiknek nincs készségük vagy idejük saját rosszindulatú kódjuk fejlesztéséhez, egyszerűen megvásárolhatják azt valaki mástól.”Az SSL.com elvitele: A rosszindulatú programokon alapuló támadások világszerte dollármilliárdokba kerülnek a vállalatoknak évente, és a kiberbűnözők fizetését egyre inkább elriasztották, mert a bizonyítékok azt mutatják, hogy nincs garancia arra, hogy hűek lesznek szavaihoz, ha fizetést kapnak. A rosszindulatú szereplők egyre merészebbek, és kevésbé félnek attól, hogy nagy szervezeteket és vállalkozásokat célozzanak meg. Minden eddiginél jobban fejlesztenie kell kiberbiztonsági védelmét. Ha Ön fejlesztő/kiadó vagy cégtulajdonos, és meg akarja védeni szoftvereszközeit a rosszindulatú programokon alapuló támadásokkal szemben, megtekintheti a EV kód aláíró tanúsítványok amelyek erősen megakadályozzák az alkalmazások és programok manipulálását. Ha meg szeretné védeni e-mail fiókjait az adathalász támadásoktól, és meg akarja akadályozni a kritikus rendszereihez való jogosulatlan hozzáférést, tekintse meg a Személyes Pro e-mail és ClientAuth tanúsítvány.
A felhasználók aláírhatják a kódot Az eSigner felhő alapú kiterjesztett érvényesítési kódaláírása képesség. További információért kattintson az alábbiakra.
Szingapúr felváltja a papír alapú születési és halotti anyakönyvi kivonatokat digitálisan kódolt elektronikus dokumentumokkal
Tavaly május 29-től Szingapúr leállította állampolgárai számára a születési és halotti anyakönyvi kivonatok kibocsátását, és e dokumentumok digitális másolatát helyezte előtérbe. Ez a születések és elhalálozások nyilvántartása terén is online elmozdulást eredményezett. A szingapúriaknak korábban születési anyakönyvi kivonatot kellett regisztrálniuk a kórházban vagy a Bevándorlási és Ellenőrzőponti Hatóságnál (ICA). A szingapúri ICA szerint ez a változás része a kormánynak a közszolgáltatások digitalizálására vonatkozó megbízatásának. Most, hogy a születési és halotti anyakönyvi kivonatok regisztrálhatók, letölthetők és asztali számítógépeken vagy mobiltelefonokon tárolhatók, a szingapúri lakosok kényelmesebbnek találják a folyamat kezelését. Május 30-án, szingapúri idő szerint 6 órakor az ICA 219 digitális születési anyakönyvi kivonatot tudott kiadni, ami kétszerese a fizikai születési anyakönyvi kivonatok napi átlagának. Ha ez a tendencia folytatódik, az évente feldolgozható digitális bizonyítványok mennyisége várhatóan meghaladja az elmúlt ötéves születési anyakönyvi kivonatok éves átlagát, amely 39,100 XNUMX volt. Ezt a jelentős változást olyan stratégiának tekintik, amely jobb érvényesítési és hitelesítési folyamatokat biztosít ezekhez a fontos dokumentumokhoz. Az ICA szerint „Az állami ügynökségek és a magánszervezetek, mint például az iparági szövetségek és a pénzügyi intézmények, használhatják az összes digitális tanúsítványon található QR-kódot a hitelességük ellenőrzésére. A QR-kód egy ICA-rendszerhez lesz kapcsolva, ahol a digitális tanúsítvány részletei az ICA adatbázisában ellenőrizhetők.” A születési és halotti anyakönyvi kivonatok digitalizálása innovatív politika Szingapúr részéről. Amellett, hogy hatékonyabb a kézi folyamatoknál, a digitális regisztráció és tárolás biztonságosabb és költséghatékonyabb is. A papír alapú dokumentumokhoz képest a digitális dokumentumokat nem károsíthatja tűz és egyéb veszélyek, és nem igényelnek nagy fizikai helyet a karbantartásuk. Erősebb érvényesítési és hitelesítési funkciókat is kínál, mivel a születési és halotti anyakönyvi kivonatokon elhelyezett QR-kódok digitális kódok, amelyek hatékonyabban védik ezeket a manipulációtól, szemben a kézzel írt aláírásokkal.Az SSL.com átvétele: A Szingapúr által az új digitális születési és halotti anyakönyvi kivonatokhoz használt QR-kód rendszer hasonló előnyöket kínál, mint a mi dokumentum-aláíró digitális tanúsítványaink. Ipari szabványos adattitkosítással, Az SSL.com dokumentum-aláíró tanúsítványai digitálisan aláírhatja az elektronikus dokumentumokat, hogy igazolja, ki a dokumentumok tulajdonosa, és biztosítja, hogy az aláírásuk óta nem változtattak-e rajta. Doktori aláíró tanúsítványaink megfelelnek az Egyesült Államok szövetségi ESIGN törvényének és sok más nemzet törvényeinek, így jogilag elfogadhatóak világszerte. Ezen kívül dokumentum-aláíró tanúsítványaink is beiktathatók nálunk eSigner felhőaláíró szolgáltatás amely lehetővé teszi felhasználóink számára, hogy biztonságosan aláírhassák dokumentumaikat bármilyen internetkapcsolatról device. A Szingapúr által a nyilvános nyilvántartásaiban végrehajtott digitális forradalom igazolja az SSL.com hosszú távú jövőképét, amikor a digitális alapú tranzakciók, az adattárolás és a kritikus eszközök adminisztrációjának támogatásáról van szó. Vezessünk elénk PKI és digitális tanúsítványok a kormány számára cikkből többet megtudhat arról, hogyan segítjük a kormányzati intézményeket kiberbiztonságuk megerősítésében.
Nézze meg az SSL.com oldalt Üzleti személyi igazolványok amelyek dokumentum-aláírást, e-mail-biztonságot és ügyfél-hitelesítést kínálnak.
TOVÁBBI INFORMÁCIÓ A DOKUMENTUM-ALÁÍRÁSRÓL
