Banyak peristiwa keamanan siber yang layak diberitakan telah terjadi dari awal hingga akhir Mei. Namun sebelum membahasnya, kami akan membuka buletin ini dengan dua perubahan kebijakan penting baru yang dibuat oleh Forum Otoritas Sertifikat/Browser (CA/B) untuk SSL dan sertifikat penandatanganan kode.
Unit Organisasi (OU) akan segera dihentikan di SSL publik/TLS sertifikat
Sesuai hasil pemungutan suara SC47V2, Forum Certificate Authority/Browser (CA/B) telah memilih untuk menghentikan bidang Unit Organisasi (OU) untuk SSL/TLS sertifikat, dengan batas waktu ditetapkan pada 1 September 2022. Forum CA/B telah menentukan bahwa Unit Organisasi dapat diinterpretasikan dengan sangat berbeda di setiap perusahaan, dan oleh karena itu menimbulkan masalah bagi Otoritas Sertifikat dalam hal mengautentikasinya menggunakan sumber daya eksternal. Menghapus bidang OU mencegah informasi yang tidak pasti dimasukkan ke dalam SSL/TLS sertifikat dan meningkatkan proses validasi. Kami di SSL.com ingin memastikan bahwa transisi ke aturan baru ini akan lancar bagi pelanggan kami. Pada bulan-bulan berikutnya, kami akan mengirimkan pengingat dan pembaruan tentang batas waktu 1 September.Persyaratan penyimpanan kunci baru untuk Sertifikat Penandatanganan Kode OV dan IV
Mulai 1 Juni 2023, sesuai dengan CA/Forum Browser persyaratan penyimpanan kunci baru untuk meningkatkan keamanan sertifikat penandatanganan kode, Validasi Organisasi (OV) SSL.com dan Sertifikat Penandatanganan Kode Individual Validasi (IV) hanya akan diterbitkan baik pada token USB Standar Pemrosesan Informasi Federal 140-2 (FIPS 140-2) atau melalui eSigner kami layanan penandatanganan kode cloud.eSigner menyediakan penandatanganan kode cloud yang aman tanpa memerlukan perangkat keras tambahan.
Pelajari lebih lanjut tentang eSigner
Waktu henti podcast besar yang disebabkan oleh Spotify gagal memperbarui sertifikat SSL mereka
Dan sekarang, ke beberapa klip berita yang melibatkan sertifikat digital. Pertama, Spotify menjadi berita utama ketika platform podcast yang dimilikinya mengalami down time yang signifikan. Karena sertifikat SSL yang kedaluwarsa, pendengar podcast Megaphone tidak dapat mengakses banyak acara mereka selama delapan jam. Dalam sebuah pernyataan, juru bicara Spotify Erin Styles mengkonfirmasi penyebab insiden tersebut: “Megaphone mengalami penghentian platform karena masalah yang terkait dengan sertifikat SSL kami. Selama pemadaman, klien tidak dapat mengakses CMS Megafon dan pendengar podcast tidak dapat mengunduh episode podcast dari penerbit yang dihosting Megafon.” Megaphone memperoleh sertifikat SSL dua tahun pada Mei 2020 dan pada bulan Desember di tahun yang sama, perusahaan itu dibeli oleh Spotify. Perubahan kepemilikan ini dapat berkontribusi pada pengawasan manajemen keamanan situs web Megaphone. Satu podcaster berkomentar bahwa kesalahan itu mungkin telah menyebabkan ribuan unduhan penerbit podcast karena mereka tidak dapat mengunggah konten mereka selama delapan jam. Ini bukan pertama kalinya sebuah perusahaan besar lupa memperbarui sertifikat SSL-nya. Pada bulan April 2015, Instagramsertifikat SSL yang kedaluwarsa mengakibatkan penggunanya mendapatkan peringatan keamanan. Jika kami menggabungkan biaya pelanggan yang terpengaruh dan risiko keamanan parah yang datang dengan sertifikat yang kedaluwarsa, perusahaan akan kehilangan banyak hal dengan kesalahan sederhana ini. Menurut Maria Korolov dari CSO, “rata-rata 5,000 perusahaan global menghabiskan sekitar $15 juta untuk memulihkan kerugian bisnis karena penghentian sertifikat — dan menghadapi potensi dampak kepatuhan sebesar $25 juta lagi.”SSL.com's Takeaway: Kasus Megaphone menunjukkan tantangan yang dihadapi organisasi besar dalam hal mengelola pembaruan sertifikat SSL mereka sendiri secara efektif. Perusahaan besar berurusan dengan banyak operasi dan manajemen TI bukanlah keahlian mereka. Inilah alasan mengapa kami bermitra dengan Venafi – pemimpin global dalam hal pengelolaan otomatis sertifikat digital. Dengan SSL.com Adaptable Driver for Venafi, kini lebih mudah bagi perusahaan untuk mengotomatiskan penyediaan sertifikat, mengikuti masa berlaku dan pencabutan, melindungi akses klien, dan mengelola layanan enkripsi dengan mudah. Kunjungi kami artikel untuk membaca fitur integrasi penuh dari driver kami yang dapat disesuaikan serta cara mengunduhnya. Selain itu, karena salah satu tujuan utama kami adalah untuk mempromosikan keamanan situs web secara luas, kami juga menawarkan Lingkungan Manajemen Sertifikat Otomatis (ACME) yang populer untuk SSL/TLS Otomatisasi Sertifikat. Sebagai standar terbuka yang terdokumentasi dengan baik dengan banyak implementasi klien yang tersedia, ACME diadopsi secara luas sebagai solusi otomatisasi sertifikat perusahaan. Dengan senang hati kami sampaikan bahwa pelanggan kami memanfaatkan protokol ini untuk mengotomatisasi SSL/TLS penerbitan dan pembaruan sertifikat situs web dan lindungi situs web mereka tepat waktu. Luangkan waktu untuk membaca keuntungan penuh dari SSL.com ACME.
SSL.com menyediakan berbagai macam SSL /TLS sertifikat server untuk situs web HTTPS.
Situs web yang disembunyikan Tor ternyata menawarkan bundel malware yang murah dan dapat disesuaikan
Eternity Project, sebuah situs web yang disembunyikan di Tor, telah terungkap menjual bundel malware, termasuk pencuri, worm, penambang, dan ransomware dengan tarif tahunan serendah $260. Akses mudah ke malware yang disediakan oleh Eternity menjadi perhatian karena bertepatan dengan meningkatnya kasus phishing, DDoS, dan serangan ransomware dalam beberapa tahun terakhir. Baru April lalu, Keamanan menemukan Phishing-as-a-Service baru yang disebut Frappo yang digunakan untuk menghasilkan halaman phishing yang sangat licik untuk situs web perbankan online besar, situs e-niaga, dan merek ritel terkenal. Pengembang Frappo telah berupaya sedemikian rupa untuk memberikan dukungan teknis dan pembaruan, dengan target terbaru mereka adalah Uber dan 20 lembaga keuangan. Jeff Burt dari Pendaftaran menjelaskan bagaimana malware yang mudah diakses yang dijual oleh Eternity melipatgandakan risiko yang dihadapi oleh bisnis dan organisasi: “Dengan malware-as-a-service, programmer memiliki berbagai peluang untuk menghasilkan uang dari pekerjaan mereka. Mereka dapat menggunakan malware mereka sendiri untuk mendapatkan keuntungan yang tidak semestinya; mendatangkan uang tunai dengan menyewakan atau menjual kode; dan biaya untuk dukungan dan layanan terkait. Pada saat yang sama, penjahat yang tidak memiliki keterampilan atau waktu untuk mengembangkan kode jahat mereka sendiri dapat dengan mudah membelinya dari orang lain.”SSL.com's Takeaway: Serangan berbasis malware merugikan perusahaan di seluruh dunia miliaran dolar setiap tahun, dan membayar penjahat dunia maya semakin tidak disarankan karena bukti menunjukkan bahwa tidak ada jaminan bahwa mereka akan setia pada kata-kata mereka setelah mereka dibayar. Pelaku jahat semakin berani dan tidak takut menargetkan organisasi dan bisnis besar. Lebih dari sebelumnya, Anda harus meningkatkan pertahanan keamanan siber Anda. Jika Anda seorang pengembang/penerbit atau pemilik perusahaan dan Anda ingin melindungi aset perangkat lunak Anda dari serangan berbasis malware, Anda dapat melihat fitur-fitur dari Sertifikat Penandatanganan Kode EV yang sangat mencegah gangguan aplikasi dan program. Jika Anda ingin mempertahankan akun email Anda dari serangan phishing dan mencegah akses tidak sah ke sistem penting Anda, Anda juga dapat melihat Email Pribadi Pro dan Sertifikat ClientAuth.
Pengguna dapat menandatangani kode dengan Penandatanganan Kode Validasi Diperpanjang eSigner berbasis cloud kemampuan. Klik di bawah ini untuk informasi lebih lanjut.
Singapura mengganti akta kelahiran dan kematian berbasis kertas dengan dokumen elektronik berkode digital
Mulai 29 Mei lalu, Singapura berhenti mengeluarkan akta kelahiran dan kematian fisik bagi warganya demi salinan digital untuk dokumen-dokumen ini. Ini juga memerlukan pergeseran online dalam hal pencatatan kelahiran dan kematian. Warga Singapura sebelumnya harus mendaftarkan akta kelahiran di rumah sakit atau di Immigration and Checkpoints Authority (ICA). Menurut ICA Singapura, perubahan ini merupakan bagian dari mandat pemerintah mereka untuk mendigitalkan layanan publik. Kini setelah akta kelahiran dan kematian dapat didaftarkan, diunduh, dan disimpan di komputer desktop atau ponsel, penduduk Singapura merasa lebih nyaman untuk menangani prosesnya. Hingga 30 Mei, pukul 6:219 Waktu Standar Singapura, ICA mampu menerbitkan 39,100 akta kelahiran digital, dua kali lipat dari rata-rata harian untuk akta kelahiran fisik. Jika tren ini terus berlanjut, akta digital yang dapat diproses setiap tahun diharapkan melampaui rata-rata tahunan lima tahun terakhir untuk akta kelahiran fisik yang XNUMX. Perubahan besar ini dipandang sebagai strategi untuk memberikan proses validasi dan otentikasi yang lebih baik untuk dokumen-dokumen penting tersebut. Menurut ICA, “Lembaga pemerintah dan entitas swasta, seperti asosiasi industri dan lembaga keuangan, dapat menggunakan kode QR yang disertakan pada semua sertifikat digital untuk memverifikasi keasliannya. Kode QR akan ditautkan ke sistem ICA di mana rincian sertifikat digital dapat diverifikasi terhadap database ICA.” Digitalisasi akta kelahiran dan kematian merupakan kebijakan inovatif dari pihak Singapura. Selain lebih efisien daripada proses manual, pendaftaran dan penyimpanan digital lebih aman dan hemat biaya. Dibandingkan dengan dokumen berbasis kertas, dokumen digital tidak dapat rusak oleh kebakaran dan bahaya lainnya dan tidak memerlukan banyak ruang fisik untuk dipelihara. Ini juga menawarkan fitur validasi dan autentikasi yang lebih kuat karena kode QR yang ditempatkan pada akta kelahiran dan kematian adalah kode digital yang lebih efektif melindunginya dari gangguan dibandingkan dengan tanda tangan tulisan tangan.Takeaway SSL.com: Sistem kode QR yang digunakan oleh Singapura untuk akta kelahiran dan kematian digitalnya yang baru menawarkan manfaat yang serupa dengan sertifikat digital penandatanganan dokumen kami. Menggunakan enkripsi data standar industri, Sertifikat penandatanganan dokumen SSL.com dapat menandatangani dokumen elektronik secara digital untuk membuktikan siapa pemilik dokumen tersebut dan memastikan bahwa dokumen tersebut tidak diubah sejak ditandatangani. Sertifikat penandatanganan dokumen kami memenuhi Undang-Undang ESIGN Federal AS dan undang-undang di banyak negara lain, sehingga dapat diterima secara hukum industri udang di seluruh dunia. . Selain itu, sertifikat penandatanganan dokumen kami dapat didaftarkan ke kami layanan penandatanganan cloud eSigner yang memungkinkan pengguna kami untuk menandatangani dokumen mereka dengan aman dari perangkat apa pun yang terhubung ke internetalat. Revolusi digital yang diterapkan oleh Singapura untuk catatan publiknya memvalidasi visi jangka panjang SSL.com dalam hal mengadvokasi transaksi berbasis digital, penyimpanan data, dan administrasi aset penting. Kepala ke kami PKI dan Sertifikat Digital untuk Pemerintah artikel untuk mempelajari lebih lanjut tentang bagaimana kami membantu lembaga pemerintah memperkuat keamanan siber mereka.
Lihat SSL.com Sertifikat Identitas Bisnis yang menawarkan Penandatanganan Dokumen, Keamanan Email, dan Otentikasi Klien.
PELAJARI LEBIH LANJUT TENTANG PENANDATANGANAN DOKUMEN
