Dall'inizio fino alla fine di maggio si sono verificati molti eventi di sicurezza informatica degni di nota. Ma prima di discuterne, apriremo questa newsletter con due nuove importanti modifiche alle politiche apportate dal Forum Certificate Authority/Browser (CA/B) per SSL e certificati di firma del codice.
L'unità organizzativa (UO) sarà presto ritirata in SSL pubblico/TLS certificato
Secondo i risultati del ballottaggio SC47V2, il forum Certificate Authority/Browser (CA/B) ha votato per deprecare il campo Organizational Unit (OU) per SSL pubblico/TLS certificati, con scadenza fissata al 1 settembre 2022. Il CA/B Forum ha stabilito che l'Unità Organizzativa può essere interpretata in modo molto diverso in ogni azienda, e quindi pone problemi a un'Autorità di Certificazione quando si tratta di autenticarla utilizzando risorse esterne. La rimozione del campo OU impedisce l'inclusione di informazioni incerte in SSL/TLS certificato e migliora il processo di convalida. Noi di SSL.com vogliamo garantire che il passaggio a questa nuova regola sia agevole per i nostri clienti. Nei prossimi mesi invieremo promemoria e aggiornamenti sulla scadenza del 1 settembre.Nuovi requisiti di archiviazione delle chiavi per i certificati di firma del codice OV e IV
A partire dal 1 giugno 2023, in ottemperanza al CA/Browser Forum nuovi requisiti di archiviazione delle chiavi per aumentare la sicurezza per i certificati di firma del codice, i certificati di firma del codice di convalida dell'organizzazione (OV) e di convalida individuale (IV) di SSL.com verranno emessi solo su token USB Federal Information Processing Standard 140-2 (FIPS 140-2) o tramite il nostro eSigner servizio di firma del codice cloud.eSigner fornisce una firma sicura del codice cloud senza bisogno di hardware aggiuntivo.
Ulteriori informazioni su eSigner
Enormi tempi di inattività del podcast causati dal mancato rinnovo del certificato SSL da parte di Spotify
E ora, passiamo ad alcuni notiziari che coinvolgono i certificati digitali. Prima di tutto, Spotify ha fatto notizia quando una piattaforma di podcast che possiede ha subito un periodo di inattività significativo. A causa di un certificato SSL scaduto, gli ascoltatori di podcast di Megaphone non sono stati in grado di accedere a molti dei loro programmi per otto ore. In una dichiarazione, la portavoce di Spotify Erin Styles ha confermato la causa dell'incidente: "Megaphone ha subito un'interruzione della piattaforma a causa di un problema relativo al nostro certificato SSL. Durante l'interruzione, i clienti non sono stati in grado di accedere al Megaphone CMS e gli ascoltatori di podcast non sono stati in grado di scaricare episodi di podcast dagli editori ospitati da Megaphone". Megaphone ha acquisito un certificato SSL di due anni a maggio 2020 e nel dicembre dello stesso anno l'azienda è stata acquistata da Spotify. Questo cambio di proprietà potrebbe aver contribuito a una svista sulla gestione della sicurezza del sito Web di Megaphone. Un podcaster osservato che il problema tecnico potrebbe aver causato agli editori di podcast migliaia di download perché non potevano caricare i loro contenuti per otto ore. Non è la prima volta che una grande azienda dimentica di rinnovare il proprio certificato SSL. Ad aprile 2015, InstagramIl certificato SSL scaduto ha portato i suoi utenti a ricevere avvisi di sicurezza. Se combiniamo i costi dei clienti interessati e i gravi rischi per la sicurezza che derivano da un certificato scaduto, le aziende perderanno molto con questo semplice errore. Secondo Maria Korolov di CSO, "l'azienda globale media di 5,000 persone spende circa $ 15 milioni per riprendersi dalla perdita di attività a causa di un'interruzione del certificato e deve affrontare altri $ 25 milioni di potenziale impatto sulla conformità".SSL.com's Takeaway: il caso di Megaphone dimostra la sfida che le grandi organizzazioni devono affrontare quando si tratta di essere in grado di gestire in modo efficace i rinnovi dei propri certificati SSL da sole. Le grandi aziende si occupano di molte operazioni e la gestione dell'IT semplicemente non è il loro forte. Questo è il motivo per cui abbiamo stretto una partnership con Venafi, leader mondiale nella gestione automatizzata dei certificati digitali. Con il driver adattabile SSL.com per Venafi, ora è più facile che mai per le aziende automatizzare il provisioning dei certificati, tenere il passo su scadenze e revoche, proteggere l'accesso dei clienti e gestire facilmente i servizi di crittografia. Vai al ns articolo per leggere le funzionalità di integrazione completa del nostro driver adattabile e come scaricarlo. Inoltre, poiché uno dei nostri obiettivi primari è promuovere la sicurezza diffusa del sito Web, offriamo anche il popolare ambiente di gestione automatizzata dei certificati (ACME) per SSL/TLS Automazione dei certificati. In quanto standard aperto e ben documentato con molte implementazioni client disponibili, ACME è ampiamente adottato come soluzione di automazione dei certificati aziendali. Siamo felici di dire che i nostri clienti sfruttano questo protocollo per automatizzare facilmente SSL/TLS emissione e rinnovo del certificato del sito Web e proteggere i propri siti Web in modo tempestivo. Prenditi del tempo per leggere il tutti i vantaggi di SSL.com ACME.
SSL.com fornisce un'ampia varietà di file SSL /TLS certificati del server per i siti Web HTTPS.
È stato scoperto che il sito Web nascosto da Tor offre pacchetti di malware economici e personalizzabili
È stato rivelato che Eternity Project, un sito Web nascosto in Tor, vende pacchetti di malware, inclusi ladri, worm, minatori e ransomware a un prezzo annuo di soli $ 260. Il comodo accesso al malware fornito da Eternity è motivo di preoccupazione in quanto coincide con i crescenti casi di attacchi di phishing, DDoS e ransomware negli ultimi anni. Proprio lo scorso aprile, Risicurezza ha scoperto un nuovo Phishing-as-a-Service chiamato Frappo che veniva utilizzato per produrre pagine di phishing altamente subdole per grandi siti Web di banking online, siti di e-commerce e noti marchi di vendita al dettaglio. Gli sviluppatori di Frappo sono andati a tal punto da fornire supporto tecnico e aggiornamenti, con i loro obiettivi più recenti come Uber e 20 istituzioni finanziarie. Jeff Burt di Il registro spiega come il malware facilmente accessibile venduto da Eternity moltiplichi i rischi affrontati da aziende e organizzazioni: “Con il malware-as-a-service, il programmatore ha diverse opportunità per guadagnare dal proprio lavoro. Possono usare il loro malware da soli per accumulare guadagni illeciti; portare in contanti noleggiando o vendendo il codice; e addebito per supporto e servizi correlati. Allo stesso tempo, i truffatori che non hanno le capacità o il tempo per sviluppare il proprio codice dannoso possono semplicemente acquistarlo da qualcun altro".SSL.com's Takeaway: gli attacchi basati su malware costano alle aziende in tutto il mondo miliardi di dollari ogni anno e pagare i criminali informatici è sempre più sconsigliato perché le prove dimostrano che non vi è alcuna garanzia che saranno fedeli alle loro parole una volta pagati. Gli attori dannosi stanno diventando più audaci e hanno meno paura di prendere di mira grandi organizzazioni e aziende. Più che mai, dovresti migliorare le tue difese di sicurezza informatica. Se sei uno sviluppatore/editore o il proprietario di un'azienda e stai cercando di proteggere le tue risorse software da attacchi basati su malware, puoi guardare le funzionalità del nostro Certificati di firma del codice EV che impediscono fortemente la manomissione di applicazioni e programmi. Se desideri difendere i tuoi account di posta elettronica dagli attacchi di phishing e impedire l'accesso non autorizzato ai tuoi sistemi critici, puoi anche dare un'occhiata al nostro Email personale Pro e certificato ClientAuth.
Gli utenti possono firmare il codice con Firma del codice di convalida estesa basata su cloud di eSigner capacità. Clicca sotto per maggiori informazioni.
Singapore sostituisce i certificati di nascita e morte cartacei con documenti elettronici codificati digitalmente
A partire dal 29 maggio scorso Singapore ha smesso di rilasciare certificati fisici di nascita e morte per i propri cittadini a favore delle copie digitali di questi documenti. Ciò ha comportato anche un passaggio online per quanto riguarda la registrazione delle nascite e dei decessi. I singaporiani in precedenza dovevano registrare un certificato di nascita in ospedale o presso l'Autorità per l'immigrazione e i checkpoint (ICA). Secondo l'ICA di Singapore, questo cambiamento fa parte del mandato del loro governo di digitalizzare i servizi pubblici. Ora che i certificati di nascita e morte possono essere registrati, scaricati e archiviati su computer desktop o telefoni cellulari, i residenti di Singapore trovano più conveniente affrontare il processo. Al 30 maggio, alle 6:219 ora solare di Singapore, l'ICA è stata in grado di rilasciare 39,100 certificati di nascita digitali, il doppio della media giornaliera dei certificati di nascita fisici. Se questa tendenza continua, i certificati digitali che possono essere elaborati ogni anno dovrebbero superare la media annuale degli ultimi cinque anni per i certificati di nascita fisici che era di XNUMX. Questo importante cambiamento è visto come una strategia per fornire migliori processi di convalida e autenticazione per questi importanti documenti. Secondo ICA, “le agenzie governative e gli enti privati, come le associazioni di categoria e le istituzioni finanziarie, possono utilizzare i codici QR inclusi in tutti i certificati digitali per verificarne l'autenticità. Il codice QR sarà collegato a un sistema ICA in cui i dettagli sul certificato digitale possono essere verificati rispetto al database di ICA". La digitalizzazione dei certificati di nascita e morte è una politica innovativa da parte di Singapore. Oltre a essere più efficienti dei processi manuali, la registrazione e l'archiviazione digitali sono più sicure e più convenienti. Rispetto ai documenti cartacei, i documenti digitali non possono essere danneggiati da incendi e altri pericoli e non richiedono molto spazio fisico per essere mantenuti. Offre inoltre funzionalità di convalida e autenticazione più efficaci perché i codici QR inseriti sui certificati di nascita e morte sono codici digitali che li proteggono in modo più efficace dalla manomissione rispetto alle firme manoscritte.Takeaway di SSL.com: il sistema di codici QR utilizzato da Singapore per i suoi nuovi certificati di nascita e morte digitali offre vantaggi simili ai nostri certificati digitali per la firma dei documenti. Utilizzando la crittografia dei dati standard del settore, Certificati di firma dei documenti di SSL.com può firmare digitalmente documenti elettronici per provare chi sono i proprietari dei documenti e assicurarsi che questi non siano stati alterati da quando sono stati firmati. I nostri certificati di firma dei documenti soddisfano il Federal ESIGN Act degli Stati Uniti e le leggi di molte altre nazioni, il che li rende legalmente accettabili In tutto il mondo. Inoltre, i nostri certificati di firma dei documenti possono essere registrati nel nostro Servizio di firma su cloud eSigner che consente ai nostri utenti di firmare in modo sicuro i propri documenti da qualsiasi connessione Internet device. La rivoluzione digitale implementata da Singapore per i suoi archivi pubblici convalida la visione a lungo termine di SSL.com quando si tratta di sostenere le transazioni digitali, l'archiviazione dei dati e l'amministrazione di risorse critiche. Andiamo al nostro PKI e certificati digitali per il governo articolo per saperne di più su come aiutiamo le istituzioni governative a rafforzare la loro sicurezza informatica.
Dai un'occhiata a SSL.com Certificati di identità aziendale che offrono Firma documenti, Sicurezza e-mail e Autenticazione client.
SCOPRI DI PIÙ SULLA FIRMA DEI DOCUMENTI
