XNUMX 月の始まりから終わりまでの間に、ニュース価値のあるサイバーセキュリティ関連の出来事が数多く発生しました。 ただし、それらについて説明する前に、SSL およびコード署名証明書に関して認証局/ブラウザ (CA/B) フォーラムによって行われた XNUMX つの新しい重要なポリシー変更についてこのニュースレターを公開します。
組織単位 (OU) はパブリック SSL で間もなく非推奨になります/TLS 証明書
投票結果によると SC47V2、認証局/ブラウザ (CA/B) フォーラムは、パブリック SSL/ の組織単位 (OU) フィールドを非推奨にすることを投票しました。TLS 証明書、1年2022月XNUMX日に期限が設定されています。 CA/B フォーラムは、組織単位の解釈は企業ごとに大きく異なる可能性があるため、外部リソースを使用して認証局を認証する場合に問題が生じると判断しました。 OU フィールドを削除すると、SSL/TLS 証明書を追加し、検証プロセスを改善します。 SSL.com では、お客様にとってこの新しいルールへの移行がスムーズに行えるようにしたいと考えています。 今後数か月間、1 月 XNUMX 日の締め切りに関するリマインダーと最新情報を送信する予定です。OVおよびIVコード署名証明書の新しいキーストレージ要件
1 年 2023 月 XNUMX 日以降、CA/Browser Forum の 新しいキーストレージ要件 コード署名証明書のセキュリティを強化するため、SSL.com の Organization Validation (OV) および Individual Validation (IV) コード署名証明書は、連邦情報処理標準 140-2 (FIPS 140-2) USB トークンまたは当社の eSigner を通じてのみ発行されます。クラウド コード署名サービス。Spotify が SSL 証明書を更新できなかったことにより、ポッドキャストの大規模なダウンタイムが発生
次に、デジタル証明書に関するいくつかのニュースクリップを見てみましょう。 まず、Spotify が所有するポッドキャスト プラットフォームが大幅なダウンタイムに見舞われたことが見出しになりました。 SSL 証明書の有効期限が切れたため、Megaphone のポッドキャスト リスナーは XNUMX 時間にわたって多くの番組にアクセスできなくなりました。 Spotifyの広報担当者エリン・スタイルズ氏は声明の中で、この事件の原因を次のように認めた。「SSL証明書に関連した問題により、Megaphoneはプラットフォームの停止に見舞われました。 停止中、クライアントは Megaphone CMS にアクセスできず、ポッドキャスト リスナーは Megaphone がホストするパブリッシャーからポッドキャスト エピソードをダウンロードできませんでした。」 Megaphone は 2020 年 XNUMX 月に XNUMX 年間の SSL 証明書を取得し、同年 XNUMX 月に同社は Spotify に買収されました。 この所有者の変更は、Megaphone の Web サイトのセキュリティ管理の見落としに寄与した可能性があります。 ポッドキャスター XNUMX 人 注目 この不具合により、ポッドキャスト番組のパブリッシャーは XNUMX 時間コンテンツをアップロードできなかったため、数千回のダウンロードが発生した可能性があると考えられています。 大企業がSSL証明書の更新を忘れるのはこれが初めてではない。 2015 年 XNUMX 月に、 Instagramの SSL 証明書の期限が切れたため、ユーザーにセキュリティ警告が表示されました。 顧客が影響を受けるコストと、証明書の期限切れに伴う深刻なセキュリティ リスクを組み合わせると、企業はこの単純なミスで多大な損失を被ることになります。 マリア・コロロフによれば、 CSO、「平均的なグローバル 5,000 企業は、証明書の停止によるビジネス損失から回復するために約 15 万ドルを費やしており、さらに 25 万ドルの潜在的なコンプライアンスへの影響に直面しています。」SSL.com の要点: Megaphone の事例は、大規模な組織が SSL 証明書の更新を独自に効果的に管理できるようにする際に直面する課題を示しています。 大企業は多くの業務を抱えており、IT 管理は決して得意分野ではありません。 これが、デジタル証明書の自動管理の世界的リーダーである Venafi と提携した理由です。 Venafi 用 SSL.com Adaptable Driver を使用すると、企業は証明書のプロビジョニングを自動化し、有効期限と失効を管理し、クライアント アクセスを保護し、暗号化サービスを簡単に管理できるようになります。 私たちのところへ行ってください 記事 適応ドライバーの完全な統合機能とダウンロード方法をご覧ください。 さらに、当社の主な目的の XNUMX つは Web サイトのセキュリティを広く推進することであるため、人気の高い SSL 用の自動証明書管理環境 (ACME) も提供しています。TLS 証明書の自動化。 ACME は、多くのクライアント実装が利用可能な十分に文書化されたオープン スタンダードとして、エンタープライズ証明書自動化ソリューションとして広く採用されています。 お客様がこのプロトコルを利用して SSL を簡単に自動化できることを嬉しく思います。TLS Web サイト証明書の発行と更新を行い、Web サイトをタイムリーに保護します。 時間をかけて読んでください SSL.com ACME の利点を最大限に活用.
SSL.comは多種多様な SSL /TLS サーバー証明書 HTTPSWebサイトの場合。
Tor で隠蔽された Web サイトが、安価でカスタマイズ可能なマルウェア バンドルを提供していることが判明
Tor に隠蔽された Web サイト Eternity Project が、スティーラー、ワーム、マイナー、ランサムウェアを含むマルウェア バンドルを年間 260 ドルという低価格で販売していることが明らかになりました。 Eternity が提供するマルウェアへの便利なアクセスは、近年のフィッシング、DDoS、ランサムウェア攻撃の増加と重なっているため、懸念事項となっています。 去年のXNUMX月、 安全保障 Frappo と呼ばれる新しい Phishing-as-a-Service が、大規模なオンライン バンキング Web サイト、電子商取引サイト、および有名な小売ブランド向けの非常に悪質なフィッシング ページの作成に使用されていたことを発見しました。 Frappo の開発者は技術サポートとアップデートの提供に全力を尽くしており、最新のターゲットは Uber と 20 の金融機関です。 ジェフ・バート 登録 Eternity が販売する簡単にアクセスできるマルウェアが、どのように企業や組織が直面するリスクを倍増させるかを説明しています。 彼らはマルウェアを自ら使用して不正に得た利益を得ることができます。 コードをリースまたは販売して現金をもたらします。 サポートおよび関連サービスの料金も請求されます。 同時に、独自の悪意のあるコードを開発するスキルや時間がない犯罪者は、他の人からコードを購入することができます。」SSL.com の教訓: マルウェア ベースの攻撃は、世界中の企業に毎年数十億ドルの損害を与えていますが、サイバー犯罪者に支払うことはますます敬遠されています。これは、一度お金を支払った後、彼らが言葉を忠実に守るという保証がないことが証拠で示されているためです。 悪意のある攻撃者はますます大胆になり、大規模な組織や企業を標的にすることを恐れなくなりました。 これまで以上にサイバーセキュリティ防御を強化する必要があります。 あなたが開発者/発行者または会社の所有者で、ソフトウェア資産をマルウェアベースの攻撃から保護したいと考えている場合は、当社の機能をご覧ください。 EV コード署名証明書 アプリケーションやプログラムの改ざんを強力に防止します。 電子メール アカウントをフィッシング攻撃から守り、重要なシステムへの不正アクセスを防ぎたい場合は、次のリンクもご覧ください。 Personal Pro EmailおよびClientAuth Certificate.
ユーザーはコードに署名できます eSigner のクラウドベースの拡張検証コード署名 能力。 詳細については、以下をクリックしてください。
シンガポール、紙ベースの出生証明書と死亡証明書をデジタルコード化された電子文書に置き換える
シンガポールは昨年29月XNUMX日から、国民に対する物理的な出生証明書と死亡証明書の発行を停止し、これらの書類のデジタルコピーを採用した。 これには、出生と死亡の登録に関してもオンラインへの移行が伴いました。 シンガポール人はこれまで、病院または入国管理局(ICA)に出生証明書を登録する必要があった。 シンガポールのICAによると、この変更は公共サービスをデジタル化するというシンガポール政府の使命の一環だという。 出生証明書と死亡証明書をデスクトップ コンピュータや携帯電話に登録、ダウンロード、保存できるようになったことで、シンガポールの住民はその手続きがより便利になったと感じています。 シンガポール標準時間の30月6日午後219時の時点で、ICAは物理的な出生証明書の39,100日平均のXNUMX倍となるXNUMX件のデジタル出生証明書を発行することができた。 この傾向が続けば、毎年処理できるデジタル証明書の数は、物理的な出生証明書の過去 XNUMX 年間の年間平均である XNUMX 件を超えると予想されます。 この大きな変更は、これらの重要な文書の検証および認証プロセスを改善するための戦略とみなされます。 ICA によると、「政府機関や業界団体、金融機関などの民間団体は、すべてのデジタル証明書に含まれる QR コードを使用して、その信頼性を検証できます。 QR コードは ICA システムにリンクされ、そこでデジタル証明書の詳細が ICA のデータベースと照合されます。」 出生証明書と死亡証明書のデジタル化は、シンガポール側の革新的な政策です。 デジタル登録と保管は手動プロセスよりも効率的であるだけでなく、安全でコスト効率も優れています。 紙ベースの文書と比較して、デジタル文書は火災やその他の危険によって損傷することがなく、維持するために多くの物理的スペースを必要としません。 また、出生証明書や死亡証明書に配置されている QR コードは、手書きの署名よりも効果的に改ざんから保護できるデジタル コードであるため、より強力な検証および認証機能も提供します。SSL.com のポイント: シンガポールが新しい出生および死亡デジタル証明書に使用している QR コード システムには、文書署名デジタル証明書と同様の利点があります。 業界標準のデータ暗号化を使用し、 SSL.com の文書署名証明書 電子文書にデジタル署名して、文書の所有者が誰であるかを証明し、文書が署名されてから変更されていないことを確認できます。 当社のドキュメント署名証明書は米国連邦 ESIGN 法および他の多くの国の法律を満たしており、法的に許容されます。 。 さらに、当社の文書署名証明書は、 eSigner クラウド署名サービス これにより、ユーザーはインターネットに接続された任意の場所からドキュメントに安全に署名できるようになります。エビス。 シンガポールが公的記録のために導入したデジタル革命は、デジタルベースの取引、データストレージ、重要資産の管理を提唱するという点で、SSL.com の長期的なビジョンを証明しています。 私たちに向かう PKI および政府のデジタル証明書 政府機関がサイバーセキュリティを強化するのをどのように支援するかについての詳細を学ぶための記事。
