Od początku do końca maja miało miejsce wiele wartych opublikowania wydarzeń związanych z cyberbezpieczeństwem. Ale zanim je omówimy, otworzymy ten biuletyn z dwiema nowymi ważnymi zmianami polityki wprowadzonymi przez forum urzędu certyfikacji/przeglądarki (CA/B) dla certyfikatów SSL i podpisywania kodu.
Jednostka organizacyjna (OU) wkrótce zostanie wycofana z publicznego SSL/TLS certyfikaty
Zgodnie z wynikami głosowania SC47V2, forum urzędu certyfikacji/przeglądarki (CA/B) zagłosowało za wycofaniem pola Jednostka organizacyjna (OU) dla publicznego protokołu SSL/TLS zaświadczenia, z terminem ustalonym na 1 września 2022 r. Forum CA/B ustaliło, że jednostka organizacyjna może być bardzo różnie interpretowana w każdej firmie, co stwarza problemy dla urzędu certyfikacji, jeśli chodzi o uwierzytelnianie jej przy użyciu zewnętrznych zasobów. Usunięcie pola OU zapobiega dołączaniu niepewnych informacji do SSL/TLS certyfikat i usprawnia proces walidacji. W SSL.com chcemy mieć pewność, że przejście na tę nową zasadę będzie płynne dla naszych klientów. W kolejnych miesiącach będziemy wysyłać przypomnienia i aktualizacje dotyczące terminu 1 września.Nowe wymagania dotyczące przechowywania kluczy dla certyfikatów podpisywania kodu OV i IV
Od 1 czerwca 2023 r. zgodnie z wytycznymi CA/Browser Forum nowe wymagania dotyczące przechowywania kluczy w celu zwiększenia bezpieczeństwa certyfikatów podpisywania kodu certyfikaty podpisywania kodu organizacji SSL.com (OV) i weryfikacji indywidualnej (IV) będą wydawane wyłącznie na tokenach USB Federal Information Processing Standard 140-2 (FIPS 140-2) lub za pośrednictwem naszego eSigner usługa podpisywania kodu w chmurze.eSigner zapewnia bezpieczne podpisywanie kodu w chmurze bez dodatkowego sprzętu.
Ogromny czas przestoju podcastów spowodowany brakiem odnowienia certyfikatu SSL przez Spotify
A teraz przejdźmy do kilku klipów informacyjnych z certyfikatami cyfrowymi. Po pierwsze, Spotify trafiło na pierwsze strony gazet, gdy należąca do niego platforma podcastowa doświadczyła znacznego przestoju. Z powodu wygasłego certyfikatu SSL słuchacze podcastów Megaphone nie mogli uzyskać dostępu do wielu swoich programów przez osiem godzin. W oświadczeniu rzeczniczka Spotify, Erin Styles, potwierdziła przyczynę incydentu: „Megafon doświadczył awarii platformy z powodu problemu związanego z naszym certyfikatem SSL. Podczas awarii klienci nie mogli uzyskać dostępu do Megaphone CMS, a słuchacze podcastów nie mogli pobrać odcinków podcastów od wydawców hostowanych przez Megaphone. Megaphone uzyskał dwuletni certyfikat SSL w maju 2020 roku, a w grudniu tego samego roku firma została kupiona przez Spotify. Ta zmiana właściciela mogła przyczynić się do przeoczenia zarządzania bezpieczeństwem witryny Megaphone. Jeden podcaster zauważyłem że usterka mogła spowodować, że podcasty pokazują wydawcom tysiące pobrań, ponieważ nie mogli przesyłać swoich treści przez osiem godzin. To nie pierwszy raz, kiedy duża firma zapomniała o odnowieniu certyfikatu SSL. W kwietniu 2015 r. Instagramwygasły certyfikat SSL spowodował, że użytkownicy otrzymywali ostrzeżenia dotyczące bezpieczeństwa. Jeśli połączymy koszty klientów, których to dotyczy, i poważne zagrożenia bezpieczeństwa związane z wygasłym certyfikatem, firmy mogą wiele stracić na tym prostym błędzie. Według Marii Korołowa z GUS, „przeciętna globalna firma o wartości 5,000 USD wydaje około 15 mln USD, aby odzyskać utraconą pozycję w wyniku awarii certyfikatu — i czeka kolejne 25 mln USD w zakresie potencjalnego wpływu na zgodność”.Na wynos SSL.com: przypadek Megaphone pokazuje wyzwanie, przed jakim stoją duże organizacje, jeśli chodzi o możliwość samodzielnego skutecznego zarządzania odnowieniami certyfikatów SSL. Duże firmy zajmują się wieloma operacjami, a zarządzanie IT po prostu nie jest ich mocną stroną. To jest powód, dla którego nawiązaliśmy współpracę z Venafi – światowym liderem, jeśli chodzi o automatyczne zarządzanie certyfikatami cyfrowymi. Dzięki adaptowalnemu sterownikowi SSL.com dla Venafi firmy mogą teraz łatwiej niż kiedykolwiek zautomatyzować udostępnianie certyfikatów, śledzić wygaśnięcia i unieważnienia, chronić dostęp klientów i łatwo zarządzać usługami szyfrowania. Udaj się do naszego artykuł aby zapoznać się z pełnymi funkcjami integracji naszego adaptowalnego sterownika, a także jak go pobrać. Ponadto, ponieważ jednym z naszych głównych celów jest promowanie powszechnego bezpieczeństwa witryn internetowych, oferujemy również popularne środowisko automatycznego zarządzania certyfikatami (ACME) dla SSL/TLS Automatyzacja certyfikatów. Jako dobrze udokumentowany, otwarty standard z wieloma dostępnymi implementacjami klienckimi, ACME jest szeroko stosowany jako rozwiązanie do automatyzacji certyfikatów w przedsiębiorstwie. Z przyjemnością informujemy, że nasi klienci wykorzystują ten protokół do łatwej automatyzacji SSL/TLS wydawanie i odnawianie certyfikatów witryn internetowych oraz terminowe zabezpieczanie witryn internetowych. Poświęć trochę czasu na przeczytanie pełne zalety SSL.com ACME.
SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS.
Odkryto, że ukryta witryna Tor oferuje tanie i konfigurowalne pakiety złośliwego oprogramowania
Ujawniono, że Eternity Project, strona ukryta w sieci Tor, sprzedaje pakiety złośliwego oprogramowania, w tym złodzieje, robaki, koparki i oprogramowanie ransomware za roczną stawkę zaledwie 260 USD. Wygodny dostęp do złośliwego oprogramowania zapewniany przez Eternity jest niepokojący, ponieważ zbiega się on z coraz częstszymi przypadkami ataków typu phishing, DDoS i ransomware w ostatnich latach. Tylko w kwietniu ubiegłego roku Bezpieczeństwo odkrył nową usługę Phishing-as-a-Service o nazwie Frappo, która była wykorzystywana do tworzenia wysoce przebiegłych stron phishingowych dla dużych witryn bankowości internetowej, witryn handlu elektronicznego i znanych marek detalicznych. Twórcy Frappo posunęli się do tego stopnia, aby zapewnić wsparcie techniczne i aktualizacje, a ich ostatnimi celami są Uber i 20 instytucji finansowych. Jeff Burt z Rejestr wyjaśnia, w jaki sposób łatwo dostępne złośliwe oprogramowanie sprzedawane przez Eternity zwielokrotnia ryzyko, przed którym stają firmy i organizacje: „Dzięki złośliwemu oprogramowaniu jako usłudze programista ma różne możliwości zarabiania pieniędzy na swojej pracy. Mogą sami wykorzystać swoje złośliwe oprogramowanie do zbierania nieuczciwie zdobytych zysków; wnieść gotówkę leasingiem lub sprzedażą kodu; oraz opłata za wsparcie i powiązane usługi. Jednocześnie oszuści, którzy nie mają umiejętności ani czasu na opracowanie własnego złośliwego kodu, mogą go po prostu kupić od kogoś innego”.Na wynos SSL.com: Ataki oparte na złośliwym oprogramowaniu kosztują firmy na całym świecie miliardy dolarów każdego roku, a płacenie cyberprzestępcom jest coraz bardziej zniechęcane, ponieważ dowody wskazują, że nie ma pewności, że dotrzymają swoich słów po otrzymaniu zapłaty. Złośliwi aktorzy stają się coraz odważniejsi i mniej boją się atakować duże organizacje i firmy. Bardziej niż kiedykolwiek powinieneś poprawić swoje zabezpieczenia w zakresie cyberbezpieczeństwa. Jeśli jesteś programistą/wydawcą lub właścicielem firmy i chcesz chronić swoje zasoby oprogramowania przed atakami wykorzystującymi złośliwe oprogramowanie, możesz zapoznać się z funkcjami naszego Certyfikaty podpisywania kodu EV które silnie zapobiegają ingerencji w aplikacje i programy. Jeśli chcesz chronić swoje konta e-mail przed atakami phishingowymi i zapobiegać nieautoryzowanemu dostępowi do krytycznych systemów, możesz również zapoznać się z naszym E-mail Personal Pro i certyfikat ClientAuth.
Użytkownicy mogą podpisywać kod za pomocą eSigner oparte na chmurze podpisywanie kodu rozszerzonej walidacji zdolność. Kliknij poniżej, aby uzyskać więcej informacji.
Singapur zastępuje papierowe akty urodzenia i zgonu zakodowanymi cyfrowo dokumentami elektronicznymi
Od 29 maja Singapur przestał wydawać swoim obywatelom fizyczne akty urodzenia i zgonu na rzecz kopii cyfrowych tych dokumentów. Pociągnęło to za sobą również zmianę online, jeśli chodzi o rejestrację urodzeń i zgonów. Singapurczycy wcześniej musieli rejestrować akt urodzenia w szpitalu lub w Urzędzie Imigracyjnym i Punktów Kontrolnych (ICA). Według ICA w Singapurze ta zmiana jest częścią mandatu ich rządu do cyfryzacji usług publicznych. Teraz, gdy akty urodzenia i zgonu można rejestrować, pobierać i przechowywać na komputerach stacjonarnych lub telefonach komórkowych, mieszkańcy Singapuru uważają, że łatwiej jest sobie z tym poradzić. Według stanu na dzień 30 maja o godzinie 6:219 czasu standardowego Singapuru ICA była w stanie wydać 39,100 cyfrowych aktów urodzenia, co stanowiło dwukrotność średniej dziennej dla fizycznych aktów urodzenia. Jeśli ten trend się utrzyma, oczekuje się, że cyfrowe świadectwa, które można przetwarzać każdego roku, przekroczą średnią roczną z ostatnich pięciu lat dla fizycznych aktów urodzenia, która wynosiła XNUMX XNUMX. Ta poważna zmiana jest postrzegana jako strategia mająca na celu zapewnienie lepszych procesów walidacji i uwierzytelniania tych ważnych dokumentów. Według ICA „agencje rządowe i podmioty prywatne, takie jak stowarzyszenia branżowe i instytucje finansowe, mogą używać kodów QR zawartych na wszystkich certyfikatach cyfrowych w celu weryfikacji ich autentyczności. Kod QR zostanie połączony z systemem ICA, w którym szczegóły dotyczące certyfikatu cyfrowego będą mogły być zweryfikowane w bazie danych ICA.” Digitalizacja aktów urodzenia i zgonu to innowacyjna polityka Singapuru. Oprócz tego, że są bardziej wydajne niż procesy ręczne, cyfrowa rejestracja i przechowywanie są bezpieczniejsze i bardziej opłacalne. W porównaniu z dokumentami papierowymi, dokumenty cyfrowe nie mogą zostać uszkodzone przez ogień i inne zagrożenia, a ich utrzymanie nie wymaga dużej przestrzeni fizycznej. Oferuje również silniejsze funkcje walidacji i uwierzytelniania, ponieważ kody QR umieszczane na świadectwach urodzenia i zgonu są kodami cyfrowymi, które skuteczniej chronią je przed manipulacją, w przeciwieństwie do podpisów odręcznych.Na wynos SSL.com: System kodów QR używany przez Singapur do nowych cyfrowych aktów urodzenia i zgonu oferuje podobne korzyści, jak nasze cyfrowe certyfikaty podpisywania dokumentów. Korzystanie ze standardu branżowego szyfrowania danych, Certyfikaty podpisywania dokumentów SSL.com może cyfrowo podpisywać dokumenty elektroniczne, aby udowodnić, kto jest ich właścicielem i upewnić się, że nie zostały one zmienione od czasu ich podpisania. Nasze certyfikaty podpisywania dokumentów są zgodne z amerykańską federalną ustawą ESIGN i prawami wielu innych krajów, dzięki czemu są prawnie dopuszczalne na calym swiecie. Dodatkowo nasze certyfikaty podpisywania dokumentów można zarejestrować w naszym Usługa podpisywania eSigner w chmurze co pozwala naszym użytkownikom bezpiecznie podpisywać swoje dokumenty z dowolnego połączonego z Internetem durządzenie. Cyfrowa rewolucja wdrożona przez Singapur dla rejestrów publicznych potwierdza długoterminową wizję SSL.com, jeśli chodzi o propagowanie transakcji cyfrowych, przechowywanie danych i administrowanie krytycznymi zasobami. Udaj się do naszego PKI oraz certyfikaty cyfrowe dla rządu artykuł, aby dowiedzieć się więcej o tym, jak pomagamy instytucjom rządowym wzmocnić ich cyberbezpieczeństwo.
Sprawdź SSL.com Certyfikaty tożsamości biznesowej które oferują podpisywanie dokumentów, zabezpieczenia poczty e-mail i uwierzytelnianie klienta.
DOWIEDZ SIĘ WIĘCEJ O PODPISOWANIU DOKUMENTÓW
