Resumo de segurança cibernética de maio de 2022

Muitos eventos de segurança cibernética dignos de notícia ocorreram desde o início até o final de maio. Mas antes de discutirmos isso, abriremos este boletim informativo com duas novas e importantes alterações de política feitas pelo Fórum da Autoridade de Certificação/Navegador (CA/B) para certificados SSL e de assinatura de código.  

Unidade organizacional (OU) em breve será preterida em SSL público/TLS certificados

De acordo com os resultados da votação SC47V2, o Fórum da Autoridade de Certificação/Navegador (CA/B) votou para descontinuar o campo Unidade Organizacional (OU) para SSL/TLS certificados, com prazo fixado em 1º de setembro de 2022.  O Fórum CA/B determinou que a Unidade Organizacional pode ser interpretada de maneira muito diferente em cada empresa e, portanto, apresenta problemas para uma Autoridade Certificadora quando se trata de autenticá-la usando recursos externos. A remoção do campo OU evita que informações incertas sejam incluídas no SSL/TLS certificado e melhora o processo de validação. Nós da SSL.com queremos garantir que a transição para essa nova regra seja tranquila para nossos clientes. Nos próximos meses, enviaremos lembretes e atualizações sobre o prazo de 1º de setembro. 

Novos requisitos de armazenamento de chaves para certificados de assinatura de código OV e IV

A partir de 1º de junho de 2023, em conformidade com o CA/Browser Forum novos requisitos de armazenamento de chaves para aumentar a segurança dos certificados de assinatura de código, os Certificados de Assinatura de Código de Validação da Organização (OV) e da Validação Individual (IV) da SSL.com serão emitidos apenas em tokens USB do Padrão de Processamento de Informações Federais 140-2 (FIPS 140-2) ou por meio de nosso eSigner serviço de assinatura de código em nuvem.

O eSigner fornece assinatura de código em nuvem segura sem a necessidade de hardware adicional.

Saiba mais sobre o eSigner

Enorme tempo de inatividade do podcast causado pelo Spotify não renovar seu certificado SSL

E agora, alguns clipes de notícias envolvendo certificados digitais. Em primeiro lugar, o Spotify ganhou as manchetes quando uma plataforma de podcast de sua propriedade passou por um tempo de inatividade significativo. Devido a um certificado SSL expirado, os ouvintes de podcast do Megaphone não conseguiram acessar muitos de seus programas por oito horas.  Em um comunicado, a porta-voz do Spotify, Erin Styles, confirmou a causa do incidente: “O Megaphone sofreu uma interrupção na plataforma devido a um problema relacionado ao nosso certificado SSL. Durante a interrupção, os clientes não conseguiram acessar o Megaphone CMS e os ouvintes de podcast não conseguiram baixar episódios de podcast de editores hospedados no Megaphone.”  A Megaphone adquiriu um certificado SSL de dois anos em maio de 2020 e em dezembro do mesmo ano, a empresa foi comprada pelo Spotify. Essa mudança de propriedade pode ter contribuído para um descuido no gerenciamento de segurança do site da Megaphone.  Um podcaster comentou que a falha pode ter causado milhares de downloads aos editores de podcasts porque eles não puderam enviar seu conteúdo por oito horas.  Esta não é a primeira vez que uma grande empresa se esquece de renovar seu certificado SSL. Em abril de 2015, InstagramO certificado SSL expirado da empresa resultou em seus usuários recebendo avisos de segurança. Se combinarmos os custos dos clientes afetados e os graves riscos de segurança que acompanham um certificado expirado, as empresas podem perder muito com esse simples erro. Segundo Maria Korolov da CSO, “a empresa global média de 5,000 gasta cerca de US$ 15 milhões para se recuperar da perda de negócios devido a uma falha de certificado – e enfrenta outros US$ 25 milhões em potencial impacto de conformidade”.  
A lição do SSL.com: O caso do Megaphone demonstra o desafio que as grandes organizações enfrentam quando se trata de gerenciar com eficácia suas renovações de certificados SSL por conta própria. Grandes empresas lidam com muitas operações e gerenciamento de TI simplesmente não é o seu forte. Esta é a razão pela qual fizemos parceria com a Venafi – líder global quando o assunto é gerenciamento automatizado de certificados digitais. Com o driver adaptável SSL.com para Venafi, agora é mais fácil do que nunca para as empresas automatizar o provisionamento de certificados, acompanhar expirações e revogações, proteger o acesso do cliente e gerenciar facilmente os serviços de criptografia. Dirija-se ao nosso artigo para ler os recursos de integração completos do nosso driver adaptável e como baixá-lo. Além disso, como um de nossos principais objetivos é promover ampla segurança do site, também oferecemos o popular Automated Certificate Management Environment (ACME) para SSL/TLS Automação de certificados. Como um padrão aberto e bem documentado com muitas implementações de clientes disponíveis, o ACME é amplamente adotado como uma solução de automação de certificados corporativos. Estamos felizes em dizer que nossos clientes aproveitam este protocolo para automatizar facilmente o SSL/TLS emissão e renovação de certificados de sites e proteger seus sites em tempo hábil. Reserve algum tempo para ler o todas as vantagens do SSL.com ACME.

SSL.com oferece uma grande variedade de SSL /TLS certificados de servidor para sites HTTPS.

COMPARAR SSL /TLS CERTIFICADOS

Descoberto site oculto pelo Tor oferece pacotes de malware baratos e personalizáveis

Foi revelado que o Eternity Project, um site escondido no Tor, está vendendo pacotes de malware, incluindo ladrões, worms, mineradores e ransomware por uma taxa anual de até US$ 260. O acesso conveniente ao malware fornecido pela Eternity é motivo de preocupação, pois coincide com o aumento dos casos de ataques de phishing, DDoS e ransomware nos últimos anos.  Apenas em abril passado, Ressegurança descobriu um novo Phishing-as-a-Service chamado Frappo, que estava sendo usado para produzir páginas de phishing altamente desonestas para grandes sites de bancos on-line, sites de comércio eletrônico e marcas de varejo conhecidas. Os desenvolvedores do Frappo chegaram a ponto de fornecer suporte técnico e atualizações, com seus alvos mais recentes sendo o Uber e 20 instituições financeiras.  Jeff Burt de O registro explica como o malware de fácil acesso vendido pela Eternity multiplica os riscos enfrentados por empresas e organizações: “Com o malware como serviço, o programador tem várias oportunidades de ganhar dinheiro com seu trabalho. Eles podem usar seus próprios malwares para obter ganhos ilícitos; trazer dinheiro alugando ou vendendo o código; e cobrar pelo suporte e serviços relacionados. Ao mesmo tempo, bandidos que não têm habilidades ou tempo para desenvolver seu próprio código malicioso podem simplesmente comprá-lo de outra pessoa.”
Conclusão do SSL.com: os ataques baseados em malware custam bilhões de dólares às empresas em todo o mundo todos os anos, e o pagamento de cibercriminosos é cada vez mais desencorajado porque as evidências mostram que não há garantia de que eles serão fiéis às suas palavras quando forem pagos. Atores maliciosos estão ficando mais ousados ​​e com menos medo de atacar grandes organizações e empresas. Mais do que nunca, você deve melhorar suas defesas de segurança cibernética. Se você é um desenvolvedor/editor ou proprietário de uma empresa e está procurando proteger seus ativos de software contra ataques baseados em malware, consulte os recursos do nosso Certificados de assinatura de código EV que impedem fortemente a adulteração de aplicativos e programas. Se você deseja defender suas contas de e-mail contra ataques de phishing e impedir o acesso não autorizado aos seus sistemas críticos, você também pode dar uma olhada em nosso Personal Pro Email e ClientAuth Certificate.

Os usuários podem assinar o código com Assinatura de código de validação estendida baseada em nuvem do eSigner capacidade. Clique abaixo para mais informações.

SAIBA MAIS

Cingapura substitui certidões de nascimento e óbito em papel por documentos eletrônicos codificados digitalmente 

A partir de 29 de maio passado, Cingapura parou de emitir certidões físicas de nascimento e óbito para seus cidadãos em favor de cópias digitais desses documentos. Isso também implicou uma mudança online quando se trata de registro de nascimentos e óbitos. Anteriormente, os cingapurianos precisavam registrar uma certidão de nascimento no hospital ou na Autoridade de Imigração e Pontos de Verificação (ICA).   De acordo com a ICA de Cingapura, essa mudança faz parte do mandato de seu governo para digitalizar os serviços públicos. Agora que as certidões de nascimento e óbito podem ser registradas, baixadas e armazenadas em computadores ou telefones celulares, os residentes de Cingapura estão achando mais conveniente lidar com o processo.      Em 30 de maio, às 6h, horário padrão de Cingapura, o ICA conseguiu liberar 219 certidões de nascimento digitais, o dobro da média diária das certidões de nascimento físicas. Se essa tendência continuar, espera-se que os certificados digitais que podem ser processados ​​a cada ano ultrapassem a média anual dos últimos cinco anos para certidões de nascimento físicas, que era de 39,100.   Essa grande mudança é vista como uma estratégia para fornecer melhores processos de validação e autenticação para esses importantes documentos. De acordo com o ICA, “órgãos governamentais e entidades privadas, como associações do setor e instituições financeiras, podem usar códigos QR incluídos em todos os certificados digitais para verificar sua autenticidade. O código QR será vinculado a um sistema ICA onde os detalhes do certificado digital podem ser verificados no banco de dados do ICA.” A digitalização de certidões de nascimento e óbito é uma política inovadora por parte de Cingapura. Além de ser mais eficiente que os processos manuais, o registro e armazenamento digital são mais seguros e econômicos. Em comparação com documentos em papel, os documentos digitais não podem ser danificados por fogo e outros perigos e não requerem muito espaço físico para serem mantidos. Ele também oferece recursos de validação e autenticação mais fortes porque os códigos QR colocados nas certidões de nascimento e óbito são códigos digitais que os protegem de forma mais eficaz contra adulteração, em oposição às assinaturas manuscritas.
Dica do SSL.com: O sistema de código QR usado por Cingapura para suas novas certidões digitais de nascimento e óbito oferece benefícios semelhantes aos nossos certificados digitais de assinatura de documentos. Usando criptografia de dados padrão do setor, Certificados de assinatura de documentos do SSL.com pode assinar digitalmente documentos eletrônicos para provar quem é o proprietário dos documentos e garantir que eles não tenham sido alterados desde que foram assinados. Nossos certificados de assinatura de documentos atendem ao US Federal ESIGN Act e às leis de muitas outras nações, tornando-os legalmente aceitáveis no mundo todo. Além disso, nossos certificados de assinatura de documentos podem ser registrados em nosso Serviço de assinatura em nuvem eSigner que permite que nossos usuários assinem seus documentos com segurança de qualquer ddispositivo. A revolução digital implementada por Cingapura para seus registros públicos valida a visão de longo prazo da SSL.com quando se trata de defender transações digitais, armazenamento de dados e administração de ativos críticos. Dirija-se ao nosso PKI e certificados digitais para governo artigo para saber mais sobre como ajudamos as instituições governamentais a fortalecer sua segurança cibernética.

Confira SSL.com  Certificados de identidade comercial que oferecem assinatura de documentos, segurança de e-mail e autenticação de cliente.

SAIBA MAIS SOBRE ASSINATURA DE DOCUMENTOS

Inscreva-se no boletim informativo de SSL.com

Não perca novos artigos e atualizações de SSL.com

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.