De senaste nyheterna, insikterna och vad vi hör mellan sessionerna. Vår dagliga journal direkt från Moscone Center-golvet, sammanställd av vårt team från verkstaden, inklusive Leo Grove, VD och koncernchef för SSL.
Torsdag, mars 26, 2026
Från Daniel Rendon, SSL vice vd för strategiska partnerskap och affärsutveckling:
På min sista dag på RSAC 2026 deltog jag i en session om CVE. Som Cloud Signature Consortium styrelseledamot, jag är särskilt intresserad av standarder och teknisk interoperabilitet för att främja gemensam innovation och effektiv gränsöverskridande kommunikation.
CVE-styrelsen utövar strategisk tillsyn över Uppdraget för programmet för vanliga sårbarheter och exponeringar (CVE). Det fastställer policyer för att identifiera, namnge och dela sårbarheter mellan myndigheter och privat industri.
Medan MITER Corporation För att driva programmet har det historiskt sett finansierats och stöttats av det amerikanska departementet för inrikes säkerhet, vilket har placerat det inom en hybrid offentlig-privat styrningsmodell som är avgörande för global cybersäkerhetssamordning. Under senare år har oro uppstått kring finansieringsstabilitet och geopolitisk fragmentering, vilket ökar risken för att det centraliserade CVE-systemet kan försvagas eller splittras.
Att hålla CVE kontinuerligt uppdaterat och välstyrt är viktigt eftersom det fungerar som det universella referenslageret för sårbarhetshantering. Utan det skulle samordnad avslöjande, patchning och gränsöverskridande hotinformation bli långsammare, inkonsekvent och betydligt mindre effektiv.
Dessa utmaningar upprepades under sessionen, där deltagarna ifrågasatte regeringens roll i att sätta standarder för att bekämpa det snabbt föränderliga cybersäkerhetslandskapet. Jag instämmer i panelens åsikter: det finns en roll för regeringen i att utveckla standarder när det gemensamma bästa är en viktig faktor och konkurrerande intressen kan motverka drivkraften att anta en gemensam standard. Det är mycket svårt att hålla politiken borta från denna roll, men helt privata standardramverk har oundvikligen personliga och ekonomiska incitament som inte är i linje med det gemensamma bästa.
I samband med organisationer som The Cloud Signature Consortium, i takt med att fler handelsavtal, såsom Handelsavtalet mellan Mercosur och Europeiska kommissionen, implementeras i en alltmer multipolär handelsmiljö, kommer behovet av interoperabla standarder för digital identitet och digitala signaturer att öka. Jag ser fram emot de samtal vi kommer att ha på CSC:s evenemang Trust Without Borders, 13-14 maj i Bogotá, Colombia, där vi kommer att sammankalla myndigheter, privata företag och akademiska intressenter för att inte bara diskutera hur vi kan bli mer interoperabla över gränserna utan också för att åta oss att vidta åtgärder.
Onsdag, Mars 25, 2026
Från Daniel Rendon, SSL vice vd för strategiska partnerskap och affärsutveckling:
Här är lite att fundera över: Borde juridikutbildningsutbildningar införliva kodsignering i den AI-genererade kod de tillhandahåller användarna? Hur mycket ansvar bör ingenjörer ha i ett juridikutbildningsdrivet utvecklingsarbetsflöde?
En av veckans mest insiktsfulla paneldiskussioner här på RSAC skar igenom mycket av bruset kring GenAI inom mjukvaruutveckling. Den fokuserade på en kritisk verklighet: GenAI accelererar kodning, men den introducerar också nya risklager, inklusive sårbara kodmönster, prompt-injection-attacker och osäkra beroenden, bland de mest angelägna. Betoningen på styrning, skyddsräcken och transparens gjorde det tydligt att säker implementering inte är valfri; den är grundläggande, men den har fortfarande en väg att gå i den verkliga världen.
Ett särskilt intressant ögonblick var en livlig oenighet bland paneldeltagarna om vilken roll ingenjörer bör spela i GenAI-assisterad kodning. Vissa menade att ingenjörer borde fortsätta vara djupt involverade i både generering och granskning av kod, och behandla juridikexperter som produktivitetsverktyg snarare än beslutsfattare. Andra förespråkade en mer automatiserad framtid, där juridikexperter hanterar större delar av kodgenereringen, där ingenjörer främst övergår till övervaknings- och granskningsroller. Det diskuterades till och med att expertis inom vissa språk och ramverk inte längre spelar någon roll.
Denna spänning visar att branschen fortfarande hittar balansen mellan hastighet och kontroll. Min slutsats är att GenAI är mer än ett verktygsskifte; det representerar en grundläggande styrningsutmaning. De organisationer som kommer att lyckas är de som sätter tydliga ansvarsområden, tillämpar starka granskningsprocesser och undviker för tidig överautomatisering.
Så jag frågar igen, borde juridikingenjörer integrera kodsignering i den kod de tillhandahåller användarna? Hur mycket ansvar bör ingenjörer ha i ett juridikdrivet utvecklingsarbetsflöde? Jag skulle gärna vilja komma i kontakt med dig och höra din syn på detta.
Från Ram Kishore, global chefslösningsarkitekt:
Dag två har varit fullspäckad med sessioner och partnermöten, och idag var det andra dominerande temat kvant. Budskapet i alla sessioner var tydligt: eran av "vi tar itu med det senare" är över. Övergången till post-kvantkryptografi (PQC) är redan igång, och företag som fortfarande väntar på en startsignal ligger redan efter. Kvanthot är inte teoretiska framtida problem. Att agera tidigt innebär att vara säker, flexibel och ligga steget före regelefterlevnad och ekosystemförändringar.
Det är precis här SSL.com kommer in i bilden. Vår Digital förtroendeplattform går bortom certifikatutfärdande. Vi arbetar med företag i varje steg av deras post-kvantum-resa, från planering av kryptoagilitet till att bygga en motståndskraftig förtroendegrund för vad som kommer härnäst.
Nästan varje samtal jag har haft på RSAC idag har berört agentbaserad AI. Det förändrar helt hur företag arbetar, med autonoma system som hanterar arbetsflöden i hastigheter och skalor som mänskliga team inte kan matcha. Men varje agent som agerar för din räkning är också en potentiell attackvektor, och hotaktörer undersöker redan dessa system för svagheter.
Den större risken är inte ens extern: misskötta AI-agenter som arbetar utan en tydlig identitet, definierade behörigheter eller ansvarskontroller kan orsaka allvarlig skada inifrån och ut. När maskiner fattar autonoma beslut är digitalt förtroende avgörande. Produktivitetsrevolutionen är verklig, och det är även det ansvar den medför.
Måndag, mars 23, 2026
Från Dustin Ward, SSL:s teknikchef:
RSA-konferensen (RSAC) är världens största cybersäkerhetsevenemang. Varje år samlas tiotusentals säkerhetsexperter i San Franciscos Moscone Center för att diskutera vad som är på gång, vad som är trasigt och vad vi behöver göra åt det. Det är där branschen sätter agendan.
Här är vad jag hör från hela branschen:
- Organisationer vet Postkvantkryptering kommer, men vet inte var (eller hur) jag ska börja
- AI skapar nya attackytor och nya förtroendekrav samtidigt
- C2PA och innehållsuppruni går från att vara "intressant" till "väsentligt"
- Hantering av certifikatlivscykeln blir mer komplex, både inom offentlig förtroende och privat PKI
- De flesta team klarar allt ovanstående med gårdagens verktyg
En session fastnade i mig mer än de flesta. Den fokuserade på övergången mot 47-dagars certifikatlivslängder: att gå från 398-dagars certifikat till 200, sedan 100 och så småningom 47. Det är en 8-faldig ökning av rotationsfrekvensen, och det är inte ett efterlevnadsproblem, det är ett operativt. Om din lösning fortfarande är manuella processer och löst sammankopplade verktyg, ligger du redan efter. Och beroendet av en enda CA blir en verklig risk när du kan behöva ersätta hela din certifikatanvändning på 24 timmar.
Det här är något vi har funderat på på SSL.com: privat PKI för användningsfall där allmänhetens förtroende inte är rätt modell, och verklig beredskap för säkerhetskopiering av CA där valideringar redan finns på plats, utfärdandevägar är etablerade och du kan flytta trafik eller utfärda parallellt när det behövs.
Utöver certifikat dominerade två teman nästan varje samtal idag: AI och PQC.
På AI-sidan fanns agent-AI överallt idag, en produktivitetsrevolution som också medför allvarliga risker, från AI-drivna attacker till utmaningen att styra autonoma agenter som agerar för din räkning. Hur gör vi? autentisera AI-genererat innehåll? Hur säkrar vi själva modellerna? Det är här standarder som C2PA och stark PKI är inte bara bra att ha. De blir grundläggande.
På PQC-sidan, NIST har slutfört sina postkvantstandarder. Migreringsklockan tickar. Om du är ansvarig för något som rör certifikat, oavsett om det är allmänt förtroende TLS/SSL, privat PKI, kodsignering, C2PA-innehållsautenticitet, frågan är inte om du behöver en PQC-övergångsplan. Det är om du redan har en.
Det här är vad mitt team och jag arbetar med varje dag på SSL.com. Tveka inte att kontakta oss om något av dessa ämnen är något ni funderar över.
Denna tidskrift uppdateras dagligen under RSAC-veckan. Kom tillbaka imorgon för bevakning av dag 2 och följ oss på LinkedIn för höjdpunkter från planen i realtid.
Vill du prata om hur din organisation förbereder sig för kortare certifikatlivscykler, multi-CA-beredskap eller post-kvantumplanering? Låt oss träffas.
