En hel del nyhetsvärdiga cybersäkerhetshändelser har inträffat från starten till slutet av maj. Men innan vi diskuterar dessa kommer vi att öppna detta nyhetsbrev med två nya viktiga policyändringar gjorda av certifikatutfärdaren/webbläsarforumet (CA/B) för SSL- och kodsigneringscertifikat.
Organisationsenhet (OU) kommer snart att fasas ut i offentlig SSL/TLS certifikat
Enligt omröstningsresultatet SC47V2, certifikatutfärdaren/webbläsarforumet (CA/B) har röstat för att fasa ut fältet organisationsenhet (OU) för offentliga SSL/TLS certifikat, med deadline satt till den 1 september 2022. CA/B-forumet har fastställt att Organisationsenheten kan tolkas väldigt olika i varje företag och ställer därför till problem för en certifikatutfärdare när det gäller att autentisera den med hjälp av externa resurser. Att ta bort OU-fältet förhindrar att osäker information tas med i SSL/TLS certifikat och förbättrar valideringsprocessen. Vi på SSL.com vill säkerställa att övergången till denna nya regel blir smidig för våra kunder. Under de följande månaderna kommer vi att skicka ut påminnelser och uppdateringar om deadline den 1 september.Nya nyckellagringskrav för OV- och IV-kodsigneringscertifikat
Från och med 1 juni 2023, i enlighet med CA/webbläsarforum nya nyckellagringskrav för att öka säkerheten för kodsigneringscertifikat kommer SSL.com:s organisationsvalidering (OV) och individuell validering (IV) kodsigneringscertifikat endast att utfärdas antingen på Federal Information Processing Standard 140-2 (FIPS 140-2) USB-tokens eller via vår eSigner molnkodsigneringstjänst.eSigner tillhandahåller säker molnkodsignering utan att ytterligare hårdvara behövs.
Enorma nedtid för podcast orsakad av att Spotify inte lyckades förnya sitt SSL-certifikat
Och nu till några nyhetsklipp som involverar digitala certifikat. Först och främst skapade Spotify rubriker när en podcastplattform som den äger upplevde en betydande stilleståndstid. På grund av ett utgånget SSL-certifikat kunde Megaphones poddlyssnare inte komma åt många av sina program på åtta timmar. I ett uttalande bekräftade Spotifys talesperson Erin Styles orsaken till incidenten: "Megaphone upplevde ett plattformsavbrott på grund av ett problem relaterat till vårt SSL-certifikat. Under avbrottet kunde klienter inte komma åt Megaphone CMS och poddlyssnare kunde inte ladda ner podcastavsnitt från utgivare på Megaphone. Megaphone förvärvade ett tvåårigt SSL-certifikat i maj 2020 och i december samma år köptes företaget av Spotify. Detta ägarbyte kunde ha bidragit till ett förbiseende av säkerhetshanteringen av Megaphones hemsida. En podcaster anmärkt att felet kan ha orsakat utgivare av podcastprogram tusentals nedladdningar eftersom de inte kunde ladda upp sitt innehåll på åtta timmar. Det är inte första gången som ett stort företag har glömt att förnya sitt SSL-certifikat. I april 2015 Instagrams utgångna SSL-certifikat resulterade i att dess användare fick säkerhetsvarningar. Om vi kombinerar kostnaderna för att kunderna drabbas och de allvarliga säkerhetsriskerna som följer med ett utgånget certifikat, kommer företagen att förlora mycket på detta enkla misstag. Enligt Maria Korolov av CSO, "det genomsnittliga globala 5,000 15-företaget spenderar cirka 25 miljoner dollar för att återhämta sig från förlusten av affärer på grund av ett certifikatavbrott - och står inför ytterligare XNUMX miljoner dollar i potentiell påverkan på efterlevnad."SSL.com's Takeaway: Fallet med Megaphone visar utmaningen som stora organisationer står inför när det gäller att effektivt kunna hantera sina SSL-certifikatförnyelser på egen hand. Stora företag sysslar med mycket verksamhet och IT-hantering är helt enkelt inte deras starka sida. Detta är anledningen till att vi har samarbetat med Venafi – en global ledare när det kommer till automatiserad hantering av digitala certifikat. Med SSL.com Adaptable Driver för Venafi är det nu enklare än någonsin för företag att automatisera certifikatleveranser, hålla koll på utgångar och återkallanden, skydda klientåtkomst och enkelt hantera krypteringstjänster. Gå över till vår Artikeln för att läsa de fullständiga integrationsfunktionerna för vår anpassningsbara drivrutin samt hur man laddar ner den. Dessutom, eftersom ett av våra primära mål är att främja utbredd webbplatssäkerhet, erbjuder vi också den populära Automated Certificate Management Environment (ACME) för SSL/TLS Certifikatautomatisering. Som en väldokumenterad, öppen standard med många tillgängliga klientimplementationer är ACME allmänt antagen som en automationslösning för företagscertifikat. Vi är glada att kunna säga att våra kunder drar nytta av detta protokoll för att enkelt automatisera SSL/TLS utfärdande och förnyelse av webbplatscertifikat och skydda sina webbplatser i tid. Ta dig tid att läsa alla fördelar med SSL.com ACME.
SSL.com erbjuder ett brett utbud av SSL /TLS servercertifikat för HTTPS-webbplatser.
Tor-dold webbplats upptäckte erbjuda billiga och anpassningsbara skadliga programpaket
Eternity Project, en webbplats gömd i Tor, har avslöjats för att sälja skadlig programvara, inklusive stjälare, maskar, gruvarbetare och ransomware för en årlig avgift som är så låg som $260. Den bekväma tillgången till skadlig programvara som tillhandahålls av Eternity är en fråga om oro eftersom den sammanfaller med de ökande fallen av nätfiske, DDoS och ransomware-attacker under de senaste åren. Bara förra april, Säkerhet upptäckte en ny nätfiske-som-en-tjänst som heter Frappo som användes för att producera mycket luriga nätfiskesidor för stora nätbankswebbplatser, e-handelssajter och välkända detaljhandelsvarumärken. Utvecklarna av Frappo har gått så långt att de tillhandahållit teknisk support och uppdateringar, med deras senaste mål som Uber och 20 finansiella institutioner. Jeff Burt från Registret förklarar hur den lättillgängliga skadliga programvaran som säljs av Eternity multiplicerar riskerna för företag och organisationer: "Med malware-as-a-service har programmeraren olika möjligheter att tjäna pengar på sitt arbete. De kan själva använda sin skadliga programvara för att ta hem illa vunna vinster; ta in kontanter genom att leasa eller sälja koden; och ta betalt för support och relaterade tjänster. Samtidigt kan skurkar som inte har kompetens eller tid att utveckla sin egen skadliga kod helt enkelt köpa den av någon annan.”SSL.com's Takeaway: Malware-baserade attacker kostar företag över hela världen miljarder dollar varje år, och att betala cyberbrottslingar avskräcks alltmer eftersom bevis visar att det inte finns någon garanti för att de kommer att vara sanna mot sina ord när de väl har fått betalt. Skadliga aktörer blir djärvare och mindre rädda för att rikta in sig på stora organisationer och företag. Mer än någonsin bör du förbättra ditt cybersäkerhetsförsvar. Om du är en utvecklare/utgivare eller en företagsägare och du vill skydda dina programvarutillgångar från skadlig programvara baserade attacker, kan du titta på funktionerna i vår EV-kodsigneringscertifikat som kraftigt förhindrar manipulering av applikationer och program. Om du vill försvara dina e-postkonton från nätfiskeattacker och förhindra obehörig åtkomst till dina kritiska system, kan du också ta en titt på vår Personligt Pro-e-post och ClientAuth-certifikat.
Användare kan signera kod med eSigners molnbaserade Extended Validation Code Signing förmåga. Klicka nedan för mer info.
Singapore ersätter pappersbaserade födelse- och dödsattester med digitalt kodade elektroniska dokument
Från och med den 29 maj förra året slutade Singapore att utfärda fysiska födelse- och dödsattester för sina medborgare till förmån för digitala kopior av dessa dokument. Detta innebar också ett onlineskifte när det gäller registrering av födslar och dödsfall. Singaporeaner var tidigare tvungna att registrera ett födelsebevis på sjukhuset eller hos Immigration and Checkpoints Authority (ICA). Enligt Singapores ICA är denna förändring en del av deras regerings uppdrag att digitalisera offentliga tjänster. Nu när födelse- och dödsattester kan registreras, laddas ner och lagras i stationära datorer eller mobiltelefoner, finner Singapores invånare det mer bekvämt att hantera processen. Den 30 maj klockan 6 Singaporean Standard Time kunde ICA släppa 219 digitala födelsebevis som var dubbelt så mycket som det dagliga genomsnittet för fysiska födelsebevis. Om denna trend fortsätter, förväntas de digitala certifikat som kan behandlas varje år gå utöver det senaste femåriga årliga genomsnittet för fysiska födelsebevis som var 39,100 XNUMX. Denna stora förändring ses som en strategi för att tillhandahålla bättre validerings- och autentiseringsprocesser för dessa viktiga dokument. Enligt ICA kan statliga myndigheter och privata aktörer, såsom branschorganisationer och finansiella institutioner, använda QR-koder som finns på alla digitala certifikat för att verifiera deras äkthet. QR-koden kommer att kopplas till ett ICA-system där uppgifter om det digitala certifikatet kan verifieras mot ICAs databas.” Att digitalisera födelse- och dödsattester är en innovativ policy från Singapores sida. Förutom att vara effektivare än manuella processer är digital registrering och lagring säkrare och mer kostnadseffektiv. Jämfört med pappersbaserade dokument kan digitala dokument inte skadas av brand och andra faror och kräver inte mycket fysiskt utrymme för att underhållas. Det erbjuder också starkare validerings- och autentiseringsfunktioner eftersom QR-koder på födelse- och dödsattester är digitala koder som mer effektivt skyddar dessa från manipulering i motsats till handskrivna signaturer.SSL.com's Takeaway: QR-kodsystemet som används av Singapore för sina nya digitala födelse- och dödsattester erbjuder liknande fördelar som våra digitala dokumentsigneringscertifikat. Använder branschstandard datakryptering, SSL.com:s dokumentsigneringscertifikat kan digitalt signera elektroniska dokument för att bevisa vem som är ägare till handlingarna och säkerställa att dessa inte har ändrats sedan de undertecknades. Våra dokumentsigneringscertifikat uppfyller USA:s federala ESIGN Act och lagar i många andra nationer, vilket gör dem juridiskt acceptabla inom hela sverige. Dessutom kan våra dokumentsigneringscertifikat registreras i vår eSigner molnsigneringstjänst som tillåter våra användare att säkert signera sina dokument från alla internetanslutna device. Den digitala revolution som implementerats av Singapore för sina offentliga register validerar SSL.coms långsiktiga vision när det gäller att förespråka digitala transaktioner, datalagring och administration av kritiska tillgångar. Gå över till vår PKI och digitala certifikat för regeringen artikel för att lära dig mer om hur vi hjälper statliga institutioner att stärka sin cybersäkerhet.
Kolla in SSL.com Företagsidentitetscertifikat som erbjuder dokumentsignering, e-postsäkerhet och klientautentisering.
