从开始到 XNUMX 月底,发生了许多具有新闻价值的网络安全事件。 但在我们讨论这些之前,我们将打开这个时事通讯,其中包含证书颁发机构/浏览器 (CA/B) 论坛针对 SSL 和代码签名证书所做的两项新的重要政策更改。
组织单位 (OU) 即将在公共 SSL/ 中弃用TLS 证书
根据投票结果 SC47V2,证书颁发机构/浏览器 (CA/B) 论坛已投票弃用公共 SSL/ 的组织单位 (OU) 字段TLS 证书,截止日期为 1 年 2022 月 XNUMX 日。 CA/B 论坛已确定,每个公司对组织单位的解释可能会有很大差异,因此在使用外部资源对其进行身份验证时会给证书颁发机构带来问题。 删除 OU 字段可防止不确定信息包含在 SSL/TLS 证书并改进验证过程。 我们 SSL.com 希望确保我们的客户顺利过渡到这一新规则。 在接下来的几个月中,我们将发送有关 1 月 XNUMX 日截止日期的提醒和更新。OV 和 IV 代码签名证书的新密钥存储要求
从 1 年 2023 月 XNUMX 日开始,符合 CA/浏览器论坛的 新的密钥存储要求 为了提高代码签名证书的安全性,SSL.com 的组织验证 (OV) 和个人验证 (IV) 代码签名证书将仅通过联邦信息处理标准 140-2 (FIPS 140-2) USB 令牌或通过我们的电子签名器颁发云代码签名服务。由于 Spotify 未能更新其 SSL 证书而导致大量播客停机
现在,关于一些涉及数字证书的新闻片段。 首先,当 Spotify 拥有的播客平台经历了显着的停机时间时,它成为了头条新闻。 由于 SSL 证书过期,Megaphone 的播客听众在八小时内无法访问他们的很多节目。 Spotify 发言人 Erin Styles 在一份声明中证实了事件的原因:“由于与我们的 SSL 证书相关的问题,Megaphone 经历了平台中断。 在中断期间,客户无法访问 Megaphone CMS,播客听众也无法从 Megaphone 托管的出版商处下载播客片段。” Megaphone 于 2020 年 XNUMX 月获得了为期两年的 SSL 证书,同年 XNUMX 月,该公司被 Spotify 收购。 这种所有权变更可能导致对 Megaphone 网站安全管理的疏忽。 一个播客 说 该故障可能导致播客节目发布商下载数千次,因为他们无法上传内容八小时。 这不是大公司第一次忘记更新其 SSL 证书。 2015 年 XNUMX 月, Instagram的过期 SSL 证书导致其用户收到安全警告。 如果我们将受影响的客户成本和过期证书带来的严重安全风险结合起来,公司将因这个简单的错误而蒙受巨大损失。 根据玛丽亚·科罗洛夫的 CSO,“全球 5,000 强公司平均花费约 15 万美元从证书中断造成的业务损失中恢复过来——并面临另外 25 万美元的潜在合规影响。”SSL.com 的要点:Megaphone 的案例展示了大型组织在能够有效地自行管理其 SSL 证书更新时所面临的挑战。 大公司处理大量运营,IT 管理根本不是他们的强项。 这就是我们与 Venafi 合作的原因——Venafi 是数字证书自动化管理方面的全球领导者。 借助适用于 Venafi 的 SSL.com Adaptable Driver,公司现在比以往任何时候都更容易自动化证书配置、跟上到期和撤销、保护客户端访问并轻松管理加密服务。 前往我们的 文章 阅读我们的自适应驱动程序的完整集成功能以及如何下载它。 此外,由于我们的主要目标之一是促进广泛的网站安全,我们还提供流行的 SSL 自动证书管理环境 (ACME)/TLS 证书自动化。 作为具有许多可用客户端实现的文档齐全的开放标准,ACME 被广泛用作企业证书自动化解决方案。 我们很高兴地说,我们的客户利用该协议轻松自动化 SSL/TLS 网站证书的颁发和更新,并及时保护其网站。 花一些时间阅读 SSL.com ACME 的全部优势.
SSL.com提供了多种 SSL /TLS 服务器证书 用于HTTPS网站。
发现 Tor 隐藏网站提供廉价且可定制的恶意软件捆绑包
据透露,隐藏在 Tor 中的网站 Eternity Project 以低至 260 美元的年费出售恶意软件捆绑包,包括窃取程序、蠕虫、矿工和勒索软件。 Eternity 提供的对恶意软件的便捷访问是一个值得关注的问题,因为它与近年来不断增加的网络钓鱼、DDoS 和勒索软件攻击案例相吻合。 就在去年四月, 安全性 发现了一种名为 Frappo 的新网络钓鱼即服务,该服务被用于为大型在线银行网站、电子商务网站和知名零售品牌制作高度狡猾的网络钓鱼页面。 Frappo 的开发者已经到了提供技术支持和更新的程度,他们最近的目标是 Uber 和 20 家金融机构。 杰夫伯特 注册 解释了 Eternity 出售的易于访问的恶意软件如何使企业和组织面临的风险倍增:“通过恶意软件即服务,程序员有各种机会从他们的工作中赚钱。 他们可以自己使用恶意软件来获取不义之财; 通过出租或出售代码获得现金; 并收取支持和相关服务的费用。 同时,没有技能或时间开发自己的恶意代码的骗子可以简单地从其他人那里购买。”SSL.com 的要点:基于恶意软件的攻击每年使全球公司损失数十亿美元,并且越来越不鼓励向网络犯罪分子付款,因为有证据表明,无法保证他们一旦获得报酬就会信守诺言。 恶意行为者越来越大胆,越来越不害怕针对大型组织和企业。 您比以往任何时候都更应该改善网络安全防御。 如果您是开发人员/出版商或公司所有者,并且您正在寻求保护您的软件资产免受基于恶意软件的攻击,您可以查看我们的功能 EV 代码签名证书 可以有效防止篡改应用程序和程序。 如果您希望保护您的电子邮件帐户免受网络钓鱼攻击并防止未经授权访问您的关键系统,您还可以查看我们的 个人专业电子邮件和ClientAuth证书.
用户可以使用 eSigner 基于云的扩展验证代码签名 能力。 点击下方获取更多信息。
新加坡用数字编码的电子文件取代纸质出生和死亡证明
从去年 29 月 XNUMX 日开始,新加坡停止为其公民签发实体出生和死亡证明,取而代之的是这些文件的数字副本。 在出生和死亡登记方面,这也需要在线转变。 新加坡人以前必须在医院或移民与关卡局(ICA)登记出生证明。 根据新加坡 ICA 的说法,这一变化是其政府将公共服务数字化的任务的一部分。 现在可以在台式电脑或手机中登记、下载和存储出生和死亡证明,新加坡居民发现处理这个过程更加方便。 截至新加坡标准时间 30 月 6 日下午 219 点,ICA 能够发布 39,100 份电子出生证明,是实体出生证明的每日平均水平的两倍。 如果这种趋势继续下去,预计每年可以处理的数字证书将超过过去五年的物理出生证明年平均数 XNUMX。 这一重大变化被视为为这些重要文档提供更好的验证和身份验证流程的策略。 根据 ICA 的说法,“政府机构和私人实体,如行业协会和金融机构,可以使用所有数字证书中包含的二维码来验证其真实性。 二维码将链接到 ICA 系统,在该系统中,可以根据 ICA 的数据库验证数字证书的详细信息。” 数字化出生和死亡证明是新加坡的一项创新政策。 除了比手动流程更高效之外,数字注册和存储更安全、更具成本效益。 与纸质文档相比,数字文档不会因火灾和其他危险而损坏,并且不需要大量的物理空间来维护。 它还提供更强大的验证和身份验证功能,因为出生和死亡证明上的二维码是数字代码,与手写签名相比,可以更有效地保护这些代码不被篡改。SSL.com 的要点:新加坡用于其新的数字出生和死亡证书的二维码系统提供了与我们的文件签名数字证书类似的好处。 使用行业标准的数据加密, SSL.com 的文档签名证书 可以对电子文档进行数字签名,以证明文档的所有者是谁,并确保这些文档自签名后未被更改。 我们的文档签名证书符合美国联邦 ESIGN 法案和许多其他国家/地区的法律,使其在法律上可接受 全世界. 此外,我们的文件签名证书可以注册到我们的 eSigner 云签名服务 这允许我们的用户从任何连接互联网的 d 安全地签署他们的文档设备。 新加坡为其公共记录实施的数字革命验证了 SSL.com 在倡导基于数字的交易、数据存储和关键资产管理方面的长期愿景。 转到我们的 PKI 和政府数字证书 文章以了解有关我们如何帮助政府机构加强其网络安全的更多信息。
