Sectigo_Email-SIgning-Body_02

Aufrechterhaltung der DFARS-Konformität mit S/MIME

Im Verlauf unserer laufenden S/MIME-Reihe haben wir diskutiert, was S/MIME ist, warum es wichtig ist und wie es Benutzer vor bestimmten Arten von E-Mail-basierten Angriffen schützen kann . Wir haben auch diskutiert, wie Unternehmen auf diese Weise die Einhaltung von Datenschutz- und Sicherheitsbestimmungen wie HIPAA sicherstellen können .

Die meisten Leute haben von HIPAA gehört. Schließlich ist die Gesundheitsfürsorge für fast alle Menschen von Bedeutung. Es ist jedoch wahrscheinlich, dass weniger von der Ergänzung zur Defence Federal Acquisition Regulation, besser bekannt als DFARS, gehört haben . Die Verordnung soll kontrollierte, nicht klassifizierte Informationen in nicht-föderalen Systemen und Organisationen schützen. Im Kern ist dies nicht unähnlich zu dem, wofür HIPAA entwickelt wurde, außer dass DFARS Informationen zur nationalen Sicherheit und Verteidigung schützt, anstatt sie zu schützen.

Die Bedrohung durch Cyberangriffe wird von der Verteidigungsindustrie sehr stark wahrgenommen. Verteidigungsrelevantes geistiges Eigentum, wie zum Beispiel Entwürfe für amerikanische Militärgüter, sind unglaublich wertvolle Ziele. Regierungsbehörden waren gezwungen, ihre Cyber-Abwehrfähigkeiten zu verbessern und ihre beträchtlichen Ressourcen einzusetzen, um Schwachstellen gegen mögliche Angriffe zu schützen. Als Reaktion darauf haben sich Cyberkriminelle zunehmend auf Rüstungsunternehmen konzentriert, um Zugang zu Informationen von strategischer nationaler Bedeutung zu erhalten.

Während Verteidigungsunternehmen selbst kaum leichte Ziele sind, schafft DFARS umsetzbare Vorschriften, um sicherzustellen, dass sensible Informationen mit der richtigen Sorgfalt und Sicherheit behandelt werden. Durch die Ergänzung der ursprünglichen Defence Federal Acquisition Regulation, die die Verschlüsselung aller Daten in Ruhe oder während der Übertragung vorschreibt, erstellt DFARS eine Sicherheitsgrundlage, die von allen Auftragnehmern eingehalten werden muss. Da E-Mails für Rüstungsunternehmen genauso unverzichtbar sind wie für jede andere Branche, müssen wirksame Verschlüsselungstools eingerichtet werden, bevor mit der Regierung Geschäfte getätigt werden können.

Wie die HIPAA schreibt diese Vorschrift nicht die Verwendung von E-Mail-Zertifikaten vor, ist jedoch der beste Weg, um das Ziel zu erreichen. Zertifikatgeschützte E-Mails bleiben vom Verlassen des Senders bis zum Öffnen im Posteingang des Empfängers verschlüsselt und verschlüsseln die Daten, die über das Internet und alle zugehörigen Mailserver übertragen werden. Darüber hinaus werden E-Mails und Anhänge, die auf Mail-Servern gespeichert sind, auch im Ruhezustand verschlüsselt, um die vollständige Einhaltung von DFARS zu gewährleisten.

Die mit der Verteidigungsindustrie verbundenen Sicherheitsprotokolle können eine Herausforderung darstellen, aber S/MIME-Zertifikate machen die DFARS-Konformität so einfach wie möglich. Durch die umfassende End-to-End-Verschlüsselung gewährleistet S/MIME den vollständigen Schutz kritischer Informationen, die per E-Mail übertragen werden, und die ordnungsgemäße Einhaltung der Bundesvorschriften.

0_3

Warum Automatisierung für Unternehmen wichtig ist, die S/MIME-E-Mail-Zertifikate verwenden möchten

Verschlüsselung und digitale Signatur sind der beste Weg, um die Integrität und den Datenschutz der E-Mail-Kommunikation zu gewährleisten. Die Vorteile sind:

  • Das Wissen um die E-Mail stammte wirklich vom Absender, einschließlich der Identifizierung der vertretenen Organisation
  • Aktivieren der Überprüfung, dass der E-Mail-Inhalt und die Anhänge nach dem Senden nicht geändert wurden
  • Zu wissen, dass niemand sonst die E-Mail auf dem Mailserver oder während des Versands lesen konnte, da sie nur für den Absender und den Empfänger verschlüsselt wurde

Diese Fähigkeiten Kampf Spear – Phishing – Attacken wie Business-E-Mail-Kompromiss (BEC) und Hilfe Einhaltung einer Reihe von wichtigen globalen Anforderungen einschließlich BIPR, HIPAA, das US Department of Defense DFARS und andere.

Durch die Verwendung von S/MIME für die Verschlüsselung können sowohl Absender als auch Empfänger ihre vorhandenen S/MIME-fähigen E-Mail-Anwendungen mit ihren bekannten Funktionen verwenden. Alternative Ansätze erfordern separate E-Mail-Anwendungen oder Webportale mit unterschiedlichen Benutzererfahrungen.

Für das Unternehmen ist es verlockend, S / MIME ohne automatisierte Zertifikatsverwaltung zu verwenden, um Geld zu sparen, indem die Mitarbeiter die Last der Zertifikatsverwaltung teilen müssen. Beispielsweise erhielt Sectigo dieses Angebot von einem Kunden, der versuchte, die für S/MIME-E-Mail-Zertifikate typische manuelle Verwaltung zu verwenden :

Wir haben die sicheren E-Mail-Zertifikate vor vier Monaten für unsere Endbenutzer bereitgestellt und hatten Schwierigkeiten bei der Bereitstellung. Obwohl wir eine schrittweise Anleitung für Endbenutzer zum Herunterladen und Installieren ihrer eigenen Zertifikate erstellt haben, gingen zahlreiche Supportanfragen ein, um die Einrichtung durchzuführen. Ist es möglich, zu Zero Touch zu wechseln, um die Zertifikatsverwaltung und den Installationsprozess zu vereinfachen? JA!

Der Preis für die Automatisierung ist eine gute Investition, die geringer ist als die erwarteten Kosten für Supportanrufe oder der Produktivitätsverlust für Mitarbeiter, die ihre eigenen S/MIME-Zertifikate manuell verwalten. Oder das Schlimmste ist, dass die Mitarbeiter keine Zertifikate verwenden und die damit verbundenen Compliance-Probleme auftreten.

Häufige Gründe für Supportanrufe sind:

  • Wenn das neue Zertifikat nicht in der globalen Adressliste des Unternehmens veröffentlicht wird, können Absender von Outlook- und ActiveSync-E-Mail-Anwendungen das für die Verschlüsselung für den Empfänger erforderliche Zertifikat nicht finden. Der Mitarbeiter verbringt entweder viel Zeit damit, herauszufinden, wie das Zertifikat veröffentlicht werden soll, oder die Absender verwenden keine Verschlüsselung.
  • Wenn die globale Adressliste nicht verwendet wird, müssen die Mitarbeiter untereinander signierte E-Mails senden, sodass die Absender die Zertifikate der Empfänger aus der signierten E-Mail extrahieren können. Dies verringert die Effektivität, da Sie eine verschlüsselte E-Mail erst senden können, wenn der Empfänger Ihnen zuerst eine E-Mail sendet. Sobald ein Empfänger ein Zertifikat erneuert, verfügt der Absender über ein älteres, abgelaufenes Zertifikat. Wenn die Beteiligten überhaupt bemerken, dass sie Informationen im Klartext per E-Mail versenden, müssen neue Zertifikatsinhaber erneut signierte E-Mails an alle senden, die sie in der Lage sein möchten, ihnen verschlüsselte Nachrichten zu senden.
  • Ohne Automatisierung muss jeder Mitarbeiter, der ein S / MIME-Zertifikat benötigt, ein Self-Service-Webportal besuchen, in dem er sich anhand eines gemeinsamen Geheimnisses identifiziert, durch 5-10 Bildschirme klickt, den privaten Schlüssel und das Zertifikat in einer PKCS # 12-Datei herunterlädt. und öffnen Sie die Datei, um das Zertifikat auf ihren Desktop zu importieren. Outlook-Benutzer müssen das Programm dann so konfigurieren, dass das neu installierte Zertifikat verwendet wird.
  • Jeder Mitarbeiter muss den privaten Verschlüsselungsschlüssel manuell sichern, damit er bei versehentlicher Zerstörung wiederhergestellt werden kann. Andernfalls können E-Mails und Anhänge, die mit diesem Schlüssel verschlüsselt wurden, nicht entschlüsselt werden. Dieses Supportproblem hat zwei spezifische Formen:
    • Der Mitarbeiter vergisst, den Schlüssel zu sichern, und wenn der private Schlüssel zerstört wird, sind vergangene E-Mails für den Zugriff nicht verfügbar.
    • Der Mitarbeiter sichert den privaten Schlüssel zusammen mit anderen Datendateien auf einem USB-Laufwerk. Dieser private Schlüssel ist dann potenziell einem Angreifer ausgesetzt, der die Verschlüsselung erzwingen kann, die den privaten Schlüssel vor Diebstahl schützt.
  • Um ein Mobilgerät einzurichten, muss der Mitarbeiter Schwierigkeiten haben, den privaten Schlüssel und das Zertifikat aus Outlook zu exportieren und dann die Datei mit dem privaten Schlüssel und dem Zertifikat auf das Mobilgerät zu übertragen. Dort muss der Mitarbeiter den privaten Schlüssel und das Zertifikat in die E-Mail-Anwendung importieren, was aufgrund der vielen, komplizierten und je nach E-Mail-Anwendung unterschiedlichen Methoden zu Helpdesk-Anrufen führt.
  • Sobald der private Schlüssel und das Zertifikat auf dem mobilen Gerät installiert sind, muss der Mitarbeiter herausfinden, wie die E-Mail-Anwendung für die Verwendung des neu installierten Zertifikats konfiguriert wird. Dies führt häufig zu einem Helpdesk-Anruf.
  • Wenn das Zertifikat in 1-3 Jahren abläuft, muss der Mitarbeiter vor dem Ablauf des Zertifikats über ausreichende Kenntnisse verfügen, um das Zertifikat auf mehreren Geräten zu erneuern. Andernfalls erhalten alle Empfänger eine Benachrichtigung, dass die digitale Signatur ungültig ist.
  • Nach der Erneuerung von Zertifikaten verwenden E-Mails dieses Absenders auf dem E-Mail-Server andere Schlüssel. Ohne Automatisierung muss der Mitarbeiter manuell sicherstellen, dass der gesamte Schlüsselverlauf verfügbar ist, oder einige E-Mails können nicht entschlüsselt werden.
DV_Browsers

Der versteckte Preis für kostenlose DV-Zertifikate

Alles ist kostenpflichtig, einschließlich kostenloser Domain-validierter (DV) Zertifikate. Im Gegenzug für CHF / EUR 0,00 werden Sie Ihre Zeit und Ihr technisches Know-how zusammen mit wertvollen zusätzlichen Funktionen eintauschen, die nur ein kommerzielles DV-Zertifikat bieten kann.

Warum bekommen Sie ein Zertifikat umsonst?

Hier sind die drei wichtigsten Gründe, warum jeder, vom Blogger bis zum Unternehmer, SSL auf seiner Website benötigt.

  • Sicherheit: Umfasst die Verschlüsselung zwischen Website-Besuchern und Ihrer Website
  • Vertrauen: Website-Besucher können sich eher einbringen, wenn sie Vertrauen in Ihre Marke haben
  • Marketing: Beinhaltet verbesserte Rankings bei Google und anderen Suchmaschinen

Diese drei Gründe sind wichtig, um die Entscheidung zwischen kostenlosen und kommerziellen DV-Zertifikaten im Auge zu behalten. Denken Sie daran, dass Ihre zukünftige Glaubwürdigkeit als Marke von allen drei oben genannten Faktoren abhängt, wenn wir uns mit den Vorteilen der einzelnen Optionen befassen.

Vorteile kostenloser DV-SSL-Zertifikate

Kostenlos. Es ist schwer zu glauben, dass kostenlose SSL Zertifikate auch den Mehrwert bringen, den Sie sich erwarten. Es bedeutet nicht, dass Sie nicht auf andere Weise bezahlen, wie z. B. Zeit für Erneuerungen oder Skripte erstellen, mangelnde Funktionalität und andere Sicherheitsfunktionen.

Schnell. Da die einzige erforderliche Überprüfung für Ihre Kontrolle des Domainnamens erforderlich ist, erfolgt die Ausstellung des kostenlosen DV-Zertifikats in der Regel schnell, sofern Sie die Möglichkeit haben, E-Mails an speziell festgelegten Adressen zu empfangen, Ihr DNS zu ändern oder spezielle Dateien auf Ihrer Website für zu platzieren der Validierungsprozess.

Nobody loses anything; there is no “skin in the game.”

Artikel von John Horst, CISSP® – ISSAP®, NQV

Vorteile von kommerziellen DV-SSL-Zertifikaten

Installation und Support. Kommerzielle DV-Zertifikate werden mit technischer und praktischer Installationsunterstützung geliefert. Das heißt, Sie müssen Begriffe wie CSR, private Schlüssel, Stammzertifikate und viele andere nicht selbst herausfinden. Durch den Zugriff auf Experten können Sie SSL schnell auf Ihrer Website oder in Ihrer Anwendung bereitstellen. Wenn Probleme auftreten, wenden Sie sich an ein Support-Team, das Sie durch den Prozess führt.

Vertrauenssiegel. Kommerzielle DV-Zertifikate bieten Ihnen eine öffentliche Vertrauensebene mit der Bezeichnung Vertrauenssiegel. Vertrauenssiegel bieten Ihren Website-Besuchern mehr als ein Schlosssymbol im Browser, indem sie dafür werben, dass Sie ein seriöses Unternehmen für die Website-Sicherheit einsetzen. A / B-Split-Tests haben bei Verwendung von Vertrauenssiegeln einen Umsatzanstieg von bis zu 42% ergeben.

Garantie. Kommerzielle DV-Zertifikate verfügen über Garantien, die Websitebesitzer vor Geschäftsverlusten schützen. Für nur ein paar Dollar pro Monat reduzieren Website-Eigentümer die Haftung und schützen sich vor finanziellen Verlusten, die durch Fehler oder Probleme im Zusammenhang mit der SSL-Verschlüsselung entstehen.

Längere Lebensspanne. Kommerzielle DV-Zertifikate können für ein oder zwei Jahre erworben werden, sodass Sie weniger Zeit für die Bestellung und Bereitstellung von Zertifikaten benötigen. Wer möchte alle 90 Tage eine CSR generieren und ein kostenloses DV-Zertifikat neu installieren?

Erschwinglicher Schutz. Kommerzielle DV-SSL-Zertifikate bieten für nur EUR 0,24Dollar [1] pro Tag die Gewissheit, Unterstützung, das Vertrauen der Website-Besucher, Garantien und Verschlüsselung, damit Ihre Website-Besucher bequem im Internet handeln können.

Kommerziell gesichert. Kommerzielle DV-Zertifikate werden von gewinnorientierten Unternehmen mit Teams von Sicherheitsforschern, ausgewiesenem Support und Protokollen verwaltet, um einen zuverlässigen und zuverlässigen Service zu gewährleisten. Sie haben ein berechtigtes Interesse daran, sicherzustellen, dass sowohl Ihr Zertifikat als auch die Systeme, die es verwalten, legitime Einheiten sind.

Tools zur Zertifikatsverwaltung. Mit kommerziellen DV-Zertifikaten können Sie Ihre SSL-Zertifikate über eine Webschnittstelle erneut ausstellen, widerrufen und verwalten. Dies bedeutet, dass Sie keine Kommandozeilen- oder API-Kenntnisse benötigen, um grundlegende Aufgaben auszuführen (da Sie kostenlose DV-Zertifikate verwenden).

PCI-Scan. Ein zusätzlicher Bonus bei der Auswahl eines DV-Zertifikats von Sectigo ist, dass diese Zertifikate eine 45-tägige Testversion des PCI-Scan-Service von Sectigo enthalten. Dieses Tool ist für E-Commerce-Websites von entscheidender Bedeutung, damit sie die Anforderungen der Kreditkartenbranche erfüllen können.

Lassen Sie uns einen kurzen Vergleich zwischen einem kostenlosen DV-Zertifikat und einem kommerziellen DV-Zertifikat anstellen.

 KOSTENLOSES DVKOMMERZIELLE DV
Lebensspanne90 Tage1 bis 2 Jahre
GarantieKeinerJa
VertrauenssiegelKeinerJa
Installation und SupportKeinerJa
Cert Management ToolsBefehlszeileWebinterface
Unterstützt vonSpendenZuverlässige Einnahmen
KostenIhre Zeit und Ihr Ruf0,10 $ pro Tag

Ein kostenloses DV-Zertifikat hat kurzfristig einen sichtbaren Kostenvorteil, ist jedoch mit einem versteckten Preis versehen. Das Hinzufügen von SSL ist der richtige Schritt für jede Website, jeden Blog oder jeden Einkaufswagen. Die Auswahl der richtigen Option für Ihr DV-Zertifikat wirkt sich jedoch auf Ihren Ruf, die Conversion-Rate, die verfügbare Zeit und die Sicherheit Ihrer Website aus. Niemand kann behaupten, dass, nachdem man die Tabelle oben betrachtet, sicher und frei tatsächlich nicht Hand in Hand gehen.

MIME_secure_email3

Wie Sie sich mit S/MIME vor einem Phishing Angriff schützen können

Unser erster S/MIME-Beitrag bot einen umfassenden Überblick über die Herausforderungen, denen Unternehmen bei der E-Mail-Sicherheit gegenüberstehen, sowie eine Einführung in die S/MIME-Technologie, mit der viele dieser Sicherheitsanfälligkeiten bekämpft werden können. In diesem Beitrag werden wir genauer darauf eingehen, wie S / MIME zur Bekämpfung von Spear-Phishing-Angriffen eingesetzt werden kann.

Der Begriff Business Email Compromise (BEC) ist in der Cybersicherheitsbranche bekannt, bezieht sich jedoch nur auf eine bestimmte Art von Spear-Phishing-Angriff. Bei betrügerischen E-Mails, die so tun, als stammten sie von einem bekannten oder vertrauenswürdigen Absender, besteht das beabsichtigte Ziel eines Spear-Phishing-Angriffs darin, das Opfer aufzufordern, in seinem Namen Maßnahmen zu ergreifen.

Diese Aktion kann so einfach wie das Aufdecken vertraulicher Informationen oder so komplex wie das Abschließen einer Finanztransaktion sein. Was Spear-Phishing-Angriffe von Standard-Phishing-Angriffen unterscheidet, ist, dass Spear-Phishing-E-Mails auf den Empfänger zugeschnitten sind, was ihnen einen zusätzlichen Grad an offensichtlicher Authentizität verleiht und die Identifizierung erschwert.

Wie lassen Angreifer diese E-Mails als legitim erscheinen? Ihnen steht eine Vielzahl von Taktiken zur Verfügung.

  • Meistens enthalten die E-Mails einen gefälschten Header , so dass es aussieht, als ob die Nachricht aus dem Unternehmen stammt. Wie wir bereits im vorherigen Blog erörtert haben, werden diese Angriffe in der Regel dadurch ausgelöst, dass das Feld «Von» in einer E-Mail gefälscht wird. Dadurch ist es selbst für den gewissenhaftesten Mitarbeiter unglaublich schwierig, sich als betrügerisch zu identifizieren.
  • Im Allgemeinen versuchen sie, den CEO, den Firmenpräsidenten oder eine andere Führungskraft auf C-Ebene zu verkörpern, deren Befugnis ein Einstiegs- oder mittlerer Angestellter wahrscheinlich nicht in Frage stellen würde.
  • Detailorientierte Angreifer können sogar eine ganze gefälschte E-Mail-Kette unterhalb der Nachricht generieren , um sie noch legitimer erscheinen zu lassen. Und obwohl die Mitarbeiter geschult werden sollten, auf Warnzeichen zu achten, sind die Menschen fehlbar.

Die Fehlbarkeit wollen Angreifer ausnutzen. Wenn der CEO eines Unternehmens einen Finanzangestellten auffordert, eine Überweisung durchzusetzen, fühlt sich dieser Mitarbeiter dann wohl, Fahnen zu hissen? Wenn dieselbe E-Mail an ein Dutzend verschiedene Finanzmitarbeiter gesendet wird, wird es allen gelingen, die E-Mail als betrügerisch zu erkennen?

Es ist nur ein Fehler erforderlich – ein Mitarbeiter, der eine Überweisung auf das Konto eines Betrügers genehmigt -, und dieses Geld wird mit ziemlicher Sicherheit niemals zurückgefordert. Betrüger sind schlau, und jedes Geld, das sie erhalten, wird schnell dort verstaut, wo es für die Strafverfolgungsbehörden so gut wie unmöglich ist, es zu erreichen.

S/MIME löst dieses Problem auf einfachste Weise: indem es die wahre Identität des E-Mail-Absenders nicht fälschlicherweise anzeigt. Ohne S/MIME gibt es nichts – wirklich nichts -, das der durchschnittliche E-Mail-Benutzer betrachten kann, um eine echte Absenderidentität von einer gefälschten Absenderidentität zu unterscheiden. Mit S/MIME müssen Mitarbeiter lediglich nach der richtigen E-Mail-Signatur für eine eingehende Nachricht suchen, um zu wissen, dass der Absender überprüft wurde. Das bedeutet nicht, dass sich die Mitarbeiter keine Sorgen mehr machen müssen – es ist immer noch wichtig, wachsam zu sein. Denken Sie daran, ein Ausrutscher kann alles sein, was Sie brauchen, um einen schwerwiegenden Verstoß zu verursachen. Es bietet jedoch eine Möglichkeit, die Integrität von Nachrichten (und eventuell darin enthaltenen Anhängen) zu überprüfen, die nicht gefälscht werden können.

Durch die Bereitstellung von S / MIME-E-Mail-Zertifikaten in Ihrem Unternehmen können Ihre Mitarbeiter sofort den Ursprung aller Nachrichten überprüfen, die sie von einem Mitglied Ihres Unternehmens erhalten. S / MIME entlastet die Mitarbeiter von dieser Verantwortung und legt sie stattdessen auf den E-Mail-Client selbst. Damit bietet S / MIME eine wichtige zusätzliche Schutzebene für Ihre Informationen, die unabhängig von menschlichen Fehlern ist.

after-SMIME

Warum der E-Mail Verkehr ohne S/MIME anfällig ist

Es ist unmöglich, ein Geschäft ohne E-Mail zu führen. Das ist eine einfache Tatsache. Branchenübergreifende Unternehmen sind auf E-Mail als unverzichtbare Kommunikationsmethode angewiesen, um die Mitarbeiter mit Kunden, Partnern, Anbietern und natürlich auch untereinander in Kontakt zu halten.

Die E-Mail-Kommunikation hat jedoch auch Nachteile. Nachrichten und Anhänge können ausspioniert, geändert und gefälscht werden, sodass Unternehmen und Organisationen einer Vielzahl von Spear-Phishing-Angriffen ausgesetzt sind, die zum Verlust von Geschäftsgeheimnissen, vertraulichen Informationen oder sogar Geld von Unternehmenskonten führen können. Was noch schlimmer ist, diese Vorfälle können Unternehmen auch in den Status der Nichteinhaltung gesetzlicher Vorschriften versetzen.

Das Potenzial für Schäden ist hier sehr real. Einem aktuellen FBI-Bericht zufolge sind seit 2013 aufgrund von 78.000 BEC-Angriffen (Business Email Compromise) 12 Milliarden US-Dollar an Betrug verloren gegangen – eine spezielle Form von Spear-Phishing-Angriffen, die dazu führt, dass dem Spear-Phisher Geld geschickt wird. Und das sind nur die Vorfälle, die gemeldet wurden, was darauf hindeutet, dass die tatsächliche Anzahl wahrscheinlich viel höher ist. Tatsächlich sind die Verluste durch BEC-Angriffe höher als bei jeder anderen Form von Cyber-fähiger Kriminalität. Dies ist ein klares Indiz dafür, dass die E-Mail-Sicherheit eines der Hauptanliegen der Unternehmen im Bereich der Cybersicherheit sein muss.

Spear-Phishing-Angriffe gibt es in vielen Formen, aber die häufigste Form besteht darin, sich als jemand in der Organisation auszugeben – wahrscheinlich als CEO, CFO oder andere Führungspersönlichkeit. Mitarbeiter in Abteilungen wie Finanzen oder Personalwesen erhalten möglicherweise eine E-Mail mit der dringenden Aufforderung, eine Zahlung zu verarbeiten oder vertrauliche Informationen weiterzuleiten. Der Absender behauptet, nicht verfügbar zu sein, um die Echtheit der Anfrage zu bestätigen.

Dies mag unkompliziert erscheinen, aber Cyberkriminelle können hinterhältig sein. Möglicherweise haben Sie schon von Tippfehlern gehört, bei denen Kriminelle Domains registrieren, die sich von legitimen Domains unterscheiden, und E-Mail-Adressen registrieren, die auf den ersten Blick authentisch erscheinen. Die Wahrheit ist, dass dies in vielen Fällen nicht einmal notwendig ist. E-Mail-Absenderadressen sind perfekt fälschbar. Das bedeutet, dass der Phisher die E-Mail-Adresse, die im Absenderfeld angezeigt werden soll, einfach an die entsprechende Stelle in der E-Mail-Kopfzeile einfügen kann. Dies wird dem Empfänger angezeigt. Selbst Personen mit Adleraugen, die sich vor Tippfehlern und anderen einfachen Phishing-Methoden hüten, erkennen möglicherweise betrügerische E-Mails nicht, wenn sie aus einer legitimen Quelle stammen.

Keine Sorge, es gibt gute Neuigkeiten. In den nächsten Wochen wird das Sectigo-Team aufschlüsseln, wie Unternehmen mit digitalen Zertifikaten gegen diese (und ähnliche) Angriffe vorgehen können. Die sichere E-Mail-Zertifikattechnologie (S/MIME) für die Internet-Mail-Erweiterung kann die mit E-Mails verbundenen Probleme und Schwachstellen beheben und so den Schutz eines Unternehmens vor Spionage und den Schutz seiner Mitarbeiter vor E-Mail-abhängigen Social-Engineering-Angriffen verbessern. S/MIME unterscheidet sich von Standard-E-Mail-Schutzprogrammen wie Antivirenprogrammen dadurch, dass es den Absender überprüft und nicht einfach eine E-Mail nach eingegangenen Bedrohungen analysiert. Es schützt auch den Inhalt von E-Mails während der Übertragung.

Wie macht S/MIME das?

Es gibt drei verschiedene Möglichkeiten, um das Sicherheitsprofil der E-Mail-Kommunikation zu verbessern.

  • Es überprüft die Echtheit des Absenders und bestätigt, dass der Absender derjenige ist, den die Person beansprucht.
  • S/MIME verschlüsselt auch alle Inhalte und Anhänge in E-Mails und verhindert so, dass schädliche Software die E-Mail-Kommunikation während der Übertragung abfängt und deren Inhalte liest.
  • Das Protokoll gewährleistet außerdem die Integrität, stellt sicher, dass gesendete E-Mails unverändert bleiben, und gibt den Empfängern die Gewissheit, dass die empfangenen Nachrichten und Anhänge mit den gesendeten identisch sind.

In dieser fortlaufenden Blog-Reihe werden spezifische Möglichkeiten untersucht, wie Unternehmen und Organisationen die S/MIME-Technologie einsetzen können, unter anderem zur Abwehr von Spear-Phishing und zur Einhaltung von Informationssicherheitsbestimmungen wie GDPR und HIPAA. Da immer mehr Unternehmen diese wichtige Technologie einsetzen, hilft das Verständnis der vielen Anwendungen dabei, ein umfassenderes Bild des Werts von S/MIME zu erhalten.

0_1 (1)

Sichern Sie Ihre E-Commerce-Website mit Secorio

E-Commerce-Website-Besitzer spüren die Hitze, denn zu Beginn der Weihnachtszeit wird der Verkehr stark ansteigen, da die Menschen mit dem Einkaufen beginnen. Die Zunahme des Datenverkehrs macht E-Commerce-Unternehmen und ihre Kunden zu attraktiven Zielen für Cyberkriminelle.

  • POS-Kreditkartenleser
  • Umleiten von Payment Gateways
  • Infizieren von Malware-Downloads

Kreditkartenbetrug ist für E-Commerce-Käufer keine neue Bedrohung, aber Karteninhaber wissen oft nicht, wie Hacker ihre persönlichen Daten verwenden, um Geld zu verdienen. E-Commerce-Besitzer können die Tatsache nicht ignorieren, dass Hacker Ihre Aktivitäten beobachten, und das nächste Ziel können Sie sein. Es ist unnötig zu erwähnen, dass Sie Ihre Website und Ihr Unternehmen gefährden, indem Sie sich nicht an die bewährten Sicherheitsmethoden halten und PCI-konform sind.

Point of Sale Kreditkartenabwicklung

Wenn eine Karte durch ein Lesegerät gezogen wird, leitet ein Code die Details der Karte an die Hacker weiter, die bereits Malware in den Checkout-Prozess der Maschine eingespielt haben.

Die Angreifer injizieren die Wischmaschinen mit Malware, nachdem sie die Schwachstellen auf der Website gelesen haben. Die meisten Angreifer sind gut informiert und haben ihre Hausaufgaben gemacht. Sie erstellen einen Backdoor-Eintrag für die Website, und der Besitzer kann nicht erkennen, dass etwas nicht stimmt. Die Hacker werden die Homepage der Website nicht verunstalten, sondern eine Schleife dort einpflegen, um die Aktivität zu verfolgen. Wenn Daten eingespeist werden, gehen sie auch in die Hände des Hackers.

Zweifelhafter Payment Gateway

Wie oben erwähnt, sind Hacker intelligent und wissen, wie ein Prozess funktioniert. Unabhängig davon, wie gut oder wie gut ein Zahlungsgateway ist, Hacker werden einen Weg finden, um dies zu gefährden. Der Hacker kann die Website-Zahlungsgateway-Seite klonen, sodass die Benutzer keinen Unterschied zwischen der Hacker-Seite und der ursprünglichen Website feststellen. Am Ende schickt der Käufer die Zahlung an das fragwürdige Gateway. Interessanterweise kennzeichnet das Inventar der E-Commerce-Website den Umsatz.

Hier ist die PCI-Konformität für E-Commerce-Sites so wichtig. E-Commerce-Websites sollten sich traditionell für eine starke Firewall entscheiden. Wenn also Hacker versuchen, auf Ihre Website zuzugreifen, werden sie blockiert und können keine Änderungen vornehmen.

Viren- oder Malware-Downloads

Malware-Angriffe sind nicht E-Commerce-spezifisch, sie greifen jeden Einzelnen und jedes Unternehmen an, aber für die E-Commerce-Website kann eine Malware-Infektion besonders während der Einkaufssaison verheerend sein. Hacker sind einen Schritt voraus. Nur wenn sie Zugang zu einer E-Commerce-Website erhalten, werden sie bösartige Codes platzieren, die die Computer der Besucher infizieren. Wenn der Käufer einkauft, erhält er mit jedem Klick Malware.

Google und Antivirus-Unternehmen können heute leicht erkennen, ob im Hintergrund einer Website schädlicher Code ausgeführt wird. Wenn bösartiger Code gefunden wird, wird die Website auf die schwarze Liste gesetzt. Benutzer erhalten Warnungen, wenn sie die E-Commerce-Website besuchen. Aufgrund des schlechten Verkehrsaufkommens müssen die Eigentümer ihre Website ansehen, um den nächsten Schritt festzulegen.

So sichern Sie E-Commerce-Sites

Hacker sind Geschäftsinhabern oft einen Schritt voraus und entwickeln ihre Strategie weiter, um sich der Erkennung zu entziehen. Wie immer besteht der gemeinsame Faktor, durch den Hacker Websites kompromittieren können, in der Schwachstelle. Diese Sicherheitsanfälligkeiten können ein schlechter CMS von Drittanbietern oder ein veralteter Patch sein. Stellen Sie daher sicher, dass Sie diese Lücken auf Ihrer Website geschlossen haben.

Durchsuchen Sie Ihre Website nach Schwachstellen oder Zeichen von Kompromissen. Beachten Sie jedoch, dass Hacks im Quellcode nicht sichtbar sind. Diese Dateien richten sich an Ihre Kunden und sind eher in der Website-Datenbank versteckt. Am besten schützen Sie sich durch Cloud-basierte Sicherheit mit Tiefenerkennung, um Sie vor allen potenziellen Risiken zu schützen.

0_1 (2)

10 häufigste Fehler bei der Webanwendung

Die häufigsten Fehler, die bei der Entwicklung einer Webanwendung zu vermeiden sind folgende:

Die Entwicklung von Webanwendungen ist ein langwieriger Prozess, da von Anfang an eine benutzerfreundliche App erstellt wird, die gleichzeitig eine hohe Leistung und Web-Sicherheit gewährleistet. Für alle Entwickler ist die Sicherheit von Webanwendungen ein Bereich, der teilweise außerhalb der Kontrolle des Erstellers liegt, da nicht einmal erraten werden kann, wer sich am anderen Ende der HTTP-Verbindung befindet.

Daher muss man mit zu vielen Websicherheitsproblemen kämpfen, um eine sichere und sichere App zu erstellen. Einige dieser Bedenken betreffen die Datensicherheit und die Möglichkeit, dass gefälschte Daten in die Datenbank gelangen. Nachstehend sind 10 der häufigsten Sicherheitslücken im Web aufgeführt, die Benutzer vermeiden können.

1. Zulassen ungültiger Daten zur Eingabe der Datenbank

Alle Eingaben, die von Ihren Benutzern zur Verfügung gestellt werden, müssen mit aller Verteidigungsfähigkeit aufgenommen werden. Wenn Sie das, was Sie erhalten, nicht validieren, könnte dies dazu führen, dass Sie einen hohen Preis für mögliches Cross-Site-Scripting, SQL-Injection, Command-Injection oder eine ähnliche Sicherheitsbedrohung zahlen.

2. Konzentrieren Sie sich auf das System als Ganzes

Dies ist offensichtlich, wenn große benutzerdefinierte Projekte in Betracht gezogen werden, in denen ein Team von Entwicklern die Arbeit aufteilt, um verschiedene Bereiche der App zu sichern. In der Tat ist es mit dem Projekt insgesamt nicht ganz klar, auch wenn die individuelle Sicherheit dieser Teile die Klasse anführen könnte. Dies ist in der Tat eine beliebte Methode, um mehrere Übergaben zu veranlassen, wodurch Ihre Daten für Angreifer extrem anfällig werden. Sie müssen daher sicherstellen, dass Ihre App auch dann noch sicher ist, wenn alle Komponenten zusammengebracht werden.

3. Festlegen von persönlich entwickelten Sicherheitsmethoden

Entwickler gehen meist davon aus, dass sie mit einem selbst entwickelten Algorithmus oder einer Methode besser abschneiden werden. Dies liegt daran, dass sie der Meinung sind, dass es, wenn es authentischer ist, zunehmend sicherer sein könnte, da es Hackern nicht vertraut ist. In der Realität ist Authentifizierung jedoch nicht nur ein teurer Prozess, sondern erhöht auch die Chance, Sicherheitslücken zu schaffen, die sehr leicht entdeckt werden können. Bewährte Bibliotheken gelten daher als der beste Weg für diesen gesamten Prozess.

4. Sicherheit als letzten Schritt zu behandeln

Sicherheit ist keine einfache Sache, die gegen Ende eines Prozesses eingefügt werden kann. Es muss als Grundlage für das gesamte Projekt eingebaut werden und sollte nicht als eine weitere Funktion ignoriert werden, die jederzeit weiterentwickelt werden kann. In solchen Szenarien neigt Ihre Anwendung zu Fehlkonfigurationen und anderen Schwachstellen wie SQL-Injektionen.

5. Entwickeln von Passwortspeicherung in reinem Text

Die Internetsicherheit kann durch eine sichere Speicherung von Kennwörtern weiter verbessert werden. Das Speichern von Passwörtern im Nur-Text-Format gilt als der häufigste und gefährlichste Fehler und sollte vermieden werden. In der Datenbank sollten nur Passwörter und wichtige Daten gespeichert werden.

6. Erstellen schwacher Passwörter

Wenn Sie sich als Entwickler um die Sicherheit der App kümmern, müssen Sie klare Regeln für Kennwörter erstellen.

7. Speichern nicht verschlüsselter Daten in der Datenbank

Die unverschlüsselte Speicherung aller wichtigen Details ist einer der häufigsten Fehler im Zusammenhang mit der Datenspeicherung. Dies führt dazu, dass Benutzerdaten immer dann gefährdet werden, wenn Ihre Datenbank gefährdet ist. Wenn Ihre Datenbank angegriffen wird, wird die Verschlüsselung als die einzige Möglichkeit betrachtet, um einen großen Informationsverlust zu verhindern. Alle Entwickler sollten berücksichtigen, dass Hacker alles, was online gespeichert ist, angreifen können.

8. Abhängig von der Kundenseite

Auf der Clientseite hängt der Code stark davon ab, dass ein Entwickler seinen Einfluss auf die kritischen Funktionen der App verliert, wodurch ein großer Teil der Kontrolle über die Sicherheit verloren geht.

9. Zu optimistisch sein

Ein guter Entwickler sollte sich immer der Tatsache bewusst sein, dass die Entwicklung der Websicherheit aufgrund der ständigen Möglichkeit, Sicherheitslücken zu haben, ein nie endender Prozess ist. Daher sollte ein guter Entwickler ständig bereit sein, den Fehler zu suchen und zu beheben.

10. Zulassen von Variablen über den URL-Pfadnamen

Das Platzieren von Variablen in der URL ist ein sehr schwerwiegender Fehler, den jeder begehen kann, da normalerweise alle Dateien mit wichtigen Daten, die Ihre App enthält, frei heruntergeladen werden können.

Diese häufigen Sicherheitslücken im Web stellen die Tatsache dar, dass Sicherheit für alle Entwickler an erster Stelle stehen sollte, unabhängig davon, ob sie an einem Startup-System arbeiten oder ein großes unternehmensbezogenes Projekt entwickeln.

0_1 (3)

Wie zeige ich dem Kunden, dass meine Webseite sicher ist?

Vom Online-Shopping über die Verwaltung unserer Finanzen bis hin zum Social-Networking sind wir vollständig auf verschiedene Webseiten oder Apps angewiesen.

Eher naiv haben wir unser „Vertrauen“ gegen diese Annehmlichkeiten eingetauscht.

Würden Sie in einer dunklen Seitenstrasse Produkte von einer Privatperson kaufen? Oder vertrauen Sie Ihrem Einkaufszentrum, welche nebst einem geschulten Sicherheitspersonal auch interne Überwachungsrichtlinien verfolgt?

Genau das tun wir, wenn wir die Sicherheit einer Website nicht überprüfen. Wir werden von falschen Webseiten getäuscht, die unsere privaten Informationen und unser hart verdientes Geld stehlen.

Wie können meine Kunden feststellen, dass meine Webseite sicher ist und ich Ihre Daten schütze?

Beginnen wir oben in Ihrem Browser, da er einige Hinweise enthält! In der Adressleiste können Sie die Webadresse sehen. Sichere Websites haben eine Adresse, die am Ende von HTTP ein „S“ enthält. Das „S“ steht für „Secure“. Sie haben auch ein Schlosssymbol im Browser. Wenn Sie also HTTPS und ein Vorhängeschloss sehen, ist die Verbindung verschlüsselt und sicher.

Aber was ist mit dem Unternehmen hinter der Website? Woher wissen Sie, dass es kein Verbrecher mit einer sicheren Verbindung ist? Nun, ein neues System macht dies einfach, moderne Webbrowser zeigen Farbe und Firmennamen in der Adressleiste an, damit Sie erkennen können, dass die Site vertrauenswürdig ist.

Dies funktioniert folgendermaßen: Organisationen, die auf Sicherheit angewiesen sind, können ihre Websites von lizenzierten, unparteiischen Unternehmen, den sogenannten Certificate Authority, überprüfen und validieren lassen. Dies stellt sicher, dass die Organisation und die Website vertrauenswürdig sind und eine sichere Verbindung verwenden. Wenn der Standort die Tests besteht, stellt die Zertifizierungsstelle ein EV-SSL-Zertifikat aus, und nur Standorte mit diesen Zertifikaten werden in der Adressleiste farbig angezeigt, einschließlich des Firmennamens und der Adresse.

Genau wie bei Verkehrssignalen bezeichnen Farben wie Rot und Grün Stop und Go. Wenn grün, ist der Standort sicher. Wenn rot, sollten Sie nicht auf diese Site zugreifen. Aufgrund dieses Überprüfungsprozesses können Kriminelle nicht die erforderlichen Zertifikate erhalten, um die bunten Informationen in der Adressleiste anzuzeigen. Wenn Sie also eine Site mit grünen Informationen in der Adressleiste sehen, können Sie sicher sein, dass sie echt ist.

Wenn Sie jetzt Nachrichten lesen oder das Wetter prüfen, spielt die Sicherheit keine große Rolle. Machen Sie sich also keine Sorgen, wenn kein HTTPS, Vorhängeschloss oder grüne Leiste vorhanden ist. Am wichtigsten ist die Sicherheit, wenn Sie vertrauliche Informationen wie Kreditkarteninformationen oder Kennwörter senden.

Für Websitebesitzer können Sie mit Code Guard Malware scannen und von Ihrer Website entfernen. Mit diesem Tool können Sie sicher sein, dass Ihre Webseite und die Informationen Ihrer Kunden sicher sind.

0_0

Was bedeutet Website-Sicherheit?

Website-Sicherheit ist eine wichtige Komponente zum Schutz und zur Sicherung von Websites und Servern. Websites werden mit Sicherheitssoftware für Websites auf mögliche Schwachstellen und Malware geprüft. Diese Software kann Hacks, Trojanern und vielen anderen Bedrohungen suchen und diese eliminieren. Eine Website-Sicherheitssoftware benachrichtigt den Benutzer, wenn auf der Website Probleme auftreten, und bietet Lösungen zu deren Behebung.
Für Unternehmensnetzwerke besteht immer ein hohes Risiko für Sicherheitslücken und die Gewährleistung der Website-Sicherheit ist von entscheidender Bedeutung. Wenn das Netzwerk gefährdet ist, werden Server und Website ebenfalls gefährdet. Dadurch könnte Malware in das Unternehmensnetzwerk eindringen und Malware-Aktivitäten einleiten

Merkmale eines guten Website-Sicherheitsplans

  • Malware-Scan
  • Virus-Entfernung
  • Manuelle Entfernung von Malware und Hackern
  • Dateiänderungsüberwachung
  • Blacklist / Spam-Überwachung
  • Entfernen der Blacklist
  • Sicherheitsüberwachung
  • Erweiterte DDoS-Minderung
  • Web Application Firewall (WAF)
  • Content Delivery Network (CDN)
  • Site Seal

Website-Sicherheitsprobleme

Ihre Website verarbeitet personenbezogene Daten von Kunden, wie Bankausweise, Sozialversicherungsnummern und andere wichtige Informationen wie Kreditkartendaten. Es gibt viele Probleme mit der Website-Sicherheit, die auf vielfältige Weise auftreten können:

Quellcode der Website

Wenn der Website-Code nicht gut entwickelt ist, gibt es viele Sicherheitsprobleme. Wenn Ihre Webserver und Web-Apps komplex zu verwalten sind, sind Schwächen, Fehler und Sicherheitslücken eine sichere Sache. Je dynamischer die Website, desto mehr Möglichkeiten für Fehler und Sicherheitslücken.

Website-Besucherzugriff

Es gibt Websites, die einen Raum für die Besucherinteraktion schaffen, ähnlich wie ein Chatroom oder eine andere Option, um den Besucher besucherfreundlich zu gestalten. Dies erhöht jedoch die Wahrscheinlichkeit, dass die Website anfällig ist. Wenn es einen Weg gibt, über den die Besucher auf Unternehmensressourcen zugreifen können, wird es schwieriger, die echten und die von Malware beabsichtigten Besucher zu identifizieren und zu unterscheiden. Daher ist es eine Herausforderung, die nicht autorisierten Bösewichte einzuschränken oder zu stoppen.

Website-Sicherheitssoftware

Website-Sicherheitssoftware rüstet die Website vor Cyber-Angriffen aus. Der Website-Sicherheitsdienst implementiert die verwaltete Sicherheit als Servicemodell. Diese Software wird von Anbietern zur Bereitstellung eines Website-Sicherheitsdienstes verwendet, normalerweise als verwaltetes Sicherheitsmodell (SaaS).

Malware unterscheidet sich nicht

Malware ist nicht voreingenommen. Sicherheitsangriffe sind automatisiert und alle Websites sind anfällig für Angriffe. Es gibt kein bestimmtes Ziel auf den Websites. Website-Sicherheit stärkt den Ruf der Website und das Vertrauen der Kunden. Dadurch wird sichergestellt, dass die Website durch Malware geschützt ist und die Kundendaten gut geschützt sind.
Website-Sicherheitsangriffe werden immer raffinierter
Hacker finden neue und innovative Möglichkeiten, um eine Website anzugreifen. Malware wurde entwickelt und entwickelt, um anfällige Websites zu identifizieren. Die Intensität derartiger bösartiger Aktivitäten ist eindeutig: Während einige böswillige Angriffe dazu dienen sollen, die Daten zu stehlen, müssen andere bösartige Aktivitäten längerfristig ausdehnen.

Bessere Leistung

Website-Sicherheitssoftware verbessert die Ladezeit der Website insgesamt. Das Content Delivery Network speichert den Inhalt der Website auf mehreren global verfügbaren Servern.
Konsistentes Scannen und sofortige Malware-Entfernung
Die Website-Sicherheit gewährleistet ein regelmäßiges und gründliches Scannen von Websites auf Serverebene.
Erweiterte Sicherheitsüberwachung

Es geht nicht nur darum, die Website zu infizieren. Die Website-Sicherheit überwacht entsprechende Websites (DNS, SSL, WHOIS), um sicherzustellen, dass die Kunden oder Besucher nicht auf eine schädliche Website umgeleitet werden, und sichert die Kunden vor der Weitergabe der privaten Informationen ab.

Absolute Malware-Prävention

Es blockiert Malware, noch bevor es versucht, die Website zu infizieren. Das Website-Sicherheitssystem verwendet die Web Application Firewall (WAF) zum Überprüfen und Überprüfen aller eingehenden Daten und stellt sicher, dass der schädliche Code herausgefiltert wird, noch bevor er einen Angriff ausübt.

285-jir-60871-nam-eye-id-392451-jpeg1

Sieben Schritte zur Ausstellung von EV SSL

SSL-Zertifikate erstellen einen sicheren Kommunikationstunnel, indem sie die zwischen einem Client und einem Server oder zwischen zwei Servern gesendeten Daten verschlüsseln, um zu verhindern, dass Cyberkriminelle Daten ändern.

Es gibt drei Standardtypen von SSL-Zertifikaten, die von Zertifizierungsstellen ausgestellt werden: DV , OV und EV. Extended Validation (EV) SSL- Zertifikate bieten die höchste Sicherheit, dass die Domain NICHT einem schlechten Akteur zugeordnet ist. Wenn Benutzer eine grüne Adressleiste oder eine Adressleiste des Unternehmens neben der URL sehen, können sie erkennen, dass sie sich in einer vertrauenswürdigen Domain befinden.

Das Verfahren, mit dem eine Zertifizierungsstelle (CA) ein EV-SSL-Zertifikat ausstellt, ist strenger als bei DV- oder OV-Zertifikaten. Die Zertifizierungsstelle prüft, ob das anfragende Unternehmen eine juristische Person ist, und die Validierung erfordert eine ausreichende Offenlegung von Geschäftsinformationen, um diese Überprüfung durchzuführen. Es gibt einen zusätzlichen menschlichen Eingriff, bei dem die Entität per Telefon kontaktiert wird, um ihre Identität zu überprüfen. Die Verarbeitung kann mehrere Tage dauern, abhängig von der Verfügbarkeit des Antragstellers während der telefonischen Überprüfungsphase.

Vor dem Ausstellen eines EV-SSL-Zertifikats kontaktiert die Zertifizierungsstelle die Organisation telefonisch, um ihre Identität zu überprüfen.

Authentifizierungsprozess für EV-Zertifikate

EV zeigt den Nutzern, dass die Website mit den besten Sicherheitsmaßnahmen ausgestattet ist, um Transaktionen zu schützen und die Einhaltung von Standards und Vorschriften sicherzustellen.

Vor der Ausstellung eines Extended Validation-Zertifikats durchläuft die Zertifizierungsstelle einen siebenstufigen Prozess, der auf den vom CA / Browser Forum festgelegten Richtlinien basiert .

  • EV-Registrierung: Überprüft, ob die antragstellende Person tatsächlich ein Mitarbeiter des Unternehmens oder der Organisation ist und er / sie berechtigt ist, diesen Zertifikatskauf fortzusetzen.
  • Organisationsauthentifizierung: Überprüft anhand der Registrierungsinformationen der Regierung, ob die antragstellende Organisation eine rechtmäßig registrierte Einheit ist und ob sie am registrierten Standort aktiv ist.
  • Betriebliche Existenz: Überprüft, ob die Organisation seit mehr als drei Jahren besteht. Andernfalls müssen zusätzliche Dokumente erforderlich sein (um den Prozess für Cyberkriminelle, die versuchen, Shell-Unternehmen zur Erlangung von EV-Zertifikaten aufzustocken, zu erschweren).
  • Physische Adresse: Überprüft, ob die Organisation in ihrem Registrierungsland eine echte physische Adresse hat.
  • Telefonüberprüfung: Überprüft, ob das Telefon der Organisation eine funktionierende Telefonnummer ist.
  • Domänenauthentifizierung: Überprüft, ob die Organisation der rechtmäßige Eigentümer der registrierenden Domäne ist.
  • Letzter Überprüfungsaufruf: CA ruft den Kontakt der antragstellenden Organisation an, um die EV-Anwendung zu überprüfen.

Angesichts der Sorgfalt und der damit verbundenen Offenlegung von Informationen ist es statistisch weitaus wahrscheinlicher, dass Cyberkriminelle DV- oder OV-Zertifikate beantragen, als dass sie sich dem Überprüfungsprozess zum Erwerb eines EV-Zertifikats unterziehen.

Während keine Zertifizierungsstelle die «Absicht» einer Organisation erkennen kann, die ein SSL-Zertifikat anfordert, ist der oben beschriebene Prozess bestrebt, die Legitimität und Authentizität der Domain zum Zeitpunkt der Ausstellung zu überprüfen. EV ist heute einer der besten (sichtbaren) Vertrauensindikatoren.

Weitere Informationen zu EV SSL-Zertifikaten erhalten Sie von info@secorio.com oder Ihrem persönlichen Account Manager bei Secorio.