据报道，在2024年7月，在一次未公开的第三方入侵事件中，员工姓名、电子邮件和位置数据被泄露
一名威胁行为者(TA)声称策划了微软的数据泄露事件，据报道，该事件泄露了2000多名员工的敏感数据。这个臭名昭著的TA，使用化名888，透露这些数据据报道是在2024年7月在一个未公开的第三方泄露中泄露的，但这些数据的最晚日期是2022年。
微软数据泄露事件的细节
根据TA在暗网市场BreachForums上的帖子，被黑客入侵的数据包括微软员工的2073个个人身份信息(PII)记录，包括名字、姓氏、职位、电子邮件、领英个人资料URL、城市和国家。
为了证实数据泄露的说法，攻击者分享了数据泄露的样本，其中包括大多数新西兰用户和一个希腊用户的敏感PII。然而，TA并没有详细解释是哪个微软的第三方应用程序被黑客攻击并导致了泄密。
对微软员工的潜在影响
如果事实属实，这次数据泄露的潜在后果可能非常严重，因为敏感的PII记录可能会泄露。组织应采取适当措施保护相关利益相关者的隐私和安全。个人信息泄露可能导致身份盗窃、财务欺诈和客户信任的丧失，从而危及公司在行业中的地位。
目前，有关微软数据泄露的程度和网络攻击背后的动机的详细信息尚未公开。
尽管TA“888”声称有这样的问题，但没有公开信息表明微软仍在正常运行的任何资产已被泄露。这种矛盾使人们对恶意行为者所作陈述的真实性产生怀疑。
黑客888此前曾与多起备受瞩目的数据泄露事件有关，其中包括瑞士信贷、埃森哲印度、壳牌、喜力啤酒和联合国儿童基金会。
为了证实这些说法的真实性，网络快报联系了微软官员。截至撰写本文时，尚未收到任何回应，因此数据泄露的说法尚未得到证实。
微软因安全措施不足而受到批评
由于安全漏洞，微软最近受到了严格的审查。
2024年4月，发生重大数据泄露事件，敏感的员工凭证和公司内部文件在互联网上曝光，引发了对组织内部数据安全协议的严重担忧。数据泄露是通过托管在微软Azure云服务上的开放和公共存储服务器发现的。
据TechCrunch报道，微软的内部安全系统没有注意到或检测到数据泄露，这引发了对其监控机制有效性的质疑。
报告进一步强调，在线访问的数据包括大量敏感信息，如代码、脚本和配置文件，其中包含微软员工访问内部数据库和系统时使用的密码、密钥和凭据。
今年2月，微软用于云软件解决方案的Azure组件报告了“三个高风险漏洞”和一个可能导致远程代码执行(RCE)攻击的严重物联网设备漏洞。
上个月，尽管未能解决来自安全和隐私倡导者的担忧，微软继续推进新的Windows Recall屏幕记录功能。在受到批评后，该公司宣布将推迟召回功能以进行进一步测试。
微软总裁布拉德·史密斯(Brad Smith)今年6月在美国众议院国土安全委员会的听证会上表示，该公司本财年增加了1600名安全工程师，并将在下一财年新增800个安全职位，以加强网络安全措施。
声明:本平台收集的部分公开数据来源于互联网。转载的目的是为了传递更多信息并在网上分享，不代表本平台同意其观点并对其真实性负责，也不构成其他建议。如果您发现平台上的作品侵犯了您的知识产权，请与我们联系，我们将及时修改或删除。

Website operators who will be impacted by the upcoming change in Chrome for new TLS certificates issued after October 31, 2024 can explore continuity options offered by Entrust. Entrust has expressed its commitment to continuing to support customer needs, and is best positioned to describe the available options for website operators. Learn more at Entrust’s TLS Certificate Information Center.

The Chrome Security Team prioritizes the security and privacy of Chrome’s users, and we are unwilling to compromise on these values.

The Chrome Root Program Policy states that CA certificates included in the Chrome Root Store must provide value to Chrome end users that exceeds the risk of their continued inclusion. It also describes many of the factors we consider significant when CA Owners disclose and respond to incidents. When things don’t go right, we expect CA Owners to commit to meaningful and demonstrable change resulting in evidenced continuous improvement.

Over the past several years, publicly disclosed incident reports highlighted a pattern of concerning behaviors by Entrust that fall short of the above expectations, and has eroded confidence in their competence, reliability, and integrity as a publicly-trusted CA Owner.

In response to the above concerns and to preserve the integrity of the Web PKI ecosystem, Chrome will take the following actions.

在2024年10月31日之后发布的新TLS证书即将受到Chrome浏览器变化影响的网站运营商可以探索委托提供的连续性选项。托付已经表达了继续支持客户需求的承诺，并且最适合描述网站运营商的可用选项。在委托的TLS证书信息中心了解更多信息。

Chrome安全团队优先考虑Chrome用户的安全和隐私，我们不愿意在这些价值观上妥协。

Chrome根程序政策规定，包含在Chrome根存储中的CA证书必须为Chrome最终用户提供超过其继续包含的风险的价值。它还描述了当CA所有者披露和响应事件时我们认为重要的许多因素。当事情不顺利时，我们期望CA所有者承诺进行有意义的和可证明的更改，从而产生可证明的持续改进。

在过去的几年中，公开披露的事件报告强调了委托的相关行为模式，这些行为没有达到上述期望，并且削弱了对其作为公众信任的CA所有者的能力，可靠性和完整性的信心。

为了回应上述问题并维护Web PKI生态系统的完整性，Chrome将采取以下行动。

今天，我们宣布我们打算尽快终止对在线证书状态协议(OCSP)的支持，转而支持证书撤销列表(crl)。
Today we are announcing our intent to end Online Certificate Status Protocol (OCSP) support in favor of Certificate Revocation Lists (CRLs) as soon as possible.

OCSP和crl都是ca通信证书撤销信息的机制，但是crl比OCSP有明显的优势。
OCSP and CRLs are both mechanisms by which CAs can communicate certificate revocation information, but CRLs have significant advantages over OCSP.

Let 's Encrypt自近十年前推出以来一直提供OCSP响应器。
Let’s Encrypt has been providing an OCSP responder since our launch nearly ten years ago.

我们在2022年增加了对crl的支持。
We added support for CRLs in 2022.

网站和访问它们的人不会受到这一变化的影响，但一些非浏览器软件可能会受到影响。
Websites and people who visit them will not be affected by this change, but some non-browser software might be.

我们计划终止对OCSP的支持，主要是因为它对互联网上的隐私构成了相当大的风险。
We plan to end support for OCSP primarily because it represents a considerable risk to privacy on the Internet.

当有人使用浏览器或其他通过OCSP检查证书撤销的软件访问网站时，操作OCSP响应器的证书颁发机构(CA)立即意识到访问者的特定IP地址正在访问哪个网站。
When someone visits a website using a browser or other software that checks for certificate revocation via OCSP, the Certificate Authority (CA) operating the OCSP responder immediately becomes aware of which website is being visited from that visitor’s particular IP address.

即使CA有意不保留这些信息(Let’s Encrypt就是这种情况)，CA也可能在法律上被强制收集这些信息。
Even when a CA intentionally does not retain this information, as is the case with Let’s Encrypt, CAs could be legally compelled to collect it.

crl没有这个问题。
CRLs do not have this issue.

我们之所以采取这一步骤，还因为保持CA基础设施尽可能简单对于Let’s Encrypt的一致性、可靠性和效率的连续性至关重要。
We are also taking this step because keeping our CA infrastructure as simple as possible is critical for the continuity of compliance, reliability, and efficiency at Let’s Encrypt.

自我们成立以来的每一年，营运OCSP服务都占用了相当多的资源，而这些资源本可以更好地用于我们其他方面的运作。
For every year that we have existed, operating OCSP services has taken up considerable resources that can soon be better spent on other aspects of our operations.

现在我们支持crl，我们的OCSP服务就没有必要了。
Now that we support CRLs, our OCSP service has become unnecessary.

2023年8月，CA/浏览器论坛通过了一项投票，决定为公开信任的CA(如Let’s Encrypt)提供可选的OCSP服务。
In August of 2023 the CA/Browser Forum passed a ballot to make providing OCSP services optional for publicly trusted CAs like Let’s Encrypt.

除了一个例外，微软，根程序本身不再需要OCSP。
With one exception, Microsoft, the root programs themselves no longer require OCSP.

一旦微软根程序也使OCSP可选，我们乐观地认为这将在未来6到12个月内发生，Let 's Encrypt打算宣布关闭我们的OCSP服务的具体和快速时间表。
As soon as the Microsoft Root Program also makes OCSP optional, which we are optimistic will happen within the next six to twelve months, Let’s Encrypt intends to announce a specific and rapid timeline for shutting down our OCSP services.

我们希望在公告发布后的三到六个月内提供最后一次OCSP响应。
We hope to serve our last OCSP response between three and six months after that announcement.

了解这些计划更新的最佳方式是订阅我们在Discourse上的API announcement类别。
The best way to stay apprised of updates on these plans is to subscribe to our API Announcements category on Discourse.

我们建议现在依赖OCSP服务的任何人尽快开始结束这种依赖的过程。
We recommend that anyone relying on OCSP services today start the process of ending that reliance as soon as possible.

如果您使用Let 's Encrypt证书来保护非浏览器通信(如VPN)，则如果证书不包含OCSP URL，则应确保您的软件正常运行。
If you use Let’s Encrypt certificates to secure non-browser communications such as a VPN, you should ensure that your software operates correctly if certificates contain no OCSP URL.

幸运的是，大多数OCSP实现“打开失败”，这意味着无法获取OCSP响应不会破坏系统。
Fortunately, most OCSP implementations “fail open” which means that an inability to fetch an OCSP response will not break the system.

互联网安全研究小组(ISRG)是Let’s Encrypt、Prossimo和Divvi Up的上级组织。
Internet Security Research Group (ISRG) is the parent organization of Let’s Encrypt, Prossimo, and Divvi Up.

ISRG是一家501(c)(3)非营利组织。
ISRG is a 501(c)(3) nonprofit.

如果你想支持我们的工作，请考虑参与，捐赠，或鼓励你的公司成为赞助商。
If you’d like to support our work, please consider getting involved, donating, or encouraging your company to become a sponsor.

一组研究人员详细介绍了传输层安全(TLS)协议中的一个新的定时漏洞，该漏洞可能允许攻击者在特定条件下破坏加密并读取敏感通信。
这种服务器端攻击被称为“浣熊攻击”，它利用加密协议(1.2及更低版本)中的一个侧通道来提取用于双方之间安全通信的共享密钥。
研究人员在一篇论文中解释了他们的发现:“这个侧信道的根本原因是TLS标准鼓励对DH秘密进行非恒定时间的处理。”如果服务器重用临时密钥，这个侧通道可能允许攻击者通过解决隐藏数字问题的实例来恢复预主密钥。
然而，学者们表示，该漏洞很难被利用，并且依赖于非常精确的时间测量和特定的服务器配置来利用。
泄露密钥的定时攻击#
使用时间度量来破坏密码系统并泄漏敏感信息一直是许多定时攻击的核心，并且浣熊在TLS握手期间对Diffie-Hellman (DH)密钥交换过程采用相同的策略，这对于在公共网络上安全交易数据至关重要。
在交换过程中生成的共享密钥可以确保在互联网上的安全浏览，使用户可以通过保护通信免受窃听和中间人(MitM)攻击来安全访问网站。
为了打破这道安全墙，恶意方记录客户机和服务器之间的握手消息，用它向同一台服务器发起新的握手，然后测量服务器响应派生共享密钥所涉及的操作所需的时间。

在当今世界，数字技术发挥着关键作用，特别是在商业领域，确保个人数据和在线交易的安全是组织的首要任务。在这方面，出现了一个相关的问题:什么是合格的证书?

这篇文章解释了为什么一个合格的证书在当今的数字世界如此重要。

什么是合格证书?
合格证书是所谓数字公钥证书的一种特殊情况，它是PKI(公钥基础设施)的要素之一。公匙基建技术有广泛的应用，包括为人士和电子服务提供远端认证、确保资讯保密，以及建立电子签署和电子印章等法律文书。

合格的证书是数字交易领域的关键工具，保证了电子合法交易的安全性。在服务和业务流程不断升级的数字化背景下，理解其作用变得势在必行。

合格证书是用于验证合格电子签名或合格电子印章的数字工具。对于合格的电子签名，其正面验证确认了所签署文件的完整性(原创性)和签署文件的人的身份。另一方面，在合格电子印章的情况下，确认与文件的完整性和来源有关。这需要识别加盖印章的实体，同时确保在加盖印章后文件的内容保持不变(有意或无意的操纵)。

法律制度对两种工具进行了关键的区分:电子签名和电子印章。这种区别导致使用特定的术语，如电子签名证书和电子印章证书。这些符合法定要求的签名、印章及其相应证书，具有特殊的法律地位，被称为“合格”。

因此，由合格签名证书支持的合格电子签名在以电子形式执行法律操作(意图声明)的业务流程中提供了高度的法律安全性。

术语合格证书和合格签名通常可以互换使用，这是一种方便的通信捷径。然而，对这些术语之间的根本区别缺乏了解可能会导致误解。

合格的签名通过合格的证书进行认证，方便确认在电子文件上粘贴电子签名的人的身份，并在签名后确认文件的完整性。

甚么是合资格的电子签署?
合格的签名基于合格的证书，该证书包含标识其所有者的信息和用于验证电子签名的数据(公钥)。要创建电子签名，需要使用数据(例如，存储在物理或虚拟SimplySign卡上的私钥)，签名者通过保护对卡及其密码的访问来保持对数据的独占控制。

在颁发合格证书之前，执行严格的过程来验证申请人的身份，并确认该人对私钥(用于创建签名)具有排他性控制，该私钥与公钥(用于签名验证)形成一对。公钥与用户的身份一起包含在证书中。

基于此证书的合格电子签名具有其真实性的法律推定，可以在与手写签名具有法定等同性的任何情况下使用。另一方面，载有合资格电子签署的电子文件，则符合《守则》有关电子形式等同书面形式的规定。

经过正面验证的合格签名为文件(意向声明)的接收者提供了信心，即签名与文件的未更改内容相对应，并且该文件是由用于签名验证的合格证书中指定的人签名的。