此新闻已过时，更新已发布于

此新闻已过时，更新已发布于 突发！Thawte 根证书被吊销 金蝶等部分软件无法打开 附临时解决方案 附金蝶 KIS 下载地址，IT 测试可用 Reddit 上也有人开始报告同一批被吊销的根证书开始影响软件运行 ==== 被子饼 ==== 看了一下我们自己的金蝶 KIS 云专业版 V15.1，RAR 里的安装包和装好的可执行文件都是没有数字签名的 16.0 确实是用这个根证书下的证书签的，而且没做时间戳，其实年初证书就过期了，但是不影响使用，仅仅是 UAC 会弹，这次根证书被吊销直接变成了 此前 微软只是对这个根做了 ，更是只影响 TLS，不应该影响老的代码签名证书；包括 此前签发的证书在微软平台可以继续使用，而金蝶的这个证书是 20 年签发的，早于上述所有政策 这次微软是直接对这个根做了 ，确实是把他吊销了，就是这个月的事情 DisallowedTime = "8/1/2023 8:00 AM" 搜了一圈，包括评论区的资料，没有任何与本次事件有关的信息，吊销根证书是很严肃的事情，感觉就是微软搞砸了 看了一下这次 Disallow 的所有证书，大部分是 21 年 2 月做的 NotBefore 标记，剩下的有些是已经过期的根，有些是对特定 EKU 做的 Disallow；按照这个日期计算，这些根证书所签发的证书到目前为止应该已经全部过期 我个人的调查结果是，因为金蝶没有做时间戳签名，因此在微软 Disallow 这个根证书的时候遭了殃；微软会例行 Disallow 过期的根证书，以及那些已经不存在任何仍然有效子证书的根证书 做了时间戳签名的二进制，即使在代码签名和时间戳签名两个根证书双双过期且 Disallow 的条件下，Windows 也不会阻止运行 不确定微软是否会对此次事件发表评论 AuthRoot 存档备份于

微软又忘记更新TLS证书导致网站无法正常加载 而且已经过期超过25天

微软又忘记更新TLS证书导致网站无法正常加载 而且已经过期超过25天 6 月 28 日 Microsoft 365 某个 CDN 链接忘记更新证书导致全球大量用户受到影响，不过还有个地址证书过期已经超过 25 天还没有更新。这个地址是微软 SwiftKey 键盘的支持网站： 该网站已经被迁移到主域名下，因此其实际作用就是负责跳转到主域名。其使用的数字证书已经在 2024 年 6 月 10 日过期，因此目前用户访问是会被浏览器直接拦截，如果用户点击高级选项并继续访问，那么可以继续实现跳转。虽说这是个废弃的域名不过因为还负责进行 301 重定向，所以还有一点点用处的，对微软来说应当继续更新证书提供访问，亦或者选择直接彻底废弃这个域名不要再使用。微软在 2016 年花费 2.5 亿美元收购了 SwiftKey 键盘 (即输入法)，到 2022 年微软突然宣布要放弃 SwiftKey for iOS 版，引起不少用户抗议后微软放弃这个想法并继续提供更新。现在该输入法已经集成了人工智能应用 Copilot，从口碑来说这还是个挺不错的输入法，在国外有不少用户长期使用。 ... PC版： 手机版：

微软蓝屏疑因网安公司 CrowdStrike 更新导致，此事是否暴露了微软的软件管理缺陷问题？

微软蓝屏疑因网安公司 CrowdStrike 更新导致，此事是否暴露了微软的软件管理缺陷问题？ Ivony的回答 恰恰相反，微软的管理策略才是对的。 这一点虽然反直觉但实际上是几十年前就讨论烂的问题。 我们假设微软在Windows上设置了软件安全管理策略并且由微软总部统一控制，所有驱动程序如果不经微软签名认证就无法通过任何途径安装在电脑上，再对所有硬件设备统一内置安全芯片，禁止通过微软签名的应用程序获得ring0权限。 没错，短期内这样当然是更安全了。 那我就问你一个问题，中国政府还能不能用？ 其实很多开源中毒的人总是会片面的强调源代码开放的重要性。 我可以直白的讲，这样做了之后微软可以完全开源，他根本不怕你破解Windows或者创造出其他拷贝。因为微软可以掌控任意一台设备随时让他用不了。那怎么还会有盗版的问题？ 核心链条的安全性完全基于RSA的数学原理，只要数学原理上没有突破，微软公司就可以完全掌控所有设备。 就算你找到了源代码的漏洞，因为上述核心安全链条的构建，你永远无法拿到ring0的权限，也就是说微软随时可以通过OTA夺回设备的控制权…… 我们干脆把加密芯片和密钥直接内置到CPU核心里面，这样一来可以完成全封闭的产业链，而美国政府只需要控制这个产业链的核心供应商，就可以随时向全球发起信息系统攻击。 托大点儿说，你要知道正是因为微软没有完全管控你的设备和软件，才可以最终避免人类社会的毁灭……而你却嫌死的不够快…… 所以，如果你能理解上面这个例子，你自然就能想到所谓的什么所有驱动程序都需要WHQL的签名这种事情是不可能发生的。我问你一个涉密的国密设备如何让微软给你签名？我企业内控用的的加密狗怎么送给微软签名？ 然而真正值得注意的是，在互联网时代成长出来的新一代程序员，已经把静默更新，操作系统全权接管设备、远程控制等等事情当作理所当然，并认为这才是安全的表现。而这群人彻底取代现有的软件从业者之后，世界总会要来次大的…… 因为人类能从历史中学到的唯一教训就是人类从来不会吸取任何教训…… 说句托大的话，其实你的电脑安装了一个安全软件之后，这个电脑的系统其实就不是Windows了，因为这是你自己的选择。就像你将电脑加入某个域之后，这个设备也不是你的了。 不好意思，这，才是企业安全的标准实践…… 而将所有的安全寄托于某一家公司，即便这家公司是微软，也是将自己置于险境的行为…… 然而，在互联网和开源社区中成长起来的这一代人，从来都是大家都在用那么肯定没问题。从来都不会去探究背后的事实和原理。 有一些半桶水，为啥不直接点一下上面的知乎直答搞清楚你所了解的事实是啥呢？ https://zhida.ai/share/7393658926908158746?utm_psn=1798099653700501504 然后这些半桶水应该认为支付宝非常安全…… 网上流传的所谓「支付宝偷偷添加根证书，将造成安全隐患」的说法是否正确？ via 知乎热榜 (author: Ivony)

微软封杀1024位TLS Windows无法再加载过时网络应用

微软封杀1024位TLS Windows无法再加载过时网络应用 最近的变化与即将在 Windows 上淘汰 TLS 1.0 和 1.1有关，该公司于去年 8 月宣布了这一消息，今年早些时候还宣布结束对Azure 存储账户的 TLS 1.0 和 1.1 支持。微软随后也针对前者发出了提醒，因为这是一个重大转变。在此之后，微软现在宣布将很快停止对长度小于 2048 位的 RSA 密钥的支持，这样 TLS 服务器验证会更加安全，因为未来的 Windows 版本会阻止旧的、过时的和潜在的恶意网站和其他基于网络的应用程序。由于当前的现代标准和基于安全的最佳实践建议至少使用 2048 位 RSA（Rivest-Shamir-Adleman）或 256 位 ECDSA（椭圆曲线数字签名算法）加密密钥，因此这一更新早就该进行了。与提供 80 位安全强度的 1024 位 RSA 密钥相比，2048 位密钥提供 112 位安全强度，在这种情况下，更多意味着更好。在其网站上，微软对更新进行了解释：将不再支持使用密钥长度小于 2048 位的 RSA 密钥的证书。互联网标准和监管机构在 2013 年禁止使用 1024 位密钥，并特别建议 RSA 密钥的密钥长度应为 2048 位或更长。此次弃用主要是为了确保用于 TLS 服务器身份验证的所有 RSA 证书的密钥长度必须大于或等于 2048 位，Windows 才能认为其有效。企业或测试认证机构 (CA) 签发的 TLS 证书不受此更改的影响。不过，作为安全最佳实践，我们建议将它们更新为大于或等于 2048 位的 RSA 密钥。这一变更对于保护使用证书进行身份验证和加密的 Windows 客户的安全非常必要。与 TLS 和 RSA 相关的更新并不是微软 唯一的安全变更计划。该公司最近宣布将更新Windows 8 时代的安全启动密钥。最近，这家科技巨头还表示可能会推出更多类似于 TPM 的安全芯片，也许是Pluton 这样的芯片。与此同时，Windows 内核也在进行Rust式改造，以提高内存安全性。 ... PC版： 手机版：

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击

美国网络安全审查委员会报告称微软本可阻止中国黑客针对Exchange系统的攻击 美国国土安全部（DHS）发布了一份措辞严厉的报告，认为这次黑客攻击是"可以预防的"，微软内部的一些决策导致了"企业文化将企业安全投资和严格的风险管理置于次要地位"。黑客使用获取的微软账户（MSA）消费者密钥伪造了访问网络 Outlook（OWA）和的令牌。报告明确指出，微软仍不确定密钥到底是如何被盗的，但主要的推测是密钥是崩溃转储文件的一部分。微软在 9 月份公布了这一理论，并在最近更新了博客文章，承认"我们没有发现包含受影响密钥材料的崩溃转储"。由于无法访问崩溃转储，微软无法确定密钥到底是如何被窃取的。微软在其更新的博文中说："我们的主要假设仍然是，操作失误导致密钥材料离开了安全令牌签名环境，随后在调试环境中通过一个被泄露的工程账户被访问。"微软 Exchange Online 黑客攻击事件的时间轴微软在 11 月向网络安全审查委员会承认其 9 月份的博客文章不准确，但"在委员会多次询问微软是否计划发布更正"后，微软在几个月后的 3 月 12 日才更正了该文章。虽然微软全力配合了委员会的调查，但结论是微软的安全文化需要彻底改变。网络安全审查委员会表示："委员会认为，这次入侵是可以预防的，根本不应该发生。"委员会还得出结论，"微软的安全文化不足，需要进行彻底改革，特别是考虑到该公司在技术生态系统中的核心地位，以及客户对该公司保护其数据和业务的信任程度。"就在委员会得出这一结论的同一周，微软推出了其专为网络安全专业人士设计的人工智能聊天机器人Copilot for Security。作为消费模式的一部分，微软将向企业收取每小时4美元的费用，以使用这一最新的人工智能工具。Nobelium 是SolarWinds 攻击事件的幕后黑手，它曾在数月内偷窥了一些微软高管的电子邮箱。微软最近承认，该组织访问了公司的源代码库和内部系统。继去年美国政府电子邮件泄露事件和近年来类似的网络安全攻击事件之后，微软公司目前正试图全面改革其软件安全。微软新的"安全未来计划"（Secure Future Initiative，SFI）旨在全面改革其软件和服务的设计、构建、测试和运行方式。这是自2003年破坏性的Blaster蠕虫病毒导致Windows XP机器大面积中招后，微软于2004年推出安全开发生命周期（SDL）以来，在安全方面做出的最大改变。 ... PC版： 手机版：

据报道，声称入侵西部数据公司(Western Digital)的黑客从该公司窃取了约10tb的数据，并将其作为抵押品。

据报道，声称入侵西部数据公司(Western Digital)的黑客从该公司窃取了约10tb的数据，并将其作为抵押品。 采访了这些黑客，他们似乎控制了西部数据的代码签名证书，属于公司高管的私人电话号码，窃取了SAP后台数据，甚至设法获得了西部数据微软Azure实例的管理员权限。 黑客正试图谈判支付“至少8位数”的赎金，以不发布被盗数据。Western Digital拒绝对这种情况发表评论，该公司目前正在与执法当局协调，并与外部安全和法律专家合作。 Western Digital承认，黑客“访问了该公司的一些系统”，网络安全事件于3月26日首次被发现，一周后披露。虽然TechCrunch声称客户数据的“reams”被盗，但该报告没有详细说明什么。 标签: #西部数据 #数据泄露 频道: @GodlyNews1 投稿: @GodlyNewsBot