Let's Encrypt 倡議新證書策略 提高抗網路攻擊能力

Let's Encrypt 是一家得到 Mozilla Firefox 和 Google Chrome 支援的自動化證書頒發機構。今天該機構宣佈了一項新措施，從而進一步保護使用者免受網路攻擊的侵害。這項新功能稱之為多角度域認證（multi-perspective domain validation），可幫助證書頒發機構（CA）證明申請人對他們想要獲得證書的域具有掌控權。

域驗證並不是什麼新問題，但在驗證過程中還存在很多的漏洞，這意味著網路攻擊者可以誘使 CA 機構錯誤的頒發證書。而透過多角度域認證，網路攻擊者需要同時破壞三個不同的網路路徑，這不僅大大提高了安全係數，而且在網際網路拓撲社群中也能更快發現網路攻擊行為。

在新聞稿中，Let's Encrypt 特別感謝了普林斯頓大學的幾位研究人員在多角度域驗證方面的幫助，並表示將繼續與研究人員合作，以改善設計和實施的有效性。

來源：cnBeta.COM

更多資訊

1060 多萬名米高梅酒店客人資訊被公佈在駭客論壇上

據外媒報導，本週，超 1060 萬名住在米高梅國際度假（MGM Resorts）酒店的客人的個人詳細資訊被公佈在了一個駭客論壇上。除了普通遊客之外，遭新曝光的資訊還包括了一些名人、科技公司老總、記者、政府官員以及來自全球最大科技公司的職工。

來源：cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/news.html 

美國一天然氣公司在感染勒索軟體後關閉兩天

美國國土安全部網路安全和基礎設施安全署的公告顯示，有一家未公開名字的天然氣公司在感染勒索軟體後關閉設施兩天。感染髮生在該公司的天然氣壓縮設施，攻擊始於釣魚郵件內的惡意連結。

來源：solidot.org
詳情連結： https://www.dbsec.cn/blog/news.html 

聲稱完美保密的新加密方法引發懷疑

一個國際研究小組去年底在《Nature Communications》期刊上發表論文，描述了一種完美保密的新加密系統，聲稱能對抗未來的量子計算機。英特爾公司的加密專家 Rafael Misoczki 稱，完美保密是加密學中最高等級的安全觀念，一個加密系統如果能實現完美保密，那麼不管對手的計算能力有多強它將仍然是安全的。

來源：solidot.org
詳情連結： https://www.dbsec.cn/blog/news.html 

Microsoft.com 等微軟系網站被發現存在子域劫持問題

NIC.gp 的安全研究員和開發人員 Michel Gaschet 於近日提出，Microsoft 在其數千個子域的管理方面存在問題，存在有許多子域可以被劫持並用於攻擊使用者、員工或顯示垃圾內容。據 ZDNet 報導稱，Gaschet 在接受其採訪時說，在過去三年中，他一直在向 Microsoft 報告帶有錯誤配置的 DNS 記錄的子域，但該公司要麼忽略報告，要麼就是默默地保護某些子域。

來源：開源中國
詳情連結： https://www.dbsec.cn/blog/news.html 

（資訊來源於網路，安華金和蒐集整理）