本周热点资讯包括微软仍是网络钓鱼的主要目标，某财富50强公司向勒索组织支付7500万美元赎金，新型安卓恶意软件BingoMod可以清除设备数据，DigiCert因域验证错误撤销TLS证书，微软警告利用VMware ESXi进行身份验证绕过攻击。安全事件有乌克兰对俄银行发起大规模网络攻击，微软Azure云服务因安全错误全球宕机，GenAI账户凭证被盗，印度小型银行支付系统中断，攻击者劫持Facebook页面推广恶意AI照片编辑器。好文包括渗透测试、内网渗透、内网渗透手法及蓝队视角下的应急响应。省心工具有kvm-fuzz、Mallet、Radamsa。

DigiCert正在撤销超过8万个SSL/TLS证书，原因是域控制验证（DCV）的不合规问题。这些证书用于加密用户与网站或应用程序之间的通信。DigiCert表示，这个错误是由于2019年8月的系统更新导致的，已通知受影响的客户替换证书。美国CISA发布警报，指出撤销证书可能导致安全通信中断。

数字证书颁发机构DigiCert因验证流程错误需要吊销0.4%的证书，共83267份。客户需立即重新申请证书替换，否则影响网站和应用程序访问。DigiCert非常强硬要吊销所有受影响证书，只有关键基础设施运营商可申请延迟吊销。申请延期截止时间为2024-07-31 19:30 UTC，未申请默认替换证书，最终撤销时间为2024-08-03 19:30 UTC。使用DigiCert证书的用户需检查证书是否存在验证问题。

DigiCert吊销了不符合规范的CNAME验证的TLS证书，要求重新验证并更换证书。

微软撤销了DigiCert的历史根证书，但又突然恢复。CloudFlare宣布从2023年开始弃用DigiCert的证书，商业客户需要在证书到期前更换为GTS签发的证书。弃用时间表如下：8月30日，无法选择DigiCert作为高级证书订单的CA；9月6日，无法选择DigiCert作为自定义主机名证书订单的CA；10月4日，无法选择DigiCert作为签发高级证书订单的CA；10月11日，无法续订过期的DigiCert证书；10月18日，无法选择DigiCert作为自定义主机名证书订单的CA；10月25日，无法续订过期的用于SaaS的SSL DigiCert证书。