Eine bislang wenig beachtete HTTPS-Erweiterung mit dem Namen HTTP Public Key Pinning (HPKP) steht kurz vor ihrer Standardisierung. Durch Public Key Pinning könnten viele Probleme mit den Zertifizierungsstellen gelöst werden.
In seiner Keynote-Ansprache auf der Campus Party Europe 2012 hat Internetpionier Sir Tim Berners-Lee an die Entwicklergemeinde appelliert, nicht nur auf ihren Code zu sehen. Sie solle sich aktiv für die Freiheit des Internets und der Menschen einsetzen.
Über eine Pflichtmitteilung, die eigentlich nur Börsianer interessiert, ist jetzt herausgekommen, dass Verisign im Jahr 2010 angegriffen wurde und bei dem Angriff Daten entwendet wurden. Die SSL-Infrastruktur sei aber nicht kompromittiert worden, versicherte Symantec eilig.
28C3 Der diesjährige Kongress 28C3 hat eine kämpferische Hackerszene offenbart. Der Veranstalter CCC feierte seine Entdeckung des Staatstrojaners und die Hacker hackten sich in Hörgeräte.
2011 war gerade aus der Perspektive der Internetsicherheit ein besonders anstrengendes und nerviges Jahr. Nie zuvor wurde in so kurzer Folge eine Firma nach der anderen gehackt, Passwörter gestohlen, Zertifikate gefälscht und Kreditkartennummern entwendet.
Der zu KPN gehörende Anbieter von Sicherheitszertifikaten Gemnet hat seine Website abgeschaltet, da offenbar über phpMyAdmin ein Zugriff auf die dahinterliegende Datenbank ohne Eingabe eines Passworts möglich war.
Ab sofort erhalten nun auch O2-Kunden in Deutschland das Update auf Android 2.3.4 für Motorolas Atrix. Vor einer Woche gab es das Update zunächst nur für Atrix-Geräte, die beim Netzbetreiber Vodafone gekauft wurden.
Motorola verteilt das Update auf Android 2.3.4 alias Gingerbread für das Atrix in Deutschland. Aber zunächst gibt es das Gingerbread-Update nur für die Smartphones, die bei Vodafone gekauft wurden. Wann die übrigen Atrix-Kunden ein Update erhalten, ist nicht klar.
Diginotar hat einen Insolvenzantrag gestellt. Dem niederländischen Sicherheitsunternehmen war es zuvor untersagt worden, neue elektronische Signaturen auszustellen.
Das niederländische Unternehmen Diginotar darf künftig auch keine elektronischen Signaturen mehr ausstellen. Bisher ausgestellte Signaturen werden ungültig.
Neben Microsoft muss auch Adobe Sicherheitslücken schließen. In allen noch unterstützten PDF-Programmen gibt es Schwachstellen, die für das System gefährlich werden können. Die Sicherheitsupdates sind aber teils nicht bis zum Ende durchdacht.
Der demokratische Senator Richard Blumenthal hat am Donnerstag einen Gesetzentwurf eingebracht, um Datensicherheit und Datenschutz bei Unternehmen zu verbessern. Wer nachlässig mit Kundendaten umgeht, muss mit hohen Strafen rechnen.
Die Vasco-Tochter Diginotar hat das Vertrauen einer weiteren Firma verloren. Nun patcht auch Apple die Root-Zertifikate aus seinen Betriebssystemen, allerdings nur bei Lion und Snow Leopard.
Google hat iranischen Nutzer nahegelegt, die Einstellungen ihrer Gmail-Konten zu überprüfen und danach ihre Passwörter zu ändern. Auch andere Google-Apps, etwa Docs, könnten durch die gefälschten Zertifikate von Diginotar betroffen sein.
Ein weiterer großer Softwarehersteller wirft die Diginotar-Root-Zertifikate aus seinem Programm. Das heißt aber nicht, dass die Adobe-Programme das sofort umsetzen. Bestenfalls vergehen zwischen 30 und 90 Tagen, bis das Update ankommt.
Die Auswirkungen der gehackten Diginotar-Zertifikate sind vor allem in den Niederlanden zu spüren: Dort raten Innenminister und Gerichte, zu Papier und Stift, Fax und Post zu greifen.
Microsoft hat Patches für sämtliche Windows-Versionen veröffentlicht, die die Root-Zertifikate von Diginotar entfernen. Etliche große Linux-Distributionen stellen entsprechende Updates bereit. Ein Patch für Mac OS X ist noch nicht verfügbar.
Der Einbruch in die Server des niederländischen Zertifikatsanbieters Diginotar hat weitreichendere Folgen als bisher bekannt, meldet die niederländische Regierung. Und ein erstes Zwischengutachten belegt grobe Fehler von Diginotar.
Die Niederlande werden künftig keine SSL-Zertifikate von Diginotar ausstellen lassen. Besucher der Regierungswebseiten werden gewarnt, dass sie nicht mehr sicher seien. Auch Mozilla hat die Zertifikate entfernt - permanent.
Rund 250 Zertifikate sperren die Entwickler von Google Browser Chrome in Reaktion auf das gefälschte SSL-Zertifikat von Diginotar. Das Ausmaß des Sicherheitsproblems könnte also deutlich größer sein als bisher angenommen.
Mozilla hat außer der Reihe ein Sicherheitsupdate für Firefox veröffentlicht, mit dem das SSL-Root-Zertifikat von Diginotar deaktiviert wird. Mozilla reagiert damit auf ein gefälschtes Google-Zertifikat.
