SSL

Die Ransomware-Gruppe Akira umgeht die MFA von Sonicwall-Firewalls (Bild: pixabay.com / MasterTux) (pixabay.com / MasterTux)

Ransowmare: Akira umgeht MFA von Sonicwall-VPN-Konten

Die Cybererpresser melden sich erfolgreich bei vollständig gepatchten SSL-VPN-Firewalls an.

Schloss auf einer Tastatur (Symbolbild) (Bild: pixabay.com / albarus) (pixabay.com / albarus)

Nur noch 47 Tage: Gültigkeit von TLS-Zertifikaten wird drastisch verkürzt

Ab 2029 dürfen TLS-Zertifikate statt 398 nur noch höchstens 47 Tage lang gültig sein. Der von Apple eingereichte Vorschlag hat breite Zustimmung erhalten.

119 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Ethical Hacking und Pentesting: E-Learning-Pakete für Security-Profis und ambitionierte Einsteiger

zum Artikel

Karriere Ratgeber: Der Job-Scam-Tsunami: So fluten Betrüger 2025 den Arbeitsmarkt

zum Ratgeber

Seminar: EXKLUSIV Golem Expert: Microsoft 365 Compliance & Security Check

zum Kurs

E-Learning: Excel at a glance: basics to automation (E-learning in English)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Systemadministratorinnen bzw. Systemadministratoren (m/w/d) Bundesamt für Justiz, Bonn (öffnet im neuen Fenster)

IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Software Engineer (m/w/d) - Backend PROBAT SE, Emmerich (öffnet im neuen Fenster)

AI Solution Consultant (all genders) Porsche Consulting GmbH, München,Berlin,Stuttgart,Hamburg (öffnet im neuen Fenster)

Head of IT-Operations (w/m/d) Pro-Idee GmbH & Co. KG, Aachen (öffnet im neuen Fenster)

Zahntechniker für Verblendkeramik, CAD / CAM (m/w/d) Dr. Bernd Kilimann und Kollegen, Haigerloch (öffnet im neuen Fenster)

Leiter SAP-Anwendungen und IT-Infrastruktur (m/w/d) Gerd Bär GmbH, Heilbronn (öffnet im neuen Fenster)

Fullstack Developer C# (w/m/d) Inverto, a BCG, Köln (öffnet im neuen Fenster)

Let's Encrypt ist auf Sparkurs (Symbolbild) (Bild: pixabay.com / nosheep) (pixabay.com / nosheep)

Kosteneinsparungen: Let's Encrypt stellt Ablaufwarnungen für Zertifikate ein

Ab Juni erinnert Let's Encrypt nicht mehr an ablaufende Zertifikate. Administratoren wird empfohlen, auf alternative Dienste umzusteigen.

18 Kommentare

Schon ganz schön alt, aber immer noch im Einsatz: Schlüssel erzeugt mit dem Debian-OpenSSL-Bug (Bild: Bubo/Wikimedia Commons) (Bubo/Wikimedia Commons)

DKIM/BIMI: Die Zombies des Debian-OpenSSL-Bugs

Vor 16 Jahren sorgte ein Bug dafür, dass mit Debian und OpenSSL erstellte Schlüssel unsicher waren. Viele DKIM-Setups nutzten auch 16 Jahre später solche Schlüssel.

4 Kommentare / Eine Recherche von Hanno Böck

Ein SSL-Exploit ermöglicht die Wiederherstellung von Onlinefunktionen der Wii U. (Bild: Kevork Djansezian/Getty Images) (Kevork Djansezian/Getty Images)

Ohne angepasste Firmware: Pretendo ermöglicht weiterhin Online-Gaming auf Wii U

Pretendo hat einen SSL-Exploit lange Zeit geheim gehalten. Wii-U-Besitzer können darüber weiterhin online spielen, obwohl Nintendo die Server abgeschaltet hat.

7 Kommentare

Die Lücke in OpenSSL wäre mit gängiger Sicherheitspraxis vermeidbar gewesen. (Bild: Pixabay) (Pixabay)

Sicherheitslücke: Die IT-Wirtschaft hat zu wenig aus Heartbleed gelernt

Code, der wohl nie getestet wurde, führt zu einer Lücke in OpenSSL. Ein Totalausfall für das Projekt und die Open-Source-Wirtschaft.

40 Kommentare / Ein IMHO von Sebastian Grüner

Wer OpenSSL 3.0 nutzt sollte schnell updaten: Zwei Buffer Overflows ermöglichen Angriffe. (Bild: Garretttaggs/Wikimedia Commons) (Garretttaggs/Wikimedia Commons)

Sicherheitslücken: OpenSSL korrigiert Fehler im Zertifikatsparser

Zwei Buffer Overflows bei der Verarbeitung von Punycode können OpenSSL zum Absturz bringen - und möglicherweise Codeausführung ermöglichen.

Kommentare

OpenSSL 3.0 enthält eine kritische Sicherheitslücke und bekommt einen Patch. (Bild: Pixabay) (Pixabay)

TLS-Bibliothek: OpenSSL-Update wegen erster kritischen Lücke seit 2016

Das OpenSSL-Entwicklungsteam hat für heute Nachmittag das Update für eine kritische Lücke angekündigt. Betroffen sind alle Versionen von OpenSSL 3.0.

27 Kommentare

E-Learning: Vibe Coding with ChatGPT (E-Learning in English)

zum Kurs

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: BCM: IT-Notfallplanung & -Notfallübungen – Drei-Tage-Workshop

zum Kurs

Seminar: Microsoft Power Apps, Power Automate & AI Builder: virtueller Ein-Tages-Workshop

zum Kurs

OpenSSL, Log4J,: Googles Domain-Registrierung in Deutschland verfügbar

Kurznews Was am 16. März 2022 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

1 Kommentare

Abgelaufene Zertifikate führen zu Fehlern. (Bild: geralt/Pixabay) (geralt/Pixabay)

Zertifikatswechsel: Innenministerium und Bundespolizei stundenlang lahmgelgt

Wegen einem Zertifikatwechsel soll die IT-Kommunikation mehrerer Bundesbehörden stundenlang ausgefallen sein.

9 Kommentare

Neue Lizenz und Aufräumarbeiten in der API: OpenSSL veröffentlicht Version 3.0.0. (Bild: Petr Smerkl/Wikimedia Commons) (Petr Smerkl/Wikimedia Commons)

TLS: Neue OpenSSL-Version unter Apache-Lizenz

Das OpenSSL-Team veröffentlicht Version 3.0.0. Neben einem Lizenzwechsel kommt es zum Wegfall vieler veralteter Funktionen.

2 Kommentare

Qnaps NAS-Systeme sind noch von der OpenSSL-Lücke betroffen. (Bild: Oliver Nickel/Golem.de) (Oliver Nickel/Golem.de)

NAS und Sicherheit: Qnap und Synology von OpenSSL-Lücke betroffen

Produkte beider NAS-Hersteller sind von einer bereits geschlossenen OpenSSL-Lücke betroffen. Sie arbeiten an einem Fix.

6 Kommentare

OpenSSL und ein Zaun - bei beiden sind Lücken gar nicht gut. (Bild: Steffen Voß via flickr) (Steffen Voß via flickr)

Security: OpenSSL-Update schließt Sicherheitslücken

OpenSSL 1.1.1l schließt zwei Sicherheitslücken, darunter einen mit einer hohen Risikobewertung eingeschätzten Buffer Overflow.

1 Kommentare

OpenSSL patzt bei der Prüfung von Zertifikatssignaturen, aber der Fehler betrifft die meisten Anwendungen nicht. (Bild: DKrue, Pixabay) (DKrue, Pixabay)

Kryptobibliothek: OpenSSL-Lücke in Zertifikatschecks

Ein Fehler von OpenSSL bei der Zertifikatsvalidierung betrifft nur wenige Anwendungen, ein weiterer Bug lässt Server abstürzen.

3 Kommentare

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Von BNC zu RJ45 - auch die populären Stecker haben sich geändert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Von Funk bis Netz in Österreich

Ob unser PC in Flammen aufgeht und wir in der OS-Hölle landen, versuchen wir, im Podcast herauszufinden. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Windows 11 oder Weltuntergang?

Raccoon heißt eine neu entdeckte Sicherheitslücke in TLS. Praktische Relevanz hat sie kaum. (Bild: tnhs_project) (tnhs_project)

Diffie-Hellman-Seitenkanal: Raccoon-Angriff auf TLS betrifft nur Wenige

Forscher zeigen eine bislang unbekannte Schwäche im TLS-Protokoll, die praktischen Risiken sind aber sehr gering.

Kommentare

Sicherheitslücke: GnuTLS setzt Session-Keys auf null

Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass TLS-1.2-Verbindungen nachträglich entschlüsselt werden können.

6 Kommentare

Am 30. Mai ist ein 20 Jahre altes Root-Zertifikat abgelaufen. (Bild: Dafne Cholet / Flickr / Wikimedia Commons) (Dafne Cholet / Flickr / Wikimedia Commons)

Sectigo: Abgelaufenes Root-Zertifikat entfacht Ärger

Viele ältere TLS-Clients kommen mit einem abgelaufenen Rootzertifikat namens Addtrust nicht klar.

14 Kommentare / Von Hanno Böck

Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons) (Bj.schoenmakers/Wikimedia Commons)

Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

8 Kommentare

Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons) (Mr.checker/Wikimedia Commons)

TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Kommentare

Alpine Linux setzt künftig wieder auf OpenSSL. (Bild: Christopher Michel, flickr.com) (Christopher Michel, flickr.com)

Linux: Container-Distro Alpine wechselt von Libre- zu OpenSSL

Nach etwas mehr als zwei Jahren Einsatz kehrt Alpine Linux von LibreSSL zurück zu OpenSSL, um die Pflege zu vereinfachen. Hinzu kommen ein neuer Kernel und die Unterstützung für ARMv7.

Kommentare

Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood) (Suzy Hazelwood)

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

6 Kommentare

Ubuntu 18.04, alias Bionic Beaver, bekommt ein OpenSSL-Upgrade. (Bild: NPS / Neal Herbert) (NPS / Neal Herbert)

Bionic Beaver: Ubuntu 18.04 bekommt OpenSSL 1.1.1 und TLS 1.3 als Update

Die aktuelle Ubuntu-Version 18.04 mit Langzeitsupport bekommt demnächst die aktuelle OpenSSL-Version 1.1.1 und damit Langzeitsupport der Hauptentwickler für die wichtige Krypto-Bibliothek. Damit kann auch TLS 1.3 genutzt werden. Pakete wie Apache sollen ebenfalls angepasst werden.

7 Kommentare

Hyperthreading wurde mit dem Pentium 4 eingeführt. Damit zusammenhängende Sicherheitsprobleme sind schon seit 2005 bekannt. (Bild: Raimond Spekking, Wikimedia Commons) (Raimond Spekking, Wikimedia Commons)

Portsmash: Exploit für 13 Jahre alte Hyperthreading-Lücke

Ein Forscherteam zeigt, wie es mittels Seitenkanal-Angriffen private Schlüssel von OpenSSL stehlen kann. Der dahinter liegende Bug ist aber nicht neu und das Problem liegt auch im OpenSSL-Code.

5 Kommentare

Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons) (Kjetil Ree, Wikimedia Commons)

Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

17 Kommentare

Das BSI soll Bürger in Sachen IT-Sicherheit beraten - doch aktuell ist die Webseite nicht erreichbar, da man offenbar vergessen hat, das Zertifikat zu wechseln. (Bild: BSI) (BSI)

HTTPS: BSI vergisst Zertifikatswechsel

Die Webseite des Bundesamts für Sicherheit in der Informationstechnik ist zur Zeit nicht erreichbar. Dort hat man offenbar vergessen, sich rechtzeitig um ein neues TLS-Zertifikat zu kümmern.

71 Kommentare

Telegram bringt eine Art digitalen Ausweis. (Bild: Telegram) (Telegram)

Telegram 4.90: Neue Passport-Funktion soll Luc Bessons Multi-Pass bringen

Telegram Passport ist eine Funktion, mit der Nutzer ihre Ausweisdaten in eine abgesicherte Cloud hochladen können. Drittanbieter können damit das Alter und die Identität prüfen, und Nutzer müssen nicht jedes Mal ihre Daten hochladen. Ein paar offene Fragen zur Sicherheit gibt es noch.

16 Kommentare

An einigen Stellen findet man immer noch alte kryptographische Schlüssel, die sich dank eines zehn Jahre alten Debian-Bugs knacken lassen. (Bild: Bubo/Wikimedia Commons) (Bubo/Wikimedia Commons)

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.

9 Kommentare / Von Hanno Böck

TLS 1.3 ist fertig (Bild: Dan York) (Dan York)

IETF 101: TLS 1.3 ist jetzt wirklich fertig

Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen.

5 Kommentare

Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons) (Schumi4ever/Wikimedia Commons)

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

40 Kommentare

Viele Cisco-Geräte mit ASA-Software sind von der Sicherheitslücke betroffen. (Bild: Cisco) (Cisco)

Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches

Ein Fehler in der ASA-Software von Cisco ermöglicht Angriffe aus der Ferne. Das Problem: Davon sind auch häufig eingesetzte Catalyst-Switches, Router und Firewall-Systeme betroffen. Erste Patches werden bereits verteilt.

2 Kommentare

OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL) (OpenSSL)

Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

5 Kommentare

Return of Bleichenbacher's Oracle Threat - Immer wieder sorgt ein uralter Angriff auf RSA für Ärger. Das Problem: Der Verschlüsselungsstandard PKCS #1 v1.5. (Bild: Ange Albertini) (Ange Albertini)

ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch

Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.

40 Kommentare / Von Hanno Böck

Bei Microsofts Dynamics 365 for Operations teilten sich alle Kunden einen privaten Schlüssel. (Bild: Pixabay / Hans) (Pixabay / Hans)

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden

Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.

25 Kommentare / Von Hanno Böck

Diesen Fehler sahen heute LinkedIn-Nutzer, die auf eine der nationalen Subdomains zugreifen wollten. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Abgelaufen: LinkedIn vergisst TLS-Zertifikate

Für fast drei Stunden waren heute die Zertifikate aller Subdomains des Berufsnetzwerks LinkedIn ausgelaufen. Peinlich, da die meisten Suchmaschinen darauf verweisen.

3 Kommentare

Eine Webseite von Flixbus nutzt uralte Crypto. (Bild: Thomas Samson/AfP/Getty Images) (Thomas Samson/AfP/Getty Images)

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.

16 Kommentare / Von Hauke Gierow

Startcom wird ab 1.1. 2018 keinerlei Zertifikate mehr ausstellen. (Bild: Startcom) (Startcom)

Zertifikate: Startcom gibt auf

Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit.

40 Kommentare

TLS 1.3 soll maskiert werden - damit es wie das ältere TLS 1.2 aussieht. (Bild: Mykl Roventine/Wikimedia Commons) (Mykl Roventine/Wikimedia Commons)

Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht.

25 Kommentare

Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com) (Prayitno, flickr.com)

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

97 Kommentare

Diese Fehlermeldung bei einem fehlerhaften HPKP-Pin in Chrome werden Nutzer künftig nicht mehr sehen. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

54 Kommentare

Bei Yubikey setzte man statt auf offenes Design lieber auf zertifizierte Hardware-Krypto von Infineon. Das ging gehörig schief. (Bild: Yubico / Wikimedia Commons) (Yubico / Wikimedia Commons)

RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

Update RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

28 Kommentare

Diese Schlösser sind schneller geknackt als TLS - normalerweise. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.

62 Kommentare / Von Sebastian Grüner

Zuletzt fiel vor allem Symantec durch Schlampereien bei der Zertifikatsausstellung auf - doch jetzt hat es mal wieder Comodo erwischt. (Bild: Comodo) (Comodo)

TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

Mittels eines Standards namens Certificate Authority Authorization können Domaininhaber via DNS definieren, wer für sie TLS-Zertifikate ausstellen darf. Ab sofort müssen diese Records geprüft werden. Bei einem Test schlampte Comodo und stellte fälschlicherweise ein Zertifikat aus.

22 Kommentare / Von Hanno Böck

Der Lizenzwechsel von OpenSSL hat erwartbare Konsequenzen. (Bild: OpenSSL) (OpenSSL)

Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

Der geplante Lizenzwechsel von OpenSSL kommt langsam voran. Das Projekt kündigt auch erste Konsequenzen für Code an, dessen Urheber dem Wechsel nicht zustimmen. Der Code wird entfernt und künftig reimplementiert.

11 Kommentare

Certificate Transparency ist ohne Zweifel ein sinnvolles Sicherheitsfeature für TLS - aber es hat unerwartete Konsequenzen für andere Bereiche. (Bild: Certificate Transparency / Google) (Certificate Transparency / Google)

Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.

46 Kommentare / Von Hanno Böck

Symantec fiel auf einen falschen privaten Schlüssel herein. (Bild: Hanno Böck) (Hanno Böck)

TLS-Zertifikate: Symantec fällt auf falschen Key herein

Wenn ein privater Schlüssel von einem Webseitenzertifikat offen im Netz landet, sollten Zertifizierungsstellen das entsprechende Zertifikat zurückziehen. Symantec tat dies nun auch bei einem privaten Schlüssel, der überhaupt nicht echt war.

25 Kommentare

Die Schlüssel für echte Schlösser sind immer gleich, bei TLS ist das eigentlich anders. (Bild: Chilanga Cement, flickr.com) (Chilanga Cement, flickr.com)

IETF: Wie TLS abgehört werden könnte

Der Vorschlag für eine TLS-Erweiterung macht TLS effektiv kaputt, sagen dessen Kritiker. Befürworter begründen die Idee mit Enterprise-Szenarien im Rechenzentrum. Streit ist vorprogrammiert und zeigt sich deutlich beim Treffen der TLS-Arbeitsgruppe.

31 Kommentare / Ein Bericht von Sebastian Grüner

Private Schlüssel auf dem Webserver liegen lassen - das ist keine gute Idee. (Bild: Hanno Böck) (Hanno Böck)

HTTPS: Private Schlüssel auf dem Webserver

Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.

70 Kommentare / Von Hanno Böck

Nginx unterstützt jetzt auch das neue Protokoll TLS 1.3. (Bild: Nginx) (Nginx)

Webserver: Nginx 1.13 erscheint mit TLS-1.3-Support

Der freie Webserver Nginx ist in der Version 1.13 erschienen. Er bringt unter anderem Unterstützung für TLS 1.3 mit, das aktuelle Browser zwar unterstützen, OpenSSL allerdings noch nicht offiziell.

4 Kommentare

Firewalls von Sophos haben Probleme mit der jüngsten Version von Chrome. (Bild: Zahnradzacken/Wikimedia Commons) (Zahnradzacken/Wikimedia Commons)

TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

58 Kommentare

Kurse

Podcast Besser Wissen