SSL

Im Symantec-Hauptquartier dürften einige Leute gerade nervös werden - Googles Androhung könnte durchaus existenzbedrohend für die Firma sein. (Bild: LPS.1/Wikimedia Commons) (LPS.1/Wikimedia Commons)

Chrome: Google plant drastische Maßnahmen gegen Symantec

Nach mehreren Vorfällen, bei denen Symantec offenbar die Kontrolle über seine Zertifikatsinfrastruktur verloren hatte, plant Google nun drastische Maßnahmen. Das könnte für Symantec existenzbedrohend werden.

142 Kommentare

Das US-Cert warnt davor, HTTPS aufzumachen. (Bild: Rock1997) (Rock1997)

HTTPS: US-Cert warnt vor Man-In-The-Middle-Boxen

Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

20 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Mit Power Apps und Power Automate zu Power-Produktivität

zum Artikel

Karriere Ratgeber: Die besten Gmail- und Outlook-Alternativen vorgestellt – mit Proton, Tuta und Fastmail im Direktvergleich

zum Ratgeber

Seminar: Einführung in das Zero Trust Security Framework: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: AI-Bilder für Einsteiger: Midjourney-Techniken & kreative Grundlagen (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Mitarbeiter*in IT-Service (m/w/d) Hochschule Hamm-Lippstadt, Hamm,Lippstadt (öffnet im neuen Fenster)

IT Business Consultant für elektronischen Datenaustausch (EDI) (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)

Wirtschaftsinformatiker als Referent der Organisationsentiwcklung (m/w/d) Handwerkskammer Rheinhessen, Mainz (öffnet im neuen Fenster)

IT-Solutions Architect (w/m/d) Bausparkasse Mainz AG, Mainz (öffnet im neuen Fenster)

Frontend Developer (m/w/d) i-gelb GmbH, Köln (öffnet im neuen Fenster)

Inhouse Consultant (m/w/d) für IT und Prozesse Stadtreinigung Hamburg Anstalt des öffentlichen Rechts, Hamburg (öffnet im neuen Fenster)

Assistenz der CPO (m/w/d) TRIO Leuchten GmbH, Arnsberg (öffnet im neuen Fenster)

Geräte von Bluecoat sorgen gerade dafür, dass eine schnellere und sicherere Version von TLS nicht ausgeliefert werden kann. (Bild: Screenshot / bluecoat.com) (Screenshot / bluecoat.com)

Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

5 Kommentare

Big-IP-Geräte von F5 waren von der Ticketbleed-Lücke betroffen. (Bild: Servershop24/F5) (Servershop24/F5)

Ticketbleed: F5-Firewall hat ein blutendes Herz

Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

3 Kommentare

Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck) (Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.

22 Kommentare / Von Hanno Böck

Die C-Bibliothek des GNU-Projekts kann zuverlässige Zufallszahlen erzeugen. (Bild: Yoni Lerner, flickr.com) (Yoni Lerner, flickr.com)

Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

Die Standard-C-Bibliothek des GNU-Projekts hat endlich Wrapper für die Linux-Systemaufrufe Getrandom und Getentropy - mehr als zwei Jahre nach deren Einführung. Neu sind außerdem Funktionen für Strings, Mathe-Operationen und ein starker Schutz vor Stack-Überläufen.

7 Kommentare

Heartbleed ist gekommen, um zu bleiben. (Bild: EFF) (EFF)

HTTPS: Weiterhin rund 200.000 Systeme für Heartbleed anfällig

Heartbleed ist nicht totzukriegen. Noch immer sind rund 200.000 Systeme anfällig. Das dürfte auch noch länger so bleiben.

1 Kommentare

Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec) (Symantec)

TLS-Zertifikate: Symantec verpeilt es schon wieder

Update Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

24 Kommentare

Seminar: IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop

zum Kurs

E-Learning: Vibe Coding with ChatGPT (E-Learning in English)

zum Kurs

Seminar: IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Protonmail ist ab sofort per Tor zu erreichen. (Bild: Protonmail) (Protonmail)

Anonymität: Protonmail ist als Hidden-Service verfügbar

Wegen Trump, der Supervorratsdatenspeicherung in Großbritannien und der schlechten Lage der Privatsphäre allgemein bietet Protonmail künftig einen eigenen .Onion-Dienst an. Noch ist dieser aber im Beta-Stadium.

11 Kommentare

Go Daddy tauscht Zertifikate aus. (Bild: Go Daddy) (Go Daddy)

Softwarefehler: Go Daddy widerruft Zertifikate von 6.100 Kunden

Wieder mal sorgt ein Softwarefehler bei einer Zertifizierungsstelle für Ärger. Bei Go Daddy müssen die TLS-Zertifikate von mehr als 6.000 Kunden ausgetauscht werden, weil die Software auch falsche Zertifikate ausgestellt hat.

2 Kommentare

Apples App Stores werden auch weiterhin Apps ohne ATS akzeptieren. (Bild: Golem.de) (Golem.de)

Apple ATS: Fristverlängerung zur Einführung sicherer App-Kommunikation

Mit iOS 9 und OS X 10.11 hat Apple bereits ein festgelegten Weg für die sichere Kommunikation eingeführt. Dieser sollte eigentlich zum Jahreswechsel Pflicht werden. Apple verschiebt die Frist aber, da die Entwickler App Transport Security kaum umsetzen, trotz vieler Ausnahmen im System.

7 Kommentare

Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons) (PMRMaeyaert, Wikimedia Commons)

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.

10 Kommentare / Eine Analyse von Hanno Böck

Die Cloud-Schreibmaschine Freewrite hat einen praktischen Haltegriff. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß

Ernsthaftes Arbeitswerkzeug für Autoren oder ultimatives Hipster-Gadget? Wir haben uns eine Schreibmaschine mit E-Ink-Display und Cloud-Anschluss angeschaut und fragen uns, wer das Produkt kaufen will.

104 Kommentare / Ein Test von Hauke Gierow

Mit Certificate Transparency versucht Google, das System der Zertifizierungsstellen vertrauenswürdiger zu machen. (Bild: Certificate Transparency / Google) (Certificate Transparency / Google)

Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich

Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

43 Kommentare

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Von BNC zu RJ45 - auch die populären Stecker haben sich geändert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Von Funk bis Netz in Österreich

Ob unser PC in Flammen aufgeht und wir in der OS-Hölle landen, versuchen wir, im Podcast herauszufinden. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Windows 11 oder Weltuntergang?

Mozilla entzieht Wosign und Startcom offiziell das Vertrauen. (Bild: Wosign) (Wosign)

Wosign und Startcom: Mozilla veröffentlicht Details des TLS-Rauswurfs

Mozillas Firefox-Browser wird keine TLS-Zertifikate der beiden skandalträchtigen Certificate Authorities mehr akzeptieren. Wie dies genau umgesetzt wird, hat die Stiftung nun erläutert.

11 Kommentare

Ein Fehler beim Zertifikatsmanagement bei Globalsign führt bei Kunden weltweit zu Problemen. (Bild: Rock1997) (Rock1997)

Zertifikate: Schwerer Fehler bei Globalsign führt zu HTTPS-Problemen

Ein Fehler bei Wartungsarbeiten bei der CA Globalsign führt zu SSL/TLS-Problemen bei Kunden weltweit. Auch wenn das Unternehmen den Fehler behoben hat, können Kunden weiterhin Probleme haben. Wir zeigen, was zu tun ist.

8 Kommentare

Die Flagge des Daesh. (Bild: Gemeinfrei/Wikimedia Commons) (Gemeinfrei/Wikimedia Commons)

Großbritannien: Wenn HTTPS zu Terrorismus wird

Großbritannien bewirbt sich um die absurdeste Auslegung von Anti-Terror-Gesetzen. Einem angeblichen Terroristen wird vorgeworfen, dass er sein Blog mit HTTPS verschlüsselt hat. Hoffentlich haben die Richter nicht verstanden, was sie getan haben.

66 Kommentare / Ein IMHO von Hauke Gierow

Github wird derzeit in der Türkei zensiert. (Bild: Github.com) (Github.com)

Cloud-Dienste: Türkei zensiert Github, Onedrive und Dropbox

Open Source-Projekte müssen in der Türkei derzeit einen VPN nutzen, wenn sie auf Github setzen. Genau wie andere Dienste ist die Programmierplattform dort derzeit geblockt.

51 Kommentare

Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf) (OpenPGP.conf)

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

28 Kommentare

Ein Gerät von Ubiquiti (Bild: Ubiquiti) (Ubiquiti)

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

2 Kommentare

Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign) (Wosign)

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

17 Kommentare

Von einem solchen Testergebnis können die meisten Admins nur träumen. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

Observatory: Mozilla bietet Sicherheitscheck für Websites

Wie sicher ist die eigene Internetseite? Der Test mit einem neuen Tool von Browserhersteller Mozilla könnte für viele Betreiber ernüchternd sein.

38 Kommentare

OpenSSL hat eine neue Version mit vielen Änderungen unter der Haube veröffentlicht. (Bild: OpenSSL-Webseite) (OpenSSL-Webseite)

Verschlüsselung: OpenSSL veröffentlicht Version 1.1.0

OpenSSL veröffentlicht die neue Version 1.1.0. Neu hinzugekommen sind die Algorithmen ChaCha20 und X25519 sowie Unterstützung für Certificate Transparency. Vor allem aber ist das Release eine große Aufräumaktion.

2 Kommentare

SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info) (sweet32.info)

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

4 Kommentare

Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons) (Mattes/Wikimedia Commons)

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

12 Kommentare

HEIST - ein neuer Angriff auf TLS kombiniert einen Timing-Angriff und einen Angriff auf die HTTP-Kompression. (Bild: Black-Hat-Slides) (Black-Hat-Slides)

HEIST: Timing- und Kompressionsangriff auf TLS

Black Hat 2016 Durch die geschickte Kombination eines Timing-Angriffs in Javascript und der bereits bekannten Breach-Attacke ist es möglich, Geheimnisse in TLS-Verbindungen zu entschlüsseln. Anders als früher ist dafür kein Man-in-the-Middle-Angriff nötig.

11 Kommentare

Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains. (Bild: Comodo) (Comodo)

Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

27 Kommentare

HTTPS soll eigentlich auch URLs schützen. (Bild: Wikipedia/Fabio Lanari) (Wikipedia/Fabio Lanari)

Black Hat 2016: Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS

Besonders in öffentlichen Netzwerken schützen verschlüsselte HTTPS-Verbindungen davor, dass Admins oder gar andere Nutzer im gleichen Netz den eigenen Datenverkehr belauschen. Dieser Schutz ist offenbar löchrig - und zwar auf fast allen Browsern und Betriebssystemen.

49 Kommentare

Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de) (Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

46 Kommentare

Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor) (Nicola Horlor)

HTTPOXY: Gefährliche Proxy-Variablen

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

7 Kommentare

Eine Verbindung zu Googles Play-Store - abgesichert mit CECPQ1. (Bild: Screenshot / Google) (Screenshot / Google)

New Hope: Google testet Post-Quanten-Algorithmus

In einem Experiment sichert Google verschlüsselte Verbindungen zwischen Chrome und einigen Google-Domains mit einem Schlüsselaustausch ab, der Sicherheit vor Quantencomputern bieten soll. Der neue New-Hope-Algorithmus kommt in Kombination mit einem bewährten Verfahren zum Einsatz.

3 Kommentare

Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons) (Sean MacEntee/Wikimedia Commons)

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

1 Kommentare

Comodo will jetzt keine Markenrechte mehr für Let's Encrypt. (Bild: Rock1997) (Rock1997)

Markenrechte: Comodo will keine Rechte an Let's Encrypt

Der öffentliche Druck durch die Community hat offenbar gewirkt: Comodo hat sich entschlossen, keine Markenrechte für "Let's Encrypt" mehr zu beantragen. Zuvor hatte der Comodo-Chef die Aktion noch mit merkwürdigen Argumenten verteidigt.

9 Kommentare

Let's Encrypt hat den nächsten Meilenstein erreicht. (Bild: Techfruit) (Techfruit)

Markenrechte: Comodo will Let's Encrypt den Namen klauen

Der Erfolg von Let's Encrypt ist spektakulär, es wurden bereits mehr als fünf Millionen Zertifikate ausgestellt. Jetzt will die Sicherheitsfirma Comodo Markenrechte an dem Namen durchsetzen. Let's Encrypt reagiert empört.

48 Kommentare

Ein neuer Verschlüsselungsmodus für TLS: ChaCha20 im Poly1305-Modus wurde jetzt standardisiert. (Bild: BeenAroundAWhile / Wikimedia Commons) (BeenAroundAWhile / Wikimedia Commons)

RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

Mit RFC 7905 gibt es nun eine Spezifikation, um den Verschlüsselungsalgorithmus ChaCha20 im Poly1305-Modus in TLS zu nutzen. Der von Dan Bernstein entwickelte Algorithmus ist insbesondere auf Geräten ohne Hardware-AES-Unterstützung schneller als mögliche Alternativen.

2 Kommentare

Symantec will im Bereich Cloudsicherheit wachsen. (Bild: Paul J. Richards/Getty Images) (Paul J. Richards/Getty Images)

Kurse

Podcast Besser Wissen