Abo
361 SSL Artikel
  1. Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

    Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

    GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

    09.09.201628 Kommentare
  2. House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

    House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

    Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

    07.09.20162 Kommentare
  3. Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

    Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

    Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

    31.08.201617 Kommentare
  4. Observatory: Mozilla bietet Sicherheitscheck für Websites

    Observatory: Mozilla bietet Sicherheitscheck für Websites

    Wie sicher ist die eigene Internetseite? Der Test mit einem neuen Tool von Browserhersteller Mozilla könnte für viele Betreiber ernüchternd sein.

    28.08.201638 Kommentare
  5. Verschlüsselung: OpenSSL veröffentlicht Version 1.1.0

    Verschlüsselung: OpenSSL veröffentlicht Version 1.1.0

    OpenSSL veröffentlicht die neue Version 1.1.0. Neu hinzugekommen sind die Algorithmen ChaCha20 und X25519 sowie Unterstützung für Certificate Transparency. Vor allem aber ist das Release eine große Aufräumaktion.

    26.08.20162 Kommentare
Stellenmarkt
  1. DIBT Deutsches Institut für Bautechnik, Berlin
  2. THD - Technische Hochschule Deggendorf, Deggendorf
  3. Amprion GmbH, Pulheim-Brauweiler
  4. Universitätsmedizin Göttingen, Göttingen


  1. SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

    SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

    Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

    25.08.20164 Kommentare
  2. Schlüsselaustausch: Eine Backdoor für Diffie Hellman

    Schlüsselaustausch: Eine Backdoor für Diffie Hellman

    Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

    08.08.201612 Kommentare
  3. HEIST: Timing- und Kompressionsangriff auf TLS

    HEIST: Timing- und Kompressionsangriff auf TLS

    Black Hat 2016 Durch die geschickte Kombination eines Timing-Angriffs in Javascript und der bereits bekannten Breach-Attacke ist es möglich, Geheimnisse in TLS-Verbindungen zu entschlüsseln. Anders als früher ist dafür kein Man-in-the-Middle-Angriff nötig.

    04.08.201611 Kommentare
  4. Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

    Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

    Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

    30.07.201627 Kommentare
  5. Black Hat 2016: Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS

    Black Hat 2016: Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS

    Besonders in öffentlichen Netzwerken schützen verschlüsselte HTTPS-Verbindungen davor, dass Admins oder gar andere Nutzer im gleichen Netz den eigenen Datenverkehr belauschen. Dieser Schutz ist offenbar löchrig - und zwar auf fast allen Browsern und Betriebssystemen.

    27.07.201649 Kommentare
  1. STARTTLS: Keine Verschlüsselung mit der SPD

    STARTTLS: Keine Verschlüsselung mit der SPD

    Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

    22.07.201648 Kommentare
  2. HTTPOXY: Gefährliche Proxy-Variablen

    HTTPOXY: Gefährliche Proxy-Variablen

    Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

    19.07.20167 Kommentare
  3. New Hope: Google testet Post-Quanten-Algorithmus

    New Hope: Google testet Post-Quanten-Algorithmus

    In einem Experiment sichert Google verschlüsselte Verbindungen zwischen Chrome und einigen Google-Domains mit einem Schlüsselaustausch ab, der Sicherheit vor Quantencomputern bieten soll. Der neue New-Hope-Algorithmus kommt in Kombination mit einem bewährten Verfahren zum Einsatz.

    08.07.20163 Kommentare
  1. Verschlüsselung: Sicherheitslücke bei Start Encrypt

    Verschlüsselung: Sicherheitslücke bei Start Encrypt

    Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

    04.07.20161 Kommentar
  2. Markenrechte: Comodo will keine Rechte an Let's Encrypt

    Markenrechte: Comodo will keine Rechte an Let's Encrypt

    Der öffentliche Druck durch die Community hat offenbar gewirkt: Comodo hat sich entschlossen, keine Markenrechte für "Let's Encrypt" mehr zu beantragen. Zuvor hatte der Comodo-Chef die Aktion noch mit merkwürdigen Argumenten verteidigt.

    27.06.20169 Kommentare
  3. Markenrechte: Comodo will Let's Encrypt den Namen klauen

    Markenrechte: Comodo will Let's Encrypt den Namen klauen

    Der Erfolg von Let's Encrypt ist spektakulär, es wurden bereits mehr als fünf Millionen Zertifikate ausgestellt. Jetzt will die Sicherheitsfirma Comodo Markenrechte an dem Namen durchsetzen. Let's Encrypt reagiert empört.

    23.06.201648 Kommentare
  1. RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

    RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

    Mit RFC 7905 gibt es nun eine Spezifikation, um den Verschlüsselungsalgorithmus ChaCha20 im Poly1305-Modus in TLS zu nutzen. Der von Dan Bernstein entwickelte Algorithmus ist insbesondere auf Geräten ohne Hardware-AES-Unterstützung schneller als mögliche Alternativen.

    23.06.20162 Kommentare
  2. Übernahme: Symantec kauft Sicherheitsfirma Bluecoat

    Übernahme: Symantec kauft Sicherheitsfirma Bluecoat

    Zwei umstrittene Unternehmen tun sich zusammen: Der Sicherheitsanbieter Symantec kauft Bluecoat. Zusammen will man Sicherheitslösungen für mobile Geräte und die Cloud entwickeln.

    13.06.20167 Kommentare
  3. Verschlüsselung: Let's Encrypt verrät 7.618 E-Mail-Adressen

    Verschlüsselung: Let's Encrypt verrät 7.618 E-Mail-Adressen

    Let's Encrypt will Verbindungen im Internet besser absichern und so die privaten Daten der Nutzer besser schützen. Doch jetzt hat das Projekt durch eine Panne selbst zahlreiche Mailadressen preisgegeben.

    13.06.201614 Kommentare
  1. Fraunhofer Studie: Sicherheitslücken in fast allen Smartphone-Virenscannern

    Fraunhofer Studie: Sicherheitslücken in fast allen Smartphone-Virenscannern

    Fast alle Antiviren-Apps für Smartphones haben Fehler, stellt eine neue Studie fest. Eine App von Kaspersky soll sogar mit Malware infizierte Werbung heruntergeladen haben. Die meisten Hersteller haben die Lücken mittlerweile gepatcht.

    02.06.201613 Kommentare
  2. Überwachung: Aufregung um Intermediate-Zertifikat für Bluecoat

    Überwachung : Aufregung um Intermediate-Zertifikat für Bluecoat

    Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.

    30.05.201661 Kommentare
  3. TLS/GCM: Gefahr durch doppelte Nonces

    TLS/GCM: Gefahr durch doppelte Nonces

    Moderne TLS-Verbindungen nutzen üblicherweise das AES-GCM-Verschlüsselungsverfahren. Das benötigt einen sogenannten Nonce-Wert, der sich nicht wiederholen darf. Ansonsten ist die Sicherheit dahin.

    20.05.201614 Kommentare
  1. OpenSSL-Update: Die Rückkehr des Padding-Orakels

    OpenSSL-Update: Die Rückkehr des Padding-Orakels

    Die jüngste Version von OpenSSL behebt eine kritische Sicherheitslücke: eine Neuauflage des sogenannten Padding-Oracle-Angriffs. Mehrere ältere Bugs ermöglichen außerdem zusammen eine Memory-Corrpution-Lücke.

    03.05.20163 Kommentare
  2. Security: Der Internetminister hat Heartbleed

    Security: Der Internetminister hat Heartbleed

    Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

    29.04.201624 Kommentare
  3. Kostenfreie SSL-Zertifikate: Let's Encrypt ist nicht mehr Beta

    Kostenfreie SSL-Zertifikate: Let's Encrypt ist nicht mehr Beta

    Das ging schneller als erwartet: Let's Encrypt ist nicht mehr im Betastadium. Außerdem gibt es neue Unterstützer.

    14.04.201633 Kommentare
  4. Wordpress.com: 1 Million neue Let's-Encrypt-Seiten

    Wordpress.com: 1 Million neue Let's-Encrypt-Seiten

    In Zusammenarbeit mit Wordpress wird Let's Encrypt alle dort gehosteten Seiten mit einem SSL-Zertifikat ausstatten. Ein Problem mit Windows-XP-Nutzern wurde zwischenzeitlich behoben.

    09.04.201628 Kommentare
  5. SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

    SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

    Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten.

    23.03.201618 Kommentare
  6. Kostenlose Zertifikate: Symantec will mit Let's Encrypt konkurrieren

    Kostenlose Zertifikate: Symantec will mit Let's Encrypt konkurrieren

    Eine weitere Initiative möchte mehr kostenfreie Zertifikate im Web erreichen. Doch dieses Mal geht es nicht um ein communitygetriebenes Projekt. Let's Encrypt macht derweil offenbar einen wichtigen Schritt.

    18.03.201612 Kommentare
  7. Security: Drown gefährdet weiterhin zahlreiche Webdienste

    Security: Drown gefährdet weiterhin zahlreiche Webdienste

    Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

    10.03.20169 Kommentare
  8. Let's Encrypt: 1 Million freie Zertifikate und ein paar Probleme

    Let's Encrypt: 1 Million freie Zertifikate und ein paar Probleme

    Let's Encrypt wächst rasant - nach wenigen Monaten gibt es bereits eine Million Zertifikate. Doch in der Betaphase gibt es nach wie vor einige Probleme und Beschränkungen.

    09.03.201632 Kommentare
  9. Cachebleed-Angriff: CPU-Cache kann private Schlüssel verraten

    Cachebleed-Angriff: CPU-Cache kann private Schlüssel verraten

    Forschern ist es gelungen, RSA-Verschlüsselungsoperationen von OpenSSL mittels eines Cache-Timing-Angriffs zu belauschen und so den privaten Key zu knacken. Der Cachebleed-Angriff nutzt dabei Zugriffskonflikte auf den Cache-Speicher.

    02.03.20161 Kommentar
  10. Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar

    Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar

    Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein.
    Von Hanno Böck

    01.03.201620 Kommentare
  11. Security: 85 Prozent der SSL-VPNs haben unsichere Konfigurationen

    Security: 85 Prozent der SSL-VPNs haben unsichere Konfigurationen

    Zahlreiche SSL-VPNs sichern den Traffic der Nutzer nur unzureichend ab - das behauptet eine Sicherheitsfirma. Viele Anbieter würden nach wie vor SHA-1 oder MD5 verwenden. Außerdem seien rund 10 Prozent der Dienste für Heartbleed anfällig.

    29.02.20163 Kommentare
  12. Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

    Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

    Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

    10.02.20162 Kommentare
  13. OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

    OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

    OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

    29.01.201612 Kommentare
  14. 12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

    12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

    Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

    27.01.201613 Kommentare
  15. Man-In-The-Middle-Angriff: Schwachstelle in Intels Driver Update Utility

    Man-In-The-Middle-Angriff: Schwachstelle in Intels Driver Update Utility

    Treiber-Updates sollen einen Rechner sicherer machen, nicht verwundbarer. Im Fall von Intels Treiber-Update-Programm ist das leider misslungen - eine Schwachstelle ermöglicht es Angreifern, bösartigen Code auf dem Rechner der Nutzer auszuführen.

    22.01.201610 Kommentare
  16. Zufallszahlengenerator: Juniper wegen Hintertüren in Erklärungsnot

    Zufallszahlengenerator: Juniper wegen Hintertüren in Erklärungsnot

    Nach wie vor verwenden Juniper-Geräte einen Zufallszahlengenerator, der vermutlich eine Hintertür eingebaut hat. Juniper will diesen zwar entfernen, sieht aber keine akute Gefahr. Dabei gibt es sehr klare Hinweise darauf, dass er böswillig eingebaut wurde.

    11.01.201619 Kommentare
  17. Firefox: Mozilla schmeißt SHA 1 raus - und gleich wieder rein

    Firefox: Mozilla schmeißt SHA 1 raus - und gleich wieder rein

    Das Ende von SHA 1 naht - doch jetzt gibt es einen Rückschritt beim Abschied von dem alten Algorithmus. Weil es in Firmennetzwerken Probleme mit TLS-Man-In-The-Middle-Proxys wie Antivirenscannern und Firewalls gibt, hat Mozilla die Zertifikate wieder aktiviert - vorerst.

    08.01.20167 Kommentare
  18. Support-Scam: Dell-Nutzer werden mit falschen Support-Anrufen belästigt

    Support-Scam: Dell-Nutzer werden mit falschen Support-Anrufen belästigt

    Gefälschte Support-Anrufe sind ein großes Ärgernis für viele PC-Nutzer. Jetzt gibt es eine neue Masche, die gezielt Dell-Nutzer anspricht. Möglicherweise hängen die Anrufe mit den von Dell im vergangenen Jahr installierten SSL-Zertifikaten zusammen.

    08.01.20162 Kommentare
  19. MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

    MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

    Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

    07.01.20164 Kommentare
  20. Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

    Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

    32C3 Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.

    30.12.20153 Kommentare
  21. Checkmyhttps: Erweiterung prüft, ob einem Zertifikate untergejubelt wurden

    Checkmyhttps: Erweiterung prüft, ob einem Zertifikate untergejubelt wurden

    32C3 Mit einer Browsererweiterung wollen sich die Entwickler von Checkmyhttps gegen Man-in-the-Middle-Angriffe wehren. Sie gleicht die Fingerabdrücke von Zertifikaten mit anderen Nutzern der Erweiterung ab.

    29.12.201514 Kommentare
  22. Let's Encrypt: Ein kostenfreies Zertifikat, alle zwei Sekunden

    Let's Encrypt: Ein kostenfreies Zertifikat, alle zwei Sekunden

    32C3 Der Start der neuen Certificate Authority Let's Encrypt hat offenbar recht gut funktioniert. Nach nur rund einem Monat im Betabetrieb ist das Projekt schon die fünftgrößte CA der Welt. Doch es gibt noch einige Aufgaben zu bewältigen.

    29.12.201557 Kommentare
  23. Dual EC DRBG: Die Hintertüren in Juniper-Firewalls

    Dual EC DRBG: Die Hintertüren in Juniper-Firewalls

    Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.

    22.12.20156 Kommentare
  24. Deutsche Webhoster: Vorerst keine automatische Unterstützung von Let's Encrypt

    Deutsche Webhoster: Vorerst keine automatische Unterstützung von Let's Encrypt

    Mit Let's Encrypt können Webseitenbetreiber kostenfreie SSL-/TLS-Zertifikate erstellen. Wir haben bei großen deutschen Webhostern nachgefragt, ob sie den Dienst nutzerfreundlich in ihre Angebote integrieren wollen. Spoiler: Es wird wohl noch etwas dauern.
    Von Hauke Gierow

    18.12.201538 Kommentare
  25. Lenovo/CSR: Bluetooth-Treiber installiert Root-Zertifikat

    Lenovo/CSR: Bluetooth-Treiber installiert Root-Zertifikat

    Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

    14.12.20154 Kommentare
  26. HTTPS: Cloudflare und Facebook wollen SHA1 weiternutzen

    HTTPS: Cloudflare und Facebook wollen SHA1 weiternutzen

    Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

    10.12.20152 Kommentare
  27. Let's Encrypt: Kostenfreie Zertifikate für alle in der offenen Beta

    Let's Encrypt: Kostenfreie Zertifikate für alle in der offenen Beta

    Zertifikate für alle, und zwar kostenfrei! Let's Encrypt hat die öffentliche Beta gestartet. Jetzt kann jeder Webseitenbetreiber eigene Zertifikate für seine Domain erstellen - wenn sein Server die Voraussetzungen erfüllt.

    04.12.201545 Kommentare
  28. Eki-Scada-Systeme: Heartbleed per Update nachgerüstet

    Eki-Scada-Systeme: Heartbleed per Update nachgerüstet

    Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.

    03.12.20154 Kommentare
Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de



  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #