SSL

Rund 85 Prozent der getesteten SSL-Server weisen unsichere Konfigurationen auf. (Bild: Hightech Bridge) (Hightech Bridge)

Security: 85 Prozent der SSL-VPNs haben unsichere Konfigurationen

Zahlreiche SSL-VPNs sichern den Traffic der Nutzer nur unzureichend ab - das behauptet eine Sicherheitsfirma. Viele Anbieter würden nach wie vor SHA-1 oder MD5 verwenden. Außerdem seien rund 10 Prozent der Dienste für Heartbleed anfällig.

3 Kommentare

Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek) (Radek)

Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

2 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: ISO/IEC 27001 verstehen und anwenden – mit offizieller Zertifizierung

zum Artikel

Karriere Ratgeber: Mullvad, Firefox, Brave und Co.: Die besten Browser-Alternativen zu Chrome und Edge im Überblick

zum Ratgeber

Seminar: IT-Security-Awareness für Systemadministratoren: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Schneller programmieren mit KI: ChatGPT, GitHub Copilot, Tabnine & Mehr (E-Learning auf Englisch)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Business-Architect (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)

IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Marketing Platform Manager (w|m|d) - Customer Data Platform ADAC SE, München (öffnet im neuen Fenster)

Junior Digital Analyst- Feature Performance (m/w/d) Lidl E-Commerce, Berlin (öffnet im neuen Fenster)

Software Engineer (m/w/d) - Backend PROBAT SE, Emmerich (öffnet im neuen Fenster)

IT-Architekt:in (m/w/d) mit Spezialisierung für Enterprise- oder Lösungsarchitekturen Föderale IT-Kooperation (FITKO), Frankfurt am Main (öffnet im neuen Fenster)

Leiter SAP-Anwendungen und IT-Infrastruktur (m/w/d) Gerd Bär GmbH, Heilbronn (öffnet im neuen Fenster)

Softwareentwickler (m/w/d) Embedded Systems Alber GmbH, Albstadt (öffnet im neuen Fenster)

Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt. (Bild: PMRMaeyaert/Wikimedia Commons) (PMRMaeyaert/Wikimedia Commons)

OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

12 Kommentare

Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de) (Screenshot:Golem.de)

12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

14 Kommentare

Intel hat eine Sicherheitslücke in seinem Update-Tool geschlossen. (Bild: Pichi Chuang/Reuters) (Pichi Chuang/Reuters)

Man-In-The-Middle-Angriff: Schwachstelle in Intels Driver Update Utility

Treiber-Updates sollen einen Rechner sicherer machen, nicht verwundbarer. Im Fall von Intels Treiber-Update-Programm ist das leider misslungen - eine Schwachstelle ermöglicht es Angreifern, bösartigen Code auf dem Rechner der Nutzer auszuführen.

10 Kommentare

Wer hört alles mit, wenn Juniper-Geräte Datenverkehr verschlüsseln? (Bild: Victorgrigas, Wikimedia Commons) (Victorgrigas, Wikimedia Commons)

Zufallszahlengenerator: Juniper wegen Hintertüren in Erklärungsnot

Nach wie vor verwenden Juniper-Geräte einen Zufallszahlengenerator, der vermutlich eine Hintertür eingebaut hat. Juniper will diesen zwar entfernen, sieht aber keine akute Gefahr. Dabei gibt es sehr klare Hinweise darauf, dass er böswillig eingebaut wurde.

19 Kommentare

Der Firefox mag jetzt doch wieder SHA 1-Zertifikate. (Bild: Mozilla) (Mozilla)

Firefox: Mozilla schmeißt SHA 1 raus - und gleich wieder rein

Das Ende von SHA 1 naht - doch jetzt gibt es einen Rückschritt beim Abschied von dem alten Algorithmus. Weil es in Firmennetzwerken Probleme mit TLS-Man-In-The-Middle-Proxys wie Antivirenscannern und Firewalls gibt, hat Mozilla die Zertifikate wieder aktiviert - vorerst.

7 Kommentare

Dell-Nutzer sollten auflegen, wenn der IT-Support von sich aus anruft. (Bild: Dado Ruvic/Reuters) (Dado Ruvic/Reuters)

Support-Scam: Dell-Nutzer werden mit falschen Support-Anrufen belästigt

Gefälschte Support-Anrufe sind ein großes Ärgernis für viele PC-Nutzer. Jetzt gibt es eine neue Masche, die gezielt Dell-Nutzer anspricht. Möglicherweise hängen die Anrufe mit den von Dell im vergangenen Jahr installierten SSL-Zertifikaten zusammen.

2 Kommentare

Seminar: Microsoft 365 Security: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: Microsoft 365 Zero Trust: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop

zum Kurs

E-Learning: Vibe Coding with ChatGPT (E-Learning in English)

zum Kurs

Ein harscher Vorwurf: Die Krypto-Community sei zu faul, ihre alten und schlechten Algorithmen zu entsorgen. (Bild: Leo Johannes, Christian Mehlführer, Wikimedia Commons) (Leo Johannes, Christian Mehlführer, Wikimedia Commons)

MD5/SHA1: Sloth-Angriffe nutzen alte Hash-Algorithmen aus

Neue Angriffe gegen TLS: Krypto-Forscher präsentieren mit Sloth mehrere Schwächen in TLS-Implementierungen und im Protokoll selbst. Am kritischsten ist ein Angriff auf Client-Authentifizierungen mit RSA und MD5.

4 Kommentare

Der Referent nutzte dieses Bild eines Massen-Facepalms, um seinen Vortrag zu bebildern. (Bild: Frank & Fefe) (Frank & Fefe)

Epic Fail Collection: Wie man einen DDoS-Angriff nicht verhindert

32C3 Wie verhindert man einen DDoS-Angriff nicht? Dieser Frage ging der Sicherheitsforscher Moshe Ziono in seinem Vortrag auf dem 32C3 nach. Demnach wird das teure Anti-DDoS-Equipment offenbar manchmal selbst zur Falle.

3 Kommentare

Checkmyhttps überprüft die Echtheit von Webseitenzertifikaten. (Bild: Checkmyhttps) (Checkmyhttps)

Checkmyhttps: Erweiterung prüft, ob einem Zertifikate untergejubelt wurden

32C3 Mit einer Browsererweiterung wollen sich die Entwickler von Checkmyhttps gegen Man-in-the-Middle-Angriffe wehren. Sie gleicht die Fingerabdrücke von Zertifikaten mit anderen Nutzern der Erweiterung ab.

14 Kommentare

Was ein bisschen aussieht wie der Todesstern ist die Übersicht aller CAs. Let's Encrypt ist in Magenta in der linken unteren Bildhälfte zu sehen. (Bild: Roland Shoemaker/Screenshot: Golem.de) (Roland Shoemaker/Screenshot: Golem.de)

Let's Encrypt: Ein kostenfreies Zertifikat, alle zwei Sekunden

32C3 Der Start der neuen Certificate Authority Let's Encrypt hat offenbar recht gut funktioniert. Nach nur rund einem Monat im Betabetrieb ist das Projekt schon die fünftgrößte CA der Welt. Doch es gibt noch einige Aufgaben zu bewältigen.

57 Kommentare

In Juniper-Firewalls wurden Hintertüren gefunden - die Details geben weitere Rätsel auf. (Bild: LPS.1 / Wikimedia Commons) (LPS.1 / Wikimedia Commons)

Dual EC DRBG: Die Hintertüren in Juniper-Firewalls

Eine der in Juniper-Firewalls gefundenen Hintertüren nutzt offenbar einen Zufallszahlengenerator, der mutmaßlich von der NSA kompromittiert ist. Bei der Analyse der Änderungen gibt es Hinweise, dass hier mehrere Akteure am Werk waren - und dass die Hintertür gar nicht wirklich geschlossen worden ist.

6 Kommentare

Bis Let's Encrypt für alle Kunden von Webhostern verfügbar ist, wird es wohl noch etwas dauern. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

Deutsche Webhoster: Vorerst keine automatische Unterstützung von Let's Encrypt

Mit Let's Encrypt können Webseitenbetreiber kostenfreie SSL-/TLS-Zertifikate erstellen. Wir haben bei großen deutschen Webhostern nachgefragt, ob sie den Dienst nutzerfreundlich in ihre Angebote integrieren wollen. Spoiler: Es wird wohl noch etwas dauern.

38 Kommentare / Von Hauke Gierow

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Von BNC zu RJ45 - auch die populären Stecker haben sich geändert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Von Funk bis Netz in Österreich

Ob unser PC in Flammen aufgeht und wir in der OS-Hölle landen, versuchen wir, im Podcast herauszufinden. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Windows 11 oder Weltuntergang?

Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops (Bild: Bfishadow/Flickr) (Bfishadow/Flickr)

Lenovo/CSR: Bluetooth-Treiber installiert Root-Zertifikat

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

4 Kommentare

Alle Browser willkommen - Cloudflare und Facebook wollen Nutzern mit alten Geräten weiterhin den Zugriff ermöglichen. (Bild: Cloudflare) (Cloudflare)

HTTPS: Cloudflare und Facebook wollen SHA1 weiternutzen

Eigentlich sollen mit SHA1 signierte TLS-Zertifikate bald der Vergangenheit angehören. Doch in Entwicklungsländern sind noch viele Geräte in Benutzung, die den besseren SHA256-Algorithmus nicht unterstützen. Facebook und Cloudflare wollen daher alten Browsern ein anderes Zertifikat ausliefern.

2 Kommentare

Die offene Beta von Let's Encrypt hat begonnen. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Let's Encrypt: Kostenfreie Zertifikate für alle in der offenen Beta

Zertifikate für alle, und zwar kostenfrei! Let's Encrypt hat die öffentliche Beta gestartet. Jetzt kann jeder Webseitenbetreiber eigene Zertifikate für seine Domain erstellen - wenn sein Server die Voraussetzungen erfüllt.

45 Kommentare

In Scada-Systemen von Advantech-EKI wurden offenbar durch Updates neue Sicherheitslücken geöffnet. (Bild: Kele) (Kele)

Eki-Scada-Systeme: Heartbleed per Update nachgerüstet

Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.

4 Kommentare

Wird im kasachstanischen Präsidentenpalast eine Totalüberwachung des verschlüsselten Internets geplant? (Bild: Hanno Böck) (Hanno Böck)

Kasachstan: Man-in-the-Middle-Angriff auf ein ganzes Land geplant?

Mit einem manuell zu installierenden TLS-Root-Zertifikat will Kasachstan offenbar alle verschlüsselten Verbindungen ins Ausland mitlesen: Das stand auf der Webseite des nationalen Telekom-Anbieters. Die Meldung ist wieder weg - die Pläne auch?

23 Kommentare

Der Speedport Hybrid der Telekom - eines von vielen Geräten, deren private Schlüssel nicht mehr privat sind (Bild: Telekom) (Telekom)

HTTPS/SSH: Embedded-Geräte von 50 Herstellern benutzen unsichere Keys

Zahlreiche Embedded-Geräte, darunter Router, Kameras, Telefone und vieles mehr, nutzen in der Firmware hardcodierte Schlüssel für HTTPS- und SSH-Verbindungen. Die Schlüssel werden in Kürze öffentlich bekannt sein, die verschlüsselten Verbindungen bieten damit kaum noch Schutz.

16 Kommentare

Hardware-Verschlüsselungsmodule von Utimaco verraten ihre geheimen Schlüssel auf elliptischen Kurven. (Bild: Utimaco) (Utimaco)

Verschlüsselung: Punkte auf der falschen elliptischen Kurve

Forscher der Ruhr-Universität Bochum haben einen schon lange bekannten Angriff auf Verschlüsselungsverfahren mit elliptischen Kurven in der Praxis umsetzen können. Verwundbar ist neben Java-Bibliotheken auch ein Hardware-Verschlüsselungsgerät von Utimaco.

5 Kommentare

Amazon verwirrt seine Kunden mit einer Passwortänderung. (Bild: Amazon) (Amazon)

Security: Amazon.com setzt Passwörter von Kunden zurück

Einige Amazon-Kunden in den USA und Großbritannien müssen sich ein neues Passwort ausdenken. Amazon hat die Passwörter zurückgesetzt - eine reine Vorsichtsmaßnahme, wie es heißt. Doch das Statement von Amazon ist teilweise widersprüchlich und lässt viele Fragen offen.

24 Kommentare

Ein weiteres gefährliches Root-Zertifikat ist auf Dell-Laptops zu finden. (Bild: Dell Inc./ Wikimedia Commons) (Dell Inc./ Wikimedia Commons)

HTTPS-Verschlüsselung: Noch ein gefährliches Dell-Zertifikat

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

6 Kommentare

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons) (Jjpwiki/Wikimedia Commons)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Update Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

64 Kommentare

Einblicke ins ungewöhnliche Betriebssystem von Blue Coat - dessen Design hat Vor- und Nachteile. (Bild: Blue Coat) (Blue Coat)

ProxySG: Einblick ins Betriebssystem von Blue Coat

Der Sicherheitsforscher Raphaël Rigo hat sich das Betriebssystem von Geräten der Firma Blue Coat angesehen. Dem proprietären System fehlen moderne Sicherheitsmechanismen wie Stack Canaries oder ASLR.

2 Kommentare

Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany) (E-Mail Made in Germany)

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.

160 Kommentare / Von Hanno Böck

Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis. (Bild: LPS.1/Wikimedia Commons) (LPS.1/Wikimedia Commons)

TLS-Zertifikate: Google greift gegen Symantec durch

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.

13 Kommentare

Let's Encrypt hat den nächsten Meilenstein erreicht. (Bild: Techfruit) (Techfruit)

Let's Encrypt: Cross-Sign mit Identrust abgeschlossen

Let's Encrypt hat einen neuen Meilenstein erreicht: Der Cross-Sign mit Identrust ist abgeschlossen. Ab Mitte November soll der Dienst für die breite Öffentlichkeit verfügbar sein.

11 Kommentare

Google Chrome hat eine überarbeitete Anzeige für das Sicherheitsniveau einer Webseite. (Bild: Google) (Google)

Chrome-Update: Google überarbeitet HTTPS-Anzeige

Die Anzeigen zur Darstellung des Sicherheitsniveaus einer Webseite sind in der neuen Version von Googles Webbrowser Chrome überarbeitet worden. Nutzer sollen jetzt weniger verwirrt sein als vorher. Außerdem hat Google kritische Sicherheitslücken gestopft.

17 Kommentare

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google) (Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

47 Kommentare

Let's Encrypt will mehr SSL-/TLS-Zertifikate unters Volk bringen. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Verschlüsselung: Let's Encrypt legt los und sucht Mitstreiter

Das Projekt Let's Encrypt möchte mehr Webseiten mit SSL-/TLS-Zertifikaten ausstatten. Jetzt hat die von der EFF und Mozilla ins Leben gerufene Initiative ihr erstes Zertifikat ausgestellt.

60 Kommentare

Das PQCRYPTO-Forschungsprojekt sucht nach den Verschlüsselungsalgorithmen der Zukunft - und hat erste Empfehlungen. (Bild: PQCRYPTO) (PQCRYPTO)

Quantencomputer: Erste Empfehlungen für Post-Quanten-Kryptographie

Im Rahmen eines EU-Forschungsprojekts wurden jetzt erste Empfehlungen für kryptographische Algorithmen vorgelegt, die Schutz vor Quantencomputern bieten. Diese bieten zwar ein hohes Sicherheitsniveau, sie sind aber in vielen Fällen unpraktikabel.

10 Kommentare

Firewalls der Firma Hillstone verraten in bestimmten Fällen den privaten Schlüssel - schuld ist ein Chip der Firma Cavium. (Bild: Hillstone) (Hillstone)

RSA-CRT: RSA-Angriff aus dem Jahr 1996 wiederentdeckt

Eine Optimierung von RSA-Signaturen kann bei fehlerhaften Berechnungen den privaten Schlüssel verraten. Bekannt ist dieser Angriff schon seit 1996, ein Red-Hat-Entwickler hat jetzt herausgefunden, dass es immer noch verwundbare Hard- und Software gibt.

9 Kommentare

Beim Schlüsselaustausch mit dem statischen Diffie-Hellman-Verfahren kann manches schiefgehen. (Bild: Nopetro~commonswiki/Wikimedia-Commons/CC by-sa 3.0) (Nopetro~commonswiki/Wikimedia-Commons/CC by-sa 3.0)

Schlüsselaustausch: KCI-Angriff auf TLS missbraucht Clientzertifikate

Ein komplexer Angriff nutzt eine trickreiche Kombination aus Clientzertifikaten und einem statischen Diffie-Hellman-Schlüsselaustausch. Der Angriff ist nur in sehr speziellen Situationen relevant, doch es zeigt sich wieder einmal, dass das TLS-Protokoll selbst Sicherheitslücken hat.

3 Kommentare

Beim Verschlüsselungsverfahren RSA wird mit großen Zahlen gerechnet. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Kryptographie: Rechenfehler mit großen Zahlen

Black Hat 2015 Kryptographische Algorithmen benötigen oft Berechnungen mit großen Ganzzahlen. Immer wieder werden Fehler in den entsprechenden Bibliotheken gefunden. Diese können zu Sicherheitslücken werden.

24 Kommentare

BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit. (Bild: MelVic/Wikimedia Commons/CC by-sa 3.0) (MelVic/Wikimedia Commons/CC by-sa 3.0)

HTTPS: BGP-Angriff gefährdet TLS-Zertifikatssystem

Black Hat 2015 Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar - beispielsweise mittels des Routingprotokolls BGP.

4 Kommentare

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia) (Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

5 Kommentare

Puzzles sollen Server vor DDoS-Angriffen über TLS schützen. (Bild: Flickr.com Brad Montgomery - CC-BY-2.0) (Flickr.com Brad Montgomery - CC-BY-2.0)

IETF: Rätselaufgaben gegen DDoS-Angriffe auf TLS

Ein Akamai-Mitarbeiter beschreibt, wie mit einfachen Rechenaufgaben DDoS-Angriffe durch Clients auf TLS-Verbindungen minimiert werden könnten. Die Idee ist zwar noch ein Entwurf, könnte aber als Erweiterung für TLS 1.3 standardisiert werden.

24 Kommentare

Firefox 39 verzichtet auf alte Verschlüsselungstechnik. (Bild: Mozilla - CC-BY-SA 3.0) (Mozilla - CC-BY-SA 3.0)

Mozilla: Firefox 39 schmeißt alte Krypto raus

SSLv3 ist aus Firefox 39 endgültig entfernt worden, und RC4 ist nur noch temporär für einige wenige Seiten erlaubt. Das Mozilla-Team erweitert den Schutz des Browsers vor Malware, daneben gibt es noch viele kleinere Neuerungen.

39 Kommentare

Auch das LG G3 soll von dem Problem betroffen sein. (Bild: Fabian Hamacher/Golem.de) (Fabian Hamacher/Golem.de)

Sicherheitsrisiko: LGs Update-App für Smartphones ist anfällig

Smartphones von LG sind aufgrund einer schlecht umgesetzten SSL-Verschlüsselung anfällig für Man-in-the-Middle-Attacken. Offenbar weiß der Hersteller schon länger davon, ein Patch soll das Problem beheben - auf manchen Geräten ist dieser aber noch nicht angekommen.

Kommentare

Die Poodle-Sicherheitslücke hat das Ende von SSL Version 3 besiegelt. (Bild: Living in Monrovia/Wikimedia Commons/CC by-sa 2.0) (Living in Monrovia/Wikimedia Commons/CC by-sa 2.0)

Verschlüsselung: SSL Version 3 soll endgültig verschwinden

Seit der Poodle-Attacke ist klar, dass das uralte Protokoll SSL 3 nicht mehr sicher ist. Mit RFC 7568 gibt es jetzt ein offizielles Dokument, das den Einsatz des ursprünglich von Netscape entwickelten Verschlüsselungsprotokolls verbietet.

10 Kommentare

Die gemeinnützige Zertifizierungsstelle beginnt im September mit ihrer Arbeit. (Bild: Let's Encrypt) (Let's Encrypt)

Let's Encrypt: Gratis-Zertifikate ab September verfügbar

Ab Mitte September sollen alle Nutzer gratis Zertifikate von Let's Encrypt erhalten können. Bereits in einem Monat will das Team Zertifikate für ausgesuchte Webseite verteilen.

88 Kommentare

Die Wikimedia Foundation betreut viele Einzelprojekte, allen voran die Wikipedia. (Bild: Wikimedia: Derivative work by PiRSquared17, Rillke, e.a./CC-BY-SA 3.0) (Wikimedia: Derivative work by PiRSquared17, Rillke, e.a./CC-BY-SA 3.0)

Verschlüsselung: Wikipedia verschlüsselt künftig alle Verbindungen

Um den Zugriff vor Zensur zu schützen und abzusichern, will die Wikimedia künftig alle ihre Webseiten standardmäßig über verschlüsselte Verbindungen anbieten. Die grundlegenden Arbeiten an der HTTPS-Unterstützung sind bereits vor Jahren begonnen worden.

22 Kommentare

Kleinere Sicherheitslücken in der Verschlüsselungsbibliothek OpenSSL und ein größeres Problem beim Update (Bild: martinak15 / Wikimedia Commons / CC by 2.0) (martinak15 / Wikimedia Commons / CC by 2.0)

Sicherheitslücken: OpenSSL-Update verursacht ABI-Probleme

Update OpenSSL veröffentlicht Updates für kleinere Sicherheitslücken - dabei ist den Entwicklern ein Fehler unterlaufen: Durch eine veränderte Datenstruktur ändert sich die Binärschnittstelle der Bibliothek, was zu Fehlfunktionen führen kann.

20 Kommentare

Die gemeinnützige Zertifizierungsstelle hat ihre ersten eigenen Zertifikate erstellt. (Bild: Let's Encrypt) (Let's Encrypt)

Kostenlose TLS-Zertifikate: Let's Encrypt kann bald Arbeit aufnehmen

Die von Mozilla und EFF gegründete Zertifizierungsstelle Let's Encrypt hat ihre Wurzelzertifikate erstellt. Damit haben die Beteiligten einen wichtigen Schritt unternommen, um mit der Arbeit beginnen zu können. Zudem gibt es einen Plan, wie alle Browser die Zertifikate sofort akzeptieren.

20 Kommentare

SSH-Keys in Github - eigentlich eine sinnvolle Sache, aber die Keys sollten auch sicher sein. (Bild: Screenshot) (Screenshot)

SSH: Sechs Jahre alter Bug bedroht Github-Repositories

Ein Debian-Bug aus dem Jahr 2008 hinterlässt immer noch Spuren. Eine Analyse der öffentlichen SSH-Schlüssel bei Github zeigt: Mittels angreifbarer Schlüssel hätten Angreifer die Repositories von Projekten wie Python und Firmen wie Spotify oder Yandex manipulieren können.

9 Kommentare

Mit großen PC-Clustern lassen sich Angriffe auf Diffie-Hellman mit 512 Bit vorberechnen. (Bild: Megware Computer GmbH/CC BY-SA 3.0) (Megware Computer GmbH/CC BY-SA 3.0)

Logjam-Angriff: Schwäche im TLS-Verfahren gefährdet Zehntausende Webseiten

Verschlüsselte Verbindungen können durch eine Schwäche im TLS-Verfahren in vielen Fällen auf einen unsicheren Diffie-Hellman-Schlüsselaustausch mit 512 Bit reduziert werden. Forscher vermuten, dass eine Variante dieses Angriffs für das NSA-Programm Turmoil verantwortlich sein könnte.

17 Kommentare

Die Pläne bei Mozilla, HTTPS zum Standard zu machen, sind nun offiziell. (Bild: Mozilla/CC-BY-SA 3.0) (Mozilla/CC-BY-SA 3.0)

Verschlüsselung: Mozillas HTTP-Abschied wird konkreter

Der geplante volle Umstieg von HTTP auf das verschlüsselte HTTPS ist bei Mozilla nun offiziell. Die Umsetzung könnte Jahre dauern und soll zunächst nur für neue Funktionen gelten. Technisch solle dem aber nichts entgegenstehen, versichert Mozilla.

104 Kommentare

"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot) (Screenshot)

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

28 Kommentare

Kurse

Podcast Besser Wissen