SSL

Entwickler von Google schlagen einen einfachen Mechanismus vor, um Browserzertifikate vor Diebstahl zu schützen: Der Browser soll bei jeder SSL-Verbindung nachsehen, ob das Zertifikat noch gilt.

Wikileaks will wieder Dokumente annehmen. Eine neu gestaltete Plattform soll die Sicherheit und Anonymität der Nutzer, die Dokumente einreichen, besser gewährleisten. In Australien ist Wikileaks mit einem renommierten Journalistenpreis ausgezeichnet worden.

Diginotar hat einen Insolvenzantrag gestellt. Dem niederländischen Sicherheitsunternehmen war es zuvor untersagt worden, neue elektronische Signaturen auszustellen.

Die beiden Sicherheitsforscher Juliano Rizzo und Thai Duong wollen Ende der Woche auf der Ekoparty Security Conference einen Angriff auf SSL/TLS vorstellen, mit dem sich die verschlüsselte Kommunikation mit Webseiten abhören lässt.

Das niederländische Unternehmen Diginotar darf künftig auch keine elektronischen Signaturen mehr ausstellen. Bisher ausgestellte Signaturen werden ungültig.

Die Vasco-Tochter Diginotar hat das Vertrauen einer weiteren Firma verloren. Nun patcht auch Apple die Root-Zertifikate aus seinen Betriebssystemen, allerdings nur bei Lion und Snow Leopard.

Google hat iranischen Nutzer nahegelegt, die Einstellungen ihrer Gmail-Konten zu überprüfen und danach ihre Passwörter zu ändern. Auch andere Google-Apps, etwa Docs, könnten durch die gefälschten Zertifikate von Diginotar betroffen sein.

Die Auswirkungen der gehackten Diginotar-Zertifikate sind vor allem in den Niederlanden zu spüren: Dort raten Innenminister und Gerichte, zu Papier und Stift, Fax und Post zu greifen.

Rund 250 Zertifikate sperren die Entwickler von Google Browser Chrome in Reaktion auf das gefälschte SSL-Zertifikat von Diginotar. Das Ausmaß des Sicherheitsproblems könnte also deutlich größer sein als bisher angenommen.

Update Der jüngste SSL-Vorfall hat weitreichende Konsequenzen. Mit einem gefälschten Google-Zertifikat sind Man-in-the-Middle-Angriffe auf Google-Nutzer möglich. Microsoft und Mozilla reagieren mit drastischen Schritten und entziehen der Ausgabestelle des gefälschten Zertifikats ihr Vertrauen.

Nach einem Hackerangriff hat der Zertifizierungsdienstleister StartSSL seine Dienste vorübergehend eingestellt und stellt keine SSL-Zertifikate mehr aus. Besitzer eines bereits ausgestellten Zertifikats sollen nicht betroffen sein.

Beim brasilianischen Comodo-Partner Comodo BR ist eingebrochen worden. SSL-Zertifikate sollen aber nicht gefährdet sein. Comodo teilte mit, die Angreifer hätten keinen Zugriff auf die Datenbanken gehabt.

KDE-Entwickler Richard Moore stellt ein Konzept vor, bei dem die SSL-Zertifikate von Webseiten auf Veränderung seit dem letzten Besuch hin überprüft werden.

Mit "SSL False Start" will Google mit SSL verschlüsselte Verbindungen schneller machen. Bereits vor einem Jahr schlugen einige Google-Mitarbeiter die Technik vor, mittlerweile hat Google sie in Chrome integriert und die für den SSL-Handshake nötige Zeit um 30 Prozent reduziert.

Microsoft hat ein Sicherheitsupdate für Smartphones mit Windows Phone 7 veröffentlicht. Das Update klassifiziert die neun bei Comodo entwendeten SSL-Zertifikate nicht länger als vertrauenswürdig.

Die EFF wirft einigen Certification Authorities (CAs) vor, SSL-Zertifikate ohne ausreichende Prüfung auszugeben. Sie verweist dabei auf Zertifikate für unqualifizierte Domainnamen wie "mail" für den einfachen Zugriff auf den Mailserver im lokalen Netzwerk, von denen es zahlreiche gibt.

Die Affäre um gestohlene SSL-Zertifikate von Comodo weitet sich aus. Nach der ersten Attacke gab es Einbrüche bei mindestens einem weiteren Wiederverkäufer der Zertifikate, auch in Europa.

Die bei Comodo entwendeten SSL-Zertifikate werden nun nicht nur von Browsern, sondern auch von Windows direkt gesperrt. Dazu hat Microsoft Updates für alle Versionen des Betriebssystems von XP bis Server 2008 veröffentlicht.

Während immerhin schon 5,6 Millionen Firefox-4-Versionen heruntergeladen wurden, vergisst das Mozilla-Team nicht die Nutzer der alten Versionen 3.5 und 3.6. Es gibt ein paar Sicherheitsupdates und Fehlerkorrekturen.

Wer in einem öffentlichen Netzwerk oder Internetcafé Facebook nutzt, der setzt sich meist einem hohen Risiko aus. Die Daten werden bisher nicht verschlüsselt übertragen, so dass die Daten anderen Netzwerkteilnehmern nicht immer verborgen bleiben.

Facebook-Nutzer, die versuchen, sich unter facebook.de bei Facebook anzumelden, erhalten eine Warnung. Das verwendete SSL-Zertifikat passt nicht.

Mit der Veröffentlichung der Versionen 0.9.8q und 1.0.0c haben die Entwickler zwei Schwachstellen von OpenSSL beseitigt. Eine Schwachstelle betrifft die Ciphersuite in der TLS-/SSL-Schicht und ist in allen Versionen in der freien Implementierung des TLS-/SSL-Protokolls vorhanden.

Google hat eine weitere Technik vorgestellt, um das Web schneller zu machen. False Start soll den Aufbau verschlüsselter Verbindungen verkürzen, ohne dass es dazu Änderungen auf Serverseite bedarf. Das gilt aber nicht für alle Websites, einige sollen auf eine schwarze Liste gesetzt werden.

Verschlüsselungstoolkit bringt neue Funktionen. Nach über zehn Jahren Entwicklung hat das OpenSSL-Projekt die Verschlüsselungssoftware in der Version 1.0.0 veröffentlicht. OpenSSL ist eine freie Implementierung der Protokolle SSL und TLS. Die Version 1.0.0 enthält neue Funktionen und Fehlerbereinigungen.

Reparaturen betreffen SSL-/TLS-Protokoll, etliche Module mit Patches. Die aktualisierte Version 2.2.15 des Apache Webservers bringt Reparaturen mit. Vor allem haben sich die Entwickler des seit Herbst 2009 bekannten Fehlers im SSL-/TLS-Protokoll angenommen. Zusätzlich wurden zahlreiche Module repariert.

Neue TLS-Extension speichert Information zu bestehenden Verbindungen. Damit die Neuverhandlung von TLS- und SSL-Verbindungen künftig sicher vonstatten geht, werden Daten, die zur Neuverhandlung einer Verbindung benötigt werden, Zertifikate etwa, in einer neuen TLS-Erweiterung gespeichert. Die Sicherheitsschwachstelle war Ende letzten Jahres bekanntgeworden.

Man-in-the-Middle-Attacke unter realen Umständen erfolgreich. Eine kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll ist unter realen Umständen erfolgreich ausgenutzt worden. Die Man-in-the-Middle-Attacke erfolgte über das HTTPS-Protokoll.

Version 0.9.8l deaktiviert defektes TLS/SSL-Protokoll. Mit einer neuen Version 0.9.8l der Toolsammlung Openssl rund um das Sicherheitsprotokoll TLS/SSL haben Entwickler eine kritische Sicherheitslücke geschlossen. Sie war im SSL-Protokoll entdeckt worden und betrifft nicht nur Openssl, sondern alle auf dem SSL-Protokoll aufsetzende Software.

Fehler bei der Neuaushandlung von TLS-Parametern. In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

Entwickler bitten um Tests. Nach über zehn Jahren Entwicklung liegt die Verschlüsselungssoftware OpenSSL jetzt als Version 1.0.0 Beta 1 vor. Die Entwickler bitten um ausführliche Tests ihrer Software.

Praktischer Angriff demonstriert die Unsicherheit von MD5. MD5 ist grundsätzlich seit 2004 verwundbar, seit 2007 existiert ein theoretischer Angriff. Auf dem 25C3 zeigen unter anderem Alexander Sotirov und Jacob Appelbaum, wie sich MD5 auch praktisch angreifen lässt. Zur Demonstration fälschten sie ein SSL-Zertifikat.

Open-Source-Software soll auch DNS-Exploits vorbeugen. Forscher der Carnegie Mellon Universität haben eine Erweiterung für den Firefox-Browser entwickelt, die den Anwender vor sogenannten Man-in-the-Middle-Attacken schützt. "Perspectives" überprüft dazu, ob der Schlüssel der Gegenseite korrekt ist. So wissen Nutzer auch, ob sie einer Verbindung vertrauen können, wenn der Server ein selbst signiertes Zertifikat verwendet.

Update schließt Sicherheitslücke. Das Sicherheits-Team der Linux-Distribution Debian hat einen Fehler im OpenSSL-Zufallsgenerator gefunden, durch den Schlüssel herausgefunden werden könnten. Die Sicherheitslücke betrifft nur das OpenSSL-Paket in Debian GNU/Linux. Das betroffene Paket wurde bereits aktualisiert.

VPN und Firewall samt Gigabit-Anbindung. Als neues Mitglied seiner "ProSafe"-Serie - zu erkennen an den blauen Metallgehäusen - hat Netgear jetzt den Gigabit-Ethernet-fähigen Firewall-Router "FVS336G" auf den Markt gebracht. Das Gerät lässt sich aus der Ferne verwalten und ist zudem mit zwei WAN-Ports ausgestattet, die für Load-Balancing oder das automatische Einspringen einer zweiten Verbindung genutzt werden können, wenn die primäre gestört ist.

OSSI startet OpenCrypto-Management-Programm. Das Open Source Software Institute (OSSI) startet zusammen mit dem US-Verteidigungsministerium ein OpenCrypto genanntes Programm. Es folgt den Arbeiten des Instituts, die OpenSSL eine FIPS-Zertifizierung eingebracht haben, womit die freie SSL-Implementierung in amerikanischen und kanadischen Regierungseinrichtungen zum Einsatz kommen darf. Künftig soll dies auf weitere Software ausgeweitet werden.

Zertifizierte Version steht zum Download bereit. Die Kryptografie-Software OpenSSL ist erneut nach dem Federal Information Processing Standard (FIPS) 140-2 zertifiziert. Dies erlaubt amerikanischen und kanadischen Regierungseinrichtungen den Einsatz der Open-Source-Software. OpenSSL war zuvor schon einmal FIPS-zertifiziert, auf Grund beanstandeter Teile im Quelltext wurde die Zertifizierung jedoch zeitweilig zurückgezogen.

Projekt hat bereits Updates veröffentlicht. Signaturen der freien SSL- und TLS-Implementierung OpenSSL lassen sich fälschen. Davon betroffen sind alle Systeme, auf denen die OpenSSL-Bibliotheken vorhanden sind. Updates, die den Fehler beseitigen, sind bereits verfügbar.

Entzug des Zertifikates war ein Fehler. Die Zertifizierung der freien Kryptografie-Software OpenSSL nach dem Federal Information Processing Standard (FIPS) 140-2 wurde offensichtlich nur zeitweilig zurückgenommen. Da das Cryptographic Module Validation Program (CMVP) eine neue Version überprüft, soll das Zertifikat von der Seite entfernt worden sein. Ein neues Zertifikat ist derzeit trotzdem noch nicht verfügbar.

Gründe sind nicht bekannt. Die freie Kryptografie-Software OpenSSL hat offensichtlich die Zertifizierung nach dem Federal Information Processing Standard (FIPS) 140-2 wieder verloren. Mittlerweile wird das Zertifikat als "nicht verfügbar" gekennzeichnet, zuvor soll der Status "widerrufen" gewesen sein.

Kaufpreis unbekannt. Microsoft hat das US-amerikanische Unternehmen Whale Communications übernommen, das sich mit sicherer Zugangssoftware beschäftigt, darunter SSL-gesicherte "Virtual Private Networks" (VPN) und Webanwendungs-Firewalls.

Microsoft IIS war jahrelang unangefochtener Marktführer. Apache ist nun auch in Sachen SSL-Webserver Marktführer. Laut Netcraft hat Apache hier Microsofts IIS mit einem Marktanteil von 44 Prozent überholt, Microsoft kommt demnach auf 43,8 Prozent.

Einsatz in amerikanischen und kanadischen Regierungseinrichtungen möglich. Die Zertifizierung der Kryptografie-Software OpenSSL nach dem Federal Information Processing Standard (FIPS) 140-2 ist abgeschlossen. Die im Rahmen des Cryptographic Module Validation Program (CMVP) erfolgte Zertifizierung erlaubt amerikanischen und kanadischen Regierungseinrichtungen nun den Einsatz der Open-Source-Software.

Falsche Bank-Website mit SSL-Zertifikat. Das Internet Storm Center (ISC) weist auf einen Phishing-Angriff neuer Qualität hin. Die Angreifer zielen auf Kunden der Bank "Mountain America" ab und warten auf ihrer eigenen Website mit einem gültigen SSL-Zertifikat auf, das auf den Namen der Bank und ihren Firmensitz ausgestellt war.