Abo

Transport Layer Security

Artikel
  1. Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator

    Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator

    Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
    Von Hanno Böck

    14.05.20186 Kommentare
  2. Verschlüsselung: Apps müssen in Android P standardmäßig verschlüsseln

    Verschlüsselung: Apps müssen in Android P standardmäßig verschlüsseln

    Unverschlüsselte Verbindungen von Android-Apps werden ab Android P automatisch abgewiesen. Ausnahmen von dieser Regel müssen explizit in den Netzwerkeinstellungen zugelassen werden.

    13.04.20189 Kommentare
  3. IETF 101: TLS 1.3 ist jetzt wirklich fertig

    IETF 101: TLS 1.3 ist jetzt wirklich fertig

    Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen.

    21.03.20185 Kommentare
  4. HTTPS: Let's Encrypt rollt Wildcard-Zertifikate aus

    HTTPS: Let's Encrypt rollt Wildcard-Zertifikate aus

    Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let's Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls.

    14.03.201834 Kommentare
  5. ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte

    ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte

    Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer.

    09.03.201811 Kommentare
Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main
  2. über experteer GmbH, Rhein-Main-Gebiet
  3. Fasihi GmbH, Ludwigshafen
  4. SWARCO TRAFFIC SYSTEMS GmbH, Unterensingen


  1. Zertifikate: Trustico verwundbar für Root-Code-Injection

    Zertifikate: Trustico verwundbar für Root-Code-Injection

    Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

    01.03.201812 Kommentare
  2. Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

    Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

    Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

    01.03.201840 Kommentare
  3. Verschlüsselung: TLS 1.3 ist so gut wie fertig

    Verschlüsselung: TLS 1.3 ist so gut wie fertig

    Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte.

    16.02.201820 Kommentare
  4. Juli 2018: Chrome bestraft Webseiten ohne HTTPS

    Juli 2018: Chrome bestraft Webseiten ohne HTTPS

    Google will mehr Webseitenbetreiber unter Druck setzen, auf HTTPS-Verbindungen umzusteigen. Ab Sommer 2018 sollen Webseiten ohne Verschlüsselung generell als unsicher markiert werden.

    09.02.2018124 KommentareVideo
  5. Verschlüsselung: Github testet Abschaltung alter Krypto

    Verschlüsselung: Github testet Abschaltung alter Krypto

    Github-Nutzer sollten ihre Clients auf Kompatibilität prüfen: Ab dem 22. Februar werden alte TLS-Versionen und einige Diffie-Hellman-Gruppen deaktiviert. Am Donnerstagabend wurde die Abschaltung schon einmal getestet.

    09.02.20182 KommentareVideo
  1. TLS-Check: Qualys bestraft fehlendes Forward Secrecy

    TLS-Check: Qualys bestraft fehlendes Forward Secrecy

    Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.

    08.02.20183 Kommentare
  2. Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches

    Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches

    Ein Fehler in der ASA-Software von Cisco ermöglicht Angriffe aus der Ferne. Das Problem: Davon sind auch häufig eingesetzte Catalyst-Switches, Router und Firewall-Systeme betroffen. Erste Patches werden bereits verteilt.

    30.01.20182 KommentareVideo
  3. Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

    Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

    Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

    22.01.20185 Kommentare
  1. Bundesrechtsanwaltskammer: BeA bleibt vorerst offline

    Bundesrechtsanwaltskammer: BeA bleibt vorerst offline

    Nachdem Golem.de über Schwachstellen im besonderen elektronischen Anwaltspostfach berichtet hat, bleibt das System vorerst offline. In einer Mitteilung räumt die Bundesrechtsanwaltskammer Sicherheitslücken ein.
    Von Hanno Böck

    27.12.201710 Kommentare
  2. BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

    BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

    Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.
    Von Hanno Böck

    23.12.201779 Kommentare
  3. Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern

    Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern

    Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.
    Von Hanno Böck

    19.12.201791 KommentareVideo
  1. HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

    HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

    Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

    15.12.2017128 Kommentare
  2. BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet

    BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet

    Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein.

    15.12.201758 Kommentare
  3. ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch

    ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch

    Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.
    Von Hanno Böck

    12.12.201740 Kommentare
  1. HTTPS: Let's Encrypt bringt Wildcard-Zertifikate

    HTTPS: Let's Encrypt bringt Wildcard-Zertifikate

    Auch 2018 hat die Zertifizierungsstelle Let's Encrypt vor, weiter massiv zu wachsen. Dazu will das Projekt unter anderem die lang geforderten Wildcard-Zertifikate und weitere Neuerungen anbieten.

    12.12.201736 Kommentare
  2. Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden

    Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden

    Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.
    Von Hanno Böck

    08.12.201725 KommentareVideo
  3. Abgelaufen: LinkedIn vergisst TLS-Zertifikate

    Abgelaufen: LinkedIn vergisst TLS-Zertifikate

    Für fast drei Stunden waren heute die Zertifikate aller Subdomains des Berufsnetzwerks LinkedIn ausgelaufen. Peinlich, da die meisten Suchmaschinen darauf verweisen.

    30.11.20173 Kommentare
  1. Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

    Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

    Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.
    Von Hauke Gierow

    29.11.201716 KommentareVideo
  2. Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

    Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

    DJI reiht sich ein in die unrühmliche Liste von Unternehmen mit ungeschützten S3-Buckets und privaten Zertifikaten auf Github. Betroffen von dem Leak sind Führerscheindaten, Reisepässe und Logs von Flügen.

    20.11.20175 KommentareVideo
  3. Zertifikate: Startcom gibt auf

    Zertifikate: Startcom gibt auf

    Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit.

    17.11.201740 Kommentare
  4. Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

    Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

    TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht.

    08.11.201725 Kommentare
  5. Savitech: USB-Audiotreiber installiert Root-Zertifikat

    Savitech: USB-Audiotreiber installiert Root-Zertifikat

    Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.

    03.11.201713 Kommentare
  6. IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

    IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

    Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

    02.11.201797 Kommentare
  7. HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

    HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

    Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

    29.10.201754 Kommentare
  8. DNS über TLS: Google bringt sichere DNS-Abfragen in Developer-Android

    DNS über TLS: Google bringt sichere DNS-Abfragen in Developer-Android

    Committs im Android-Open-Source-Project zeigen, dass Google an einer Implementierung für DNS über TLS für Android arbeitet. Damit können Anfragen nicht nur vor neugierigen Blicken versteckt, sondern auch gegen Manipulation abgesichert werden. Wann das Feature kommen könnte, ist aber noch unklar.

    26.10.201728 Kommentare
  9. RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

    RSA-Sicherheitslücke : Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

    RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

    18.10.201728 Kommentare
  10. Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

    Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

    Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.
    Von Sebastian Grüner

    13.10.201762 Kommentare
  11. Mozilla: Firefox 56 macht Hintergrund-Tabs stumm

    Mozilla: Firefox 56 macht Hintergrund-Tabs stumm

    Die aktuelle Version 56 von Mozillas Browser Firefox stoppt Autoplay-Medien im Hintergrund, liefert eine Suche für die Einstellungen, beschleunigt die TLS-Verschlüsselung für bessere Download-Raten und verbannt Flash von Android.

    28.09.201722 Kommentare
  12. Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

    Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

    Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

    20.09.201711 Kommentare
  13. TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

    TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

    Mittels eines Standards namens Certificate Authority Authorization können Domaininhaber via DNS definieren, wer für sie TLS-Zertifikate ausstellen darf. Ab sofort müssen diese Records geprüft werden. Bei einem Test schlampte Comodo und stellte fälschlicherweise ein Zertifikat aus.
    Von Hanno Böck

    11.09.201722 Kommentare
  14. Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

    Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

    Der geplante Lizenzwechsel von OpenSSL kommt langsam voran. Das Projekt kündigt auch erste Konsequenzen für Code an, dessen Urheber dem Wechsel nicht zustimmen. Der Code wird entfernt und künftig reimplementiert.

    22.08.20179 Kommentare
  15. Übernahme: Digicert kauft Zertifikatssparte von Symantec

    Übernahme: Digicert kauft Zertifikatssparte von Symantec

    Digicert übernimmt das umstrittene Zertifikatsgeschäft von Symantec für fast eine Milliarde US-Dollar plus Aktientausch. Symantec wurde immer wieder für grobe Mängel in dem Bereich gerügt, unter anderem von Google.

    04.08.20170 Kommentare
  16. Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

    Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

    Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.
    Von Hanno Böck

    29.07.201746 Kommentare
  17. TLS-Zertifikate: Symantec fällt auf falschen Key herein

    TLS-Zertifikate: Symantec fällt auf falschen Key herein

    Wenn ein privater Schlüssel von einem Webseitenzertifikat offen im Netz landet, sollten Zertifizierungsstellen das entsprechende Zertifikat zurückziehen. Symantec tat dies nun auch bei einem privaten Schlüssel, der überhaupt nicht echt war.

    21.07.201725 Kommentare
  18. IETF: Wie TLS abgehört werden könnte

    IETF: Wie TLS abgehört werden könnte

    Der Vorschlag für eine TLS-Erweiterung macht TLS effektiv kaputt, sagen dessen Kritiker. Befürworter begründen die Idee mit Enterprise-Szenarien im Rechenzentrum. Streit ist vorprogrammiert und zeigt sich deutlich beim Treffen der TLS-Arbeitsgruppe.
    Ein Bericht von Sebastian Grüner

    20.07.201731 Kommentare
  19. Reaktion auf Google: Symantec will angeblich Zertifikatgeschäft verkaufen

    Reaktion auf Google: Symantec will angeblich Zertifikatgeschäft verkaufen

    Offenbar will Symantec seinen Geschäftsbereich rund um das Ausstellen von Zertifikaten loswerden. Im März hatte Google für den Chrome-Browser einen sehr harten Umgang mit Zertifikaten von Symantec angekündigt.

    13.07.201712 Kommentare
  20. HTTPS: Private Schlüssel auf dem Webserver

    HTTPS: Private Schlüssel auf dem Webserver

    Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.
    Von Hanno Böck

    12.07.201770 Kommentare
  21. Checker ATM Security: Sicherheitslücke ermöglicht Übernahme von Geldautomaten

    Checker ATM Security: Sicherheitslücke ermöglicht Übernahme von Geldautomaten

    Eine Sicherheitslücke in einer Sicherheitslösung für Geldautomaten konnte von Angreifern ausgenutzt werden, um illegal Geld auszuzahlen. Der Hersteller beschwichtigt und hat einen Patch bereitgestellt.

    04.05.201714 Kommentare
  22. Webserver: Nginx 1.13 erscheint mit TLS-1.3-Support

    Webserver: Nginx 1.13 erscheint mit TLS-1.3-Support

    Der freie Webserver Nginx ist in der Version 1.13 erschienen. Er bringt unter anderem Unterstützung für TLS 1.3 mit, das aktuelle Browser zwar unterstützen, OpenSSL allerdings noch nicht offiziell.

    26.04.20174 Kommentare
  23. TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

    TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

    Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

    21.04.201758 Kommentare
  24. Domain: Erneut Angriff über Punycode-Domains demonstriert

    Domain: Erneut Angriff über Punycode-Domains demonstriert

    Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.

    18.04.201735 Kommentare
  25. Hashfunktion: Der schwierige Abschied von SHA-1

    Hashfunktion: Der schwierige Abschied von SHA-1

    Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
    Von Hanno Böck

    30.03.201734 Kommentare
  26. Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

    Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

    Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

    28.03.201767 Kommentare
  27. Apache-Lizenz 2.0: OpenSSL plant Lizenzwechsel an der Community vorbei

    Apache-Lizenz 2.0: OpenSSL plant Lizenzwechsel an der Community vorbei

    Ohne große vorherige öffentliche Diskussion soll OpenSSL künftig die Apache-Lizenz 2.0 nutzen. Vor allem die OpenBSD-Community kritisiert die Lizenz und das konkrete Vorgehen, das die Community spaltet und den Eindruck erweckt, als sei alles schon beschlossen.

    24.03.201729 Kommentare
  28. Chrome: Google plant drastische Maßnahmen gegen Symantec

    Chrome: Google plant drastische Maßnahmen gegen Symantec

    Nach mehreren Vorfällen, bei denen Symantec offenbar die Kontrolle über seine Zertifikatsinfrastruktur verloren hatte, plant Google nun drastische Maßnahmen. Das könnte für Symantec existenzbedrohend werden.

    24.03.2017142 Kommentare
Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de



  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #