Transport Layer Security

Statt zuerst die HTTP-Variante einer Webseite zu öffnen, soll Chrome in Zukunft die verschlüsselte Variante bevorzugen.

Der Zertifikatswechsel bei Let's Encrypt hätte Problem mit Millionen Seiten auf alten Android-Geräten bewirkt. Das Team ändert seinen Plan.

Die großen Browser-Hersteller blockieren ein Zertifikat der kasachischen Regierung. Das ist bereits der dritte HTTPS-Überwachungsversuch.

Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.
Von Hanno Böck

In einem dritten Anlauf versucht die kasachische Regierung erneut, ein Root-Zertifikat zur Überwachung von HTTPS-Verbindungen zu verteilen.

Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.

Das Firefox-Team hält HTTPS für ausreichend verbreitet, um es zu erzwingen. Der Browser wird außerdem schneller und läuft auf den ARM-Macs.

Der Zertifikatswechsel bei Let's Encrypt sorgt für Probleme bei einem Drittel aller Android-Geräte. Die Lösung dafür ist der Firefox.

Ein alter Sicherheitsaudit des besonderen elektronischen Anwaltspostfachs gibt Aufschluss über die Pannengeschichte des Projekts.
Von Hanno Böck

Was am 2. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Bisher war das Let's-Encrypt-Zwischenzertifikat von Identrust signiert. Das wird sich bald ändern.
Von Hanno Böck

Forscher zeigen eine bislang unbekannte Schwäche im TLS-Protokoll, die praktischen Risiken sind aber sehr gering.

Was am 24. August 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Was am 10. August 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Geheimdienste sollen laut einem Gesetzentwurf Datenverkehr umleiten können, doch das nützt ihnen nur etwas im Zusammenspiel mit weiteren Sicherheitslücken.
Eine Analyse von Hanno Böck

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

Die aktuelle Version des Firefox deaktiviert erneut TLS 1.0 und 1.1. Für MacOS-Nutzer ist der ESR-Version mit langer Pflege interessant.

Google und Mozilla folgen einer Ankündigung von Apple und wollen zukünftig keine mehrjährigen TLS-Zertifikate akzeptieren.

Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass TLS-1.2-Verbindungen nachträglich entschlüsselt werden können.

Viele ältere TLS-Clients kommen mit einem abgelaufenen Rootzertifikat namens Addtrust nicht klar.
Von Hanno Böck

Vorteile gibt es mit dem neuen TLS vor allem bei einer schlechten Verbindung.

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.

Wegen der Coronakrise kommt das Ende für das veraltete TLS auch in Edge und im Internet Explorer später.

Nie wieder unverschlüsselt surfen: Eine neue Firefox-Option soll dies ermöglichen.

Als Grund gibt Mozilla staatliche Webseiten mit Coronavirus-Informationen an, die kein aktuelles TLS unterstützen. Ein weiterer Grund dürfte Google sein.

Manche Mitarbeiter können sich nicht anmelden, andere keine Nachrichten schicken. Die Probleme dauern an.

Der Firefox nutzt künftig standardmäßig nur noch TLS 1.2 und externe Anwendungen können keine Addons mehr in dem Browser installieren.

Chrome blockiert in der aktuellen Version unverschlüsselte Inhalte auf HTTPS-Webseiten.

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

Apples Browser Safari soll ab 1. September nur noch TLS-Zertifikate mit einer maximalen Gültigkeit von 13 Monaten akzeptieren. Betroffen sind Webseiten wie Github.com oder Microsoft.com, die derzeit auf Zwei-Jahres-Zertifikate setzen.

Der Dienst Let's Encrypt will die Sicherheit und Integrität der Web-PKI verbessern und hat nun eine Mehrperspektiv-Validierung für Domains eingeführt.

Gegen 15 Uhr am Montag fällt ein Teams-Client nach dem anderen aus. Microsoft hat vergessen, ein TLS-Zertifikat für den Server der Kollaborationssoftware zu erneuern. Ein folgenreicher Fehler.

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.

Ein Hashwert soll eindeutig sein, doch für SHA-1 gilt das nicht mehr. Forscher zeigten, dass sie verschiedene Dateien auffüllen können, um den gleichen SHA-1-Hash zu erzeugen und illustrierten dies anhand von GnuPG-Signaturen.

Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

Die großen Browser-Hersteller wollen im kommenden Frühjahr die alten TLS-Versionen 1.0 und 1.1 komplett deaktivieren. Die Firefox-Entwickler werden das in ihrer Nightly-Version testen.

Um das Internet als Einheit zu erhalten und damit Nutzer weiterhin das notwendige Vertrauen in die Technik haben können, formuliert das Internet Architecture Board nun klare Richtlinien, denen Gesetzgeber folgen sollten.

In den Browsern von Mozilla und Google wird das TLS-Zertifikat, mit dem die kasachische Regierung zeitweise den Datenverkehr von Bürgern überwacht hat, gesperrt.

Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird.

Kasachstan hat Nutzer angewiesen, ein Root-Zertifikat zur Überwachung ihrer verschlüsselten TLS-Verbindungen zu installieren. Jetzt dürfen diese das Zertifikat wieder löschen - zumindest vorläufig.

Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden.

In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

Nach einer langen Diskussion hat sich Mozilla entschieden, TLS-Zertifikaten der Firma Dark Matter nicht mehr zu trauen. Dark Matter war laut Medienberichten in Spionage der Vereinigten Arabischen Emirate verwickelt.

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

Mehrere Medien melden unter Berufung auf eine chinesische Sicherheitsfirma, dass Malware das DNS-over-HTTPS-Protokoll zur Verschleierung von Datenverkehr nutzt. Es ist eine Falschmeldung, aber selbst wenn sie stimmen würde, wäre es kein Argument gegen DoH.
Eine Analyse von Hanno Böck

Vor zwei Jahren formulierte das Bundesamt für Sicherheit in der Informationstechnik Anforderungen an sichere Browser. Nun soll das Dokument aktualisiert werden, um Kommentierung wird gebeten.

Fast alle modernen Geräte synchronisieren ihre Uhrzeit übers Internet. Das dafür genutzte Network Time Protocol ist nicht gegen Manipulationen geschützt - bisher. Mit der Erweiterung Network Time Security soll sich das ändern.