Abo
Anzeige

Transport Layer Security

Artikel
  1. Zertifikate: Startcom gibt auf

    Zertifikate: Startcom gibt auf

    Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit.

    17.11.201739 Kommentare

  1. Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

    Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

    TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht.

    08.11.201725 Kommentare

  2. Savitech: USB-Audiotreiber installiert Root-Zertifikat

    Savitech: USB-Audiotreiber installiert Root-Zertifikat

    Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.

    03.11.201713 Kommentare

Anzeige
  1. IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

    IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

    Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.

    02.11.201797 Kommentare

  2. HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

    HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

    Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.

    29.10.201754 Kommentare

  3. DNS über TLS: Google bringt sichere DNS-Abfragen in Developer-Android

    DNS über TLS: Google bringt sichere DNS-Abfragen in Developer-Android

    Committs im Android-Open-Source-Project zeigen, dass Google an einer Implementierung für DNS über TLS für Android arbeitet. Damit können Anfragen nicht nur vor neugierigen Blicken versteckt, sondern auch gegen Manipulation abgesichert werden. Wann das Feature kommen könnte, ist aber noch unklar.

    26.10.201728 Kommentare

  1. RSA-Sicherheitslücke: Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

    RSA-Sicherheitslücke  : Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

    RSA-Schlüssel von Hardware-Kryptomodulen der Firma Infineon lassen sich knacken. Das betrifft unter anderem Debian-Entwickler, Anbieter qualifizierter Signatursysteme, TPM-Chips in Laptops und estnische Personalausweise.

    18.10.201727 Kommentare

  2. Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

    Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

    Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.
    Von Sebastian Grüner

    13.10.201762 Kommentare

  3. Mozilla: Firefox 56 macht Hintergrund-Tabs stumm

    Mozilla: Firefox 56 macht Hintergrund-Tabs stumm

    Die aktuelle Version 56 von Mozillas Browser Firefox stoppt Autoplay-Medien im Hintergrund, liefert eine Suche für die Einstellungen, beschleunigt die TLS-Verschlüsselung für bessere Download-Raten und verbannt Flash von Android.

    28.09.201722 Kommentare

  1. Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

    Apache-Sicherheitslücke: Optionsbleed bereits 2014 entdeckt und übersehen

    Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

    20.09.201711 Kommentare

  2. TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

    TLS-Zertifikate: Zertifizierungsstellen müssen CAA-Records prüfen

    Mittels eines Standards namens Certificate Authority Authorization können Domaininhaber via DNS definieren, wer für sie TLS-Zertifikate ausstellen darf. Ab sofort müssen diese Records geprüft werden. Bei einem Test schlampte Comodo und stellte fälschlicherweise ein Zertifikat aus.
    Von Hanno Böck

    11.09.201722 Kommentare

  3. Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

    Apache-Lizenz 2.0: OpenSSL-Lizenzwechsel führt zu Code-Entfernungen

    Der geplante Lizenzwechsel von OpenSSL kommt langsam voran. Das Projekt kündigt auch erste Konsequenzen für Code an, dessen Urheber dem Wechsel nicht zustimmen. Der Code wird entfernt und künftig reimplementiert.

    22.08.20179 Kommentare

  1. Übernahme: Digicert kauft Zertifikatssparte von Symantec

    Übernahme: Digicert kauft Zertifikatssparte von Symantec

    Digicert übernimmt das umstrittene Zertifikatsgeschäft von Symantec für fast eine Milliarde US-Dollar plus Aktientausch. Symantec wurde immer wieder für grobe Mängel in dem Bereich gerügt, unter anderem von Google.

    04.08.20170 Kommentare

  2. Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

    Certificate Transparency: Webanwendungen hacken, bevor sie installiert sind

    Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.
    Von Hanno Böck

    29.07.201746 Kommentare

  3. TLS-Zertifikate: Symantec fällt auf falschen Key herein

    TLS-Zertifikate: Symantec fällt auf falschen Key herein

    Wenn ein privater Schlüssel von einem Webseitenzertifikat offen im Netz landet, sollten Zertifizierungsstellen das entsprechende Zertifikat zurückziehen. Symantec tat dies nun auch bei einem privaten Schlüssel, der überhaupt nicht echt war.

    21.07.201725 Kommentare

  1. IETF: Wie TLS abgehört werden könnte

    IETF: Wie TLS abgehört werden könnte

    Der Vorschlag für eine TLS-Erweiterung macht TLS effektiv kaputt, sagen dessen Kritiker. Befürworter begründen die Idee mit Enterprise-Szenarien im Rechenzentrum. Streit ist vorprogrammiert und zeigt sich deutlich beim Treffen der TLS-Arbeitsgruppe.
    Ein Bericht von Sebastian Grüner

    20.07.201731 Kommentare

  2. Reaktion auf Google: Symantec will angeblich Zertifikatgeschäft verkaufen

    Reaktion auf Google: Symantec will angeblich Zertifikatgeschäft verkaufen

    Offenbar will Symantec seinen Geschäftsbereich rund um das Ausstellen von Zertifikaten loswerden. Im März hatte Google für den Chrome-Browser einen sehr harten Umgang mit Zertifikaten von Symantec angekündigt.

    13.07.201712 Kommentare

  3. HTTPS: Private Schlüssel auf dem Webserver

    HTTPS: Private Schlüssel auf dem Webserver

    Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.
    Von Hanno Böck

    12.07.201770 Kommentare

  4. Checker ATM Security: Sicherheitslücke ermöglicht Übernahme von Geldautomaten

    Checker ATM Security: Sicherheitslücke ermöglicht Übernahme von Geldautomaten

    Eine Sicherheitslücke in einer Sicherheitslösung für Geldautomaten konnte von Angreifern ausgenutzt werden, um illegal Geld auszuzahlen. Der Hersteller beschwichtigt und hat einen Patch bereitgestellt.

    04.05.201714 Kommentare

  5. Webserver: Nginx 1.13 erscheint mit TLS-1.3-Support

    Webserver: Nginx 1.13 erscheint mit TLS-1.3-Support

    Der freie Webserver Nginx ist in der Version 1.13 erschienen. Er bringt unter anderem Unterstützung für TLS 1.3 mit, das aktuelle Browser zwar unterstützen, OpenSSL allerdings noch nicht offiziell.

    26.04.20174 Kommentare

  6. TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

    TLS-Interception: Sophos-Firewall wird von Chrome-Änderung überrascht

    Nutzer, die den Chrome-Browser hinter einer Firewall von Sophos nutzen, sehen zurzeit nur Zertifikatswarnungen. Die neue Chrome-Version ignoriert den sogenannten CommonName, der schon seit 17 Jahren als veraltet gilt.

    21.04.201758 Kommentare

  7. Domain: Erneut Angriff über Punycode-Domains demonstriert

    Domain: Erneut Angriff über Punycode-Domains demonstriert

    Domains, die dem Original zum Verwechseln ähnlich sehen, werden immer wieder für Phishing-Angriffe missbraucht. In einem Proof-of-Concept zeigt die Domain xn--80ak6aa92e.com, dass Apple seine Hausaufgaben nicht gemacht hat. Browserhersteller wollen reagieren.

    18.04.201735 Kommentare

  8. Hashfunktion: Der schwierige Abschied von SHA-1

    Hashfunktion: Der schwierige Abschied von SHA-1

    Die Hashfunktion SHA-1 ist seit kurzem endgültig gebrochen. Doch an vielen Stellen ist sie noch im Einsatz. Beispielsweise in Git, in Bittorrent und, was manche überraschen wird, auch in TLS.
    Von Hanno Böck

    30.03.201734 Kommentare

  9. Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

    Let's Encrypt: Immer mehr Phishing-Seiten beantragen Zertifikate

    Seit Januar 2016 hat die Zertifizierungsstelle Let's Encrypt über 15.000 Zertifikate mit dem Stichwort Paypal ausgestellt. Ein Großteil der beantragenden Domains weisen eindeutig auf Phishing-Seiten hin.

    28.03.201767 Kommentare

  10. Apache-Lizenz 2.0: OpenSSL plant Lizenzwechsel an der Community vorbei

    Apache-Lizenz 2.0: OpenSSL plant Lizenzwechsel an der Community vorbei

    Ohne große vorherige öffentliche Diskussion soll OpenSSL künftig die Apache-Lizenz 2.0 nutzen. Vor allem die OpenBSD-Community kritisiert die Lizenz und das konkrete Vorgehen, das die Community spaltet und den Eindruck erweckt, als sei alles schon beschlossen.

    24.03.201729 Kommentare

  11. Chrome: Google plant drastische Maßnahmen gegen Symantec

    Chrome: Google plant drastische Maßnahmen gegen Symantec

    Nach mehreren Vorfällen, bei denen Symantec offenbar die Kontrolle über seine Zertifikatsinfrastruktur verloren hatte, plant Google nun drastische Maßnahmen. Das könnte für Symantec existenzbedrohend werden.

    24.03.2017142 Kommentare

  12. HTTPS: US-Cert warnt vor Man-In-The-Middle-Boxen

    HTTPS: US-Cert warnt vor Man-In-The-Middle-Boxen

    Wer HTTPS-Verbindungen aufmacht, schadet der Sicherheit der Nutzer. Dieser Ansicht ist Forschern zufolge jetzt auch das US-Cert und fordert Unternehmen auf, verwendete Geräte zu testen.

    22.03.201720 Kommentare

  13. HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

    HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

    Die Entwickler des Firefox-Browsers haben einen Fehlerbericht erhalten, in dem sich ein Webseitenbetreiber über die Login-Warnung beschwert, die bei fehlendem HTTPS auftritt. Externe Entwickler nehmen das als Anlass für Häme und für Angriffe auf die Seite, um Nutzer zu schützen.

    21.03.2017215 Kommentare

  14. Mozilla: Firefox 52 macht (fast) Schluss mit NPAPI-Plugins

    Mozilla: Firefox 52 macht (fast) Schluss mit NPAPI-Plugins

    Die aktuelle Firefox-Version 52 entfernt alle NPAPI-Plugins, außer den Flashplayer. Das betrifft Java, Silverlight und Google Hangouts. Der Browser unterstützt nun auch Webassembly und warnt aggressiver vor unsicheren Login-Feldern.

    07.03.201754 Kommentare

  15. Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

    Chrome: Bluecoat bremst Einführung von besserem TLS-Protokoll

    Die Entwickler von Chrome wollten eine Vorabversion von TLS 1.3 ausliefern - und mussten sie kurz danach wieder deaktivieren. Schuld daran sind fehlerhafte Bluecoat-Geräte.

    28.02.20175 Kommentare

  16. Ticketbleed: F5-Firewall hat ein blutendes Herz

    Ticketbleed: F5-Firewall hat ein blutendes Herz

    Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.

    10.02.20173 Kommentare

  17. HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

    HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

    Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
    Von Hanno Böck

    09.02.201722 Kommentare

  18. Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

    Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

    Die Standard-C-Bibliothek des GNU-Projekts hat endlich Wrapper für die Linux-Systemaufrufe Getrandom und Getentropy - mehr als zwei Jahre nach deren Einführung. Neu sind außerdem Funktionen für Strings, Mathe-Operationen und ein starker Schutz vor Stack-Überläufen.

    08.02.20177 Kommentare

  19. TLS-Zertifikate: Google wird selbst zur Root-CA

    TLS-Zertifikate: Google wird selbst zur Root-CA

    Zur Absicherung der eigenen Dienste will Google künftig eine eigene Root-Ca werden. Um den Prozess dahin abzukürzen, hat das Unternehmen zwei Zertifizierungsstellen gekauft.

    27.01.201739 Kommentare

  20. Mozilla: Firefox 51 warnt vor unsicheren Webinhalten

    Mozilla: Firefox 51 warnt vor unsicheren Webinhalten

    Die aktuelle Version 51 des Firefox-Browsers warnt vor unverschlüsselt übertragenen Logins und vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom. Der Browser nutzt außerdem WebGL 2 und ermöglicht eine bessere Videowiedergabe ohne GPU.

    24.01.20179 Kommentare

  21. HTTPS: Weiterhin rund 200.000 Systeme für Heartbleed anfällig

    HTTPS: Weiterhin rund 200.000 Systeme für Heartbleed anfällig

    Heartbleed ist nicht totzukriegen. Noch immer sind rund 200.000 Systeme anfällig. Das dürfte auch noch länger so bleiben.

    23.01.20171 Kommentar

  22. TLS-Zertifikate: Symantec verpeilt es schon wieder

    TLS-Zertifikate  : Symantec verpeilt es schon wieder

    Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.

    20.01.201724 Kommentare

  23. Anonymität: Protonmail ist als Hidden-Service verfügbar

    Anonymität: Protonmail ist als Hidden-Service verfügbar

    Wegen Trump, der Supervorratsdatenspeicherung in Großbritannien und der schlechten Lage der Privatsphäre allgemein bietet Protonmail künftig einen eigenen .Onion-Dienst an. Noch ist dieser aber im Beta-Stadium.

    20.01.201711 Kommentare

  24. Softwarefehler: Go Daddy widerruft Zertifikate von 6.100 Kunden

    Softwarefehler: Go Daddy widerruft Zertifikate von 6.100 Kunden

    Wieder mal sorgt ein Softwarefehler bei einer Zertifizierungsstelle für Ärger. Bei Go Daddy müssen die TLS-Zertifikate von mehr als 6.000 Kunden ausgetauscht werden, weil die Software auch falsche Zertifikate ausgestellt hat.

    13.01.20172 Kommentare

  25. Verschlüsselung: Let's Encrypt verwaltet 20 Millionen aktive Zertifikate

    Verschlüsselung: Let's Encrypt verwaltet 20 Millionen aktive Zertifikate

    Die Initiative Let's Encrypt schaut auf das Jahr 2016 zurück und ist mit dem ersten vollen Jahr im Produktivbetrieb zufrieden, auch wenn es einige Probleme gab.

    09.01.201728 Kommentare

  26. Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung

    Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung

    Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

    04.01.201719 Kommentare

  27. Apple ATS: Fristverlängerung zur Einführung sicherer App-Kommunikation

    Apple ATS: Fristverlängerung zur Einführung sicherer App-Kommunikation

    Mit iOS 9 und OS X 10.11 hat Apple bereits ein festgelegten Weg für die sichere Kommunikation eingeführt. Dieser sollte eigentlich zum Jahreswechsel Pflicht werden. Apple verschiebt die Frist aber, da die Entwickler App Transport Security kaum umsetzen, trotz vieler Ausnahmen im System.

    24.12.20167 Kommentare

  28. TLS 1.3: Die Zukunft der Netzverschlüsselung

    TLS 1.3: Die Zukunft der Netzverschlüsselung

    Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
    Eine Analyse von Hanno Böck

    13.12.201610 Kommentare

  29. Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß

    Astrohaus Freewrite im Test: Schreibmaschine mit Cloud-Anschluss und GPL-Verstoß

    Ernsthaftes Arbeitswerkzeug für Autoren oder ultimatives Hipster-Gadget? Wir haben uns eine Schreibmaschine mit E-Ink-Display und Cloud-Anschluss angeschaut und fragen uns, wer das Produkt kaufen will.
    Ein Test von Hauke Gierow

    24.11.2016104 KommentareVideoAudio

  30. Internet-Protokoll: Quic soll der neue Kick für sicheres Surfen werden

    Internet-Protokoll: Quic soll der neue Kick für sicheres Surfen werden

    Googles Netzwerk-Spezialisten haben Quic 2012 als schnelle Alternative zu verschlüsselten TCP-Verbindungen erdacht. Die Internet Engineering Task Force will das neue Protokoll zum Internet-Standard führen. Wir erklären die Grundideen von Quic.
    Von Manfred Kloiber

    07.11.201644 Kommentare

  31. Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich

    Certificate Transparency: Betrug mit TLS-Zertifikaten wird fast unmöglich

    Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

    25.10.201643 Kommentare

  32. Wosign und Startcom: Mozilla veröffentlicht Details des TLS-Rauswurfs

    Wosign und Startcom: Mozilla veröffentlicht Details des TLS-Rauswurfs

    Mozillas Firefox-Browser wird keine TLS-Zertifikate der beiden skandalträchtigen Certificate Authorities mehr akzeptieren. Wie dies genau umgesetzt wird, hat die Stiftung nun erläutert.

    25.10.201611 Kommentare

  33. Zertifikate: Schwerer Fehler bei Globalsign führt zu HTTPS-Problemen

    Zertifikate: Schwerer Fehler bei Globalsign führt zu HTTPS-Problemen

    Ein Fehler bei Wartungsarbeiten bei der CA Globalsign führt zu SSL/TLS-Problemen bei Kunden weltweit. Auch wenn das Unternehmen den Fehler behoben hat, können Kunden weiterhin Probleme haben. Wir zeigen, was zu tun ist.

    17.10.20168 Kommentare

  34. Großbritannien: Wenn HTTPS zu Terrorismus wird

    Großbritannien: Wenn HTTPS zu Terrorismus wird

    Großbritannien bewirbt sich um die absurdeste Auslegung von Anti-Terror-Gesetzen. Einem angeblichen Terroristen wird vorgeworfen, dass er sein Blog mit HTTPS verschlüsselt hat. Hoffentlich haben die Richter nicht verstanden, was sie getan haben.
    Ein IMHO von Hauke Gierow

    10.10.201666 Kommentare

  35. Cloud-Dienste: Türkei zensiert Github, Onedrive und Dropbox

    Cloud-Dienste: Türkei zensiert Github, Onedrive und Dropbox

    Open Source-Projekte müssen in der Türkei derzeit einen VPN nutzen, wenn sie auf Github setzen. Genau wie andere Dienste ist die Programmierplattform dort derzeit geblockt.

    10.10.201651 Kommentare


  1. Seite: 
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. 8
  10. 9
Anzeige

Verwandte Themen
Privdog, OpenSSL, BERserk, SSL, Daniel Bleichenbacher, HTTPS, Let's Encrypt, Diffie-Hellman, Comodo, Diginotar, Superfish, Chacha20, RWC2015, Heartbleed

RSS Feed
RSS FeedTLS

Folgen Sie uns
       


Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige