Bei Fehlkonfigurationen und alten Geräten können Zertifikatsfehler mit Let's Encrypt auftreten.
Das Browserplugin HTTPS Everywhere wird nicht weiterentwickelt, stattdessen sollen Nutzer die browsereigenen HTTPS-Only-Modi verwenden.
Für sein Streaming-Angebot hat Netflix AMD-Hardware und das genutzte FreeBSD über Jahre extrem optimiert. Pläne für mehr gibt es bereits.
Die Version 92 von Firefox unterstützt eine neue Art zur Informationsübermittlung für HTTPS. Mozilla hat außerdem die Leistung verbessert.
Das OpenSSL-Team veröffentlicht Version 3.0.0. Neben einem Lizenzwechsel kommt es zum Wegfall vieler veralteter Funktionen.
Ein Test zur sicheren Kommunikation von Mailservern der Wahlleitungen von Bund und Ländern offenbart grundsätzliche Schwächen.
Produkte beider NAS-Hersteller sind von einer bereits geschlossenen OpenSSL-Lücke betroffen. Sie arbeiten an einem Fix.
OpenSSL 1.1.1l schließt zwei Sicherheitslücken, darunter einen mit einer hohen Risikobewertung eingeschätzten Buffer Overflow.
Das STARTTLS-Verfahren hat zahlreiche Sicherheitsrisiken. Überall, wo es möglich ist, hat die direkte Nutzung von TLS nur Vorteile.
Von Hanno Böck
Das Chrome-Team will den HTTPS-Only-Modus standardmäßig im Browser einführen und testet das Entfernen des HTTPS-Schlosses in der URL-Zeile.
Das Erzwingen von HTTPS ging vor Jahren nur über Erweiterungen. Auf die Arbeiten von Mozilla im Firefox folgt nun aber auch Google in Chrome.
Durch Interaktionen von verschiedenen mit TLS geschützten Protokollen - beispielsweise FTP und HTTPS - lässt sich die Sicherheit aushebeln.
Von Hanno Böck
2018 führte Google eine Pflicht für das System Certificate Transparency ein, jetzt sind alle zuvor ausgestellten TLS-Zertifikate abgelaufen.
Ein Fehler von OpenSSL bei der Zertifikatsvalidierung betrifft nur wenige Anwendungen, ein weiterer Bug lässt Server abstürzen.
Nach ersten öffentlichen Arbeiten im Quellcode von Chrome kommt nun auch die offizielle Bestätigung: Chrome 90 bevorzugt HTTPS.
Statt zuerst die HTTP-Variante einer Webseite zu öffnen, soll Chrome in Zukunft die verschlüsselte Variante bevorzugen.
Der Zertifikatswechsel bei Let's Encrypt hätte Problem mit Millionen Seiten auf alten Android-Geräten bewirkt. Das Team ändert seinen Plan.
Die großen Browser-Hersteller blockieren ein Zertifikat der kasachischen Regierung. Das ist bereits der dritte HTTPS-Überwachungsversuch.
Seiten von Salesforce haben Probleme mit Mixed Content, doch statt diese zu beheben, gibt die Firma gefährliche Ratschläge.
Von Hanno Böck
In einem dritten Anlauf versucht die kasachische Regierung erneut, ein Root-Zertifikat zur Überwachung von HTTPS-Verbindungen zu verteilen.
Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.
Das Firefox-Team hält HTTPS für ausreichend verbreitet, um es zu erzwingen. Der Browser wird außerdem schneller und läuft auf den ARM-Macs.
Der Zertifikatswechsel bei Let's Encrypt sorgt für Probleme bei einem Drittel aller Android-Geräte. Die Lösung dafür ist der Firefox.
Ein alter Sicherheitsaudit des besonderen elektronischen Anwaltspostfachs gibt Aufschluss über die Pannengeschichte des Projekts.
Von Hanno Böck
Was am 2. November 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.
Bisher war das Let's-Encrypt-Zwischenzertifikat von Identrust signiert. Das wird sich bald ändern.
Von Hanno Böck
Forscher zeigen eine bislang unbekannte Schwäche im TLS-Protokoll, die praktischen Risiken sind aber sehr gering.
Was am 24. August 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.
Was am 10. August 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.
Geheimdienste sollen laut einem Gesetzentwurf Datenverkehr umleiten können, doch das nützt ihnen nur etwas im Zusammenspiel mit weiteren Sicherheitslücken.
Eine Analyse von Hanno Böck
Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck
Die aktuelle Version des Firefox deaktiviert erneut TLS 1.0 und 1.1. Für MacOS-Nutzer ist der ESR-Version mit langer Pflege interessant.
Google und Mozilla folgen einer Ankündigung von Apple und wollen zukünftig keine mehrjährigen TLS-Zertifikate akzeptieren.
Eine gravierende Sicherheitslücke in GnuTLS führt dazu, dass TLS-1.2-Verbindungen nachträglich entschlüsselt werden können.
Viele ältere TLS-Clients kommen mit einem abgelaufenen Rootzertifikat namens Addtrust nicht klar.
Von Hanno Böck
Vorteile gibt es mit dem neuen TLS vor allem bei einer schlechten Verbindung.
Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.
Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.
Wegen der Coronakrise kommt das Ende für das veraltete TLS auch in Edge und im Internet Explorer später.
Nie wieder unverschlüsselt surfen: Eine neue Firefox-Option soll dies ermöglichen.
Als Grund gibt Mozilla staatliche Webseiten mit Coronavirus-Informationen an, die kein aktuelles TLS unterstützen. Ein weiterer Grund dürfte Google sein.
Manche Mitarbeiter können sich nicht anmelden, andere keine Nachrichten schicken. Die Probleme dauern an.
Der Firefox nutzt künftig standardmäßig nur noch TLS 1.2 und externe Anwendungen können keine Addons mehr in dem Browser installieren.
Chrome blockiert in der aktuellen Version unverschlüsselte Inhalte auf HTTPS-Webseiten.
Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.
Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.
Apples Browser Safari soll ab 1. September nur noch TLS-Zertifikate mit einer maximalen Gültigkeit von 13 Monaten akzeptieren. Betroffen sind Webseiten wie Github.com oder Microsoft.com, die derzeit auf Zwei-Jahres-Zertifikate setzen.
Der Dienst Let's Encrypt will die Sicherheit und Integrität der Web-PKI verbessern und hat nun eine Mehrperspektiv-Validierung für Domains eingeführt.
Gegen 15 Uhr am Montag fällt ein Teams-Client nach dem anderen aus. Microsoft hat vergessen, ein TLS-Zertifikat für den Server der Kollaborationssoftware zu erneuern. Ein folgenreicher Fehler.
Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.
Per Crowdfunding sucht der Hersteller Curiosity Chip Käufer für eine Raspberry-Pi-basierte, tragbare Spiel- und Experimentierkonsole. Der Hersteller hat dabei nicht einfach einen normalen Raspberry Pi in ein neues Gehäuse gesteckt.
(Raspberry Pi Handheld)
E-Mail an news@golem.de
.jpg)
.jpg)
TLS