TLS

Die Taschenratte (engl. Gopher) ist das Maskottchen von Go. (Bild: siamesepuppy/Flickr.com) (siamesepuppy/Flickr.com)

Programmiersprache: Go 1.12 unterstützt TLS 1.3

Mit der Version Release 1.12 der von Google initiierten Programmiersprache Go haben die Entwickler erstmals die Unterstützung für TLS 1.3 implementiert. Das Team hat außerdem die Werkzeuge der Sprache verbessert und die Ports erweitert.

17 Kommentare

Das Orakel von Delphi verriet denen, die es befragten, angeblich etwas über die Zukunft. Ein Padding Oracle hingegen verrät einem Angreifer etwas über verschlüsselte Daten. (Bild: Mr.checker/Wikimedia Commons) (Mr.checker/Wikimedia Commons)

TLS: Immer wieder Padding Oracles

In manchen OpenSSL-Konfigurationen und in Citrix-Loadbalancern wurde eine Padding-Oracle-Lücke gefunden, mit der man TLS-Datenverkehr entschlüsseln kann. Ein Forscherteam hat weitere Lücken entdeckt, weiß aber bei vielen nicht, welche Produkte dafür verantwortlich sind.

Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Mit Power Apps und Power Automate zu Power-Produktivität

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: ISO 42001 Foundation KI-Beauftragter mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Microsoft Power Platform: Power Apps Grundkurs - mühelos professionelle Apps erstellen (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Fachinformatiker (m/w/d) als Softwaretester Thüringer Staatslotterie AöR, Suhl (öffnet im neuen Fenster)

Stabsstelle IT-Sicherheit (m/w/d) ITK Rheinland, Neuss (öffnet im neuen Fenster)

(Junior) IT Professional Filialhardware - Tresorschloss und E-Gate (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)

Mitarbeiter:in Re-Use und Zero-Waste-Management (w/m/d) Berliner Stadtreinigungsbetriebe AöR (BSR), Berlin (öffnet im neuen Fenster)

Senior Backend Entwickler (m/w/d) - Schwerpunkt PHP/Symfony Mamisch Digital GmbH, Wesel (öffnet im neuen Fenster)

Technischer Projektleiter*in Produktionsdigitalisierung (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Systembetreuerin (m/w/d) Objektsicherung Helmholtz-Zentrum Hereon, Geesthacht (öffnet im neuen Fenster)

Produktmanager Banking IT (m/w/d) Finanz Informatik GmbH & Co. KG, Münster,Frankfurt am Main,Hannover (öffnet im neuen Fenster)

Kann man dieser Firma trauen? Dark Matter spioniert Menschenrechtsaktivisten hinterher - und stellt Zertifikate für Webseiten aus. (Bild: Hanno Böck) (Hanno Böck)

Dark Matter: TLS-Zertifikate von der Spionagefirma aus den Emiraten

Die Firma Dark Matter aus den Vereinigten Arabischen Emiraten betreibt eine TLS-Zertifizierungsstelle. Laut einem Reuters-Bericht ist Dark Matter daran beteiligt, im staatlichen Auftrag Menschenrechtsaktivisten mit Hilfe von Sicherheitslücken anzugreifen.

4 Kommentare

Der russische Geheimdienst FSB: Kennt man hier eine Hintertür für Verschlüsselungsalgorithmen? (Bild: Nikolaj Vasil'evich Belavin/Wikimedia Commons) (Nikolaj Vasil'evich Belavin/Wikimedia Commons)

Kuznyechik/Streebog: Russische Verschlüsselungsalgorithmen infrage gestellt

Ein Kryptograph weist darauf hin, dass die sogenannten S-Boxen in russischen Verschlüsselungsstandards eine seltsame Struktur aufweisen und dass nirgendwo erklärt ist, wie es dazu kam. Handelt es sich um eine Hintertür?

29 Kommentare

Alpine Linux setzt künftig wieder auf OpenSSL. (Bild: Christopher Michel, flickr.com) (Christopher Michel, flickr.com)

Linux: Container-Distro Alpine wechselt von Libre- zu OpenSSL

Nach etwas mehr als zwei Jahren Einsatz kehrt Alpine Linux von LibreSSL zurück zu OpenSSL, um die Pflege zu vereinfachen. Hinzu kommen ein neuer Kernel und die Unterstützung für ARMv7.

Kommentare

Um die Sicherheit von OpenSSL scheint es gut bestellt. (Bild: Suzy Hazelwood) (Suzy Hazelwood)

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG).

6 Kommentare

Debians Apt nutzt kein HTTPS - es könnte einen zusätzlichen Schutz bei Sicherheitslücken bieten. (Bild: whydoesaptnotusehttps.com/Screenshot: Golem.de) (whydoesaptnotusehttps.com/Screenshot: Golem.de)

Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde.

43 Kommentare

Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate. (Bild: Certbot) (Certbot)

HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.

31 Kommentare

Seminar: Microsoft 365 Copilot Administration: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: Einführung in das Zero Trust Security Framework: virtueller Ein-Tages-Workshop

zum Kurs

Seminar: First Response auf Security Incidents: Ein-Tages-Workshop

zum Kurs

Seminar: Clevere AI Workflows & Agenten entwickeln: virtueller Ein-Tages-Workshop

zum Kurs

Wie geht man mit Sicherheitslücken um, die zwar akut wenig Probleme verursachen, die sich aber kaum mit vertretbarem Aufwand schließen lassen? (Bild: NeuPaddy/Pixabay) (NeuPaddy/Pixabay)

Schwer ausnutzbar: Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.

19 Kommentare / Von Hanno Böck

Mkcert vereinfacht den Weg zur lokalen Web-Entwicklung mit HTTPS deutlich. (Bild: GLady/Pixabay) (GLady/Pixabay)

TLS-Zertifikate: Mkcert vereinfacht Web-Entwicklung mit lokalem HTTPS

Die Web-Entwicklung mit lokalem HTTPS ist nicht immer einfach und auch nicht ohne weiteres möglich. Um den eigenen Code dennoch leicht lokal mit einer HTTPS-Verbindung zu testen, hat ein Google-Sicherheitsforscher das Werkzeug Mkcert vorgestellt.

18 Kommentare

Ubuntu 18.04, alias Bionic Beaver, bekommt ein OpenSSL-Upgrade. (Bild: NPS / Neal Herbert) (NPS / Neal Herbert)

Bionic Beaver: Ubuntu 18.04 bekommt OpenSSL 1.1.1 und TLS 1.3 als Update

Die aktuelle Ubuntu-Version 18.04 mit Langzeitsupport bekommt demnächst die aktuelle OpenSSL-Version 1.1.1 und damit Langzeitsupport der Hauptentwickler für die wichtige Krypto-Bibliothek. Damit kann auch TLS 1.3 genutzt werden. Pakete wie Apache sollen ebenfalls angepasst werden.

7 Kommentare

Zeigt sich wenig erfreut über ETLS: Die Standardisierungsorganisation IETF beschwert sich bei den Kollegen von der ETSI. (Bild: IETF) (IETF)

TLS: IETF beschwert sich über Namensmissbrauch von ETLS

Die IETF ist verärgert, dass von der ETSI unter dem Namen ETLS oder Enterprise-TLS ein Protokoll mit Überwachungsschnittstelle veröffentlicht worden ist. Eigentlich hat die ETSI versprochen, auf den Namensbestandteil TLS zu verzichten.

5 Kommentare

Kein guter Ratschlag: Der Twitter-Account der Comdirect-Bank empfahl Nutzern, Sicherheitswarnungen einfach zu ignorieren. (Bild: Philipp Tonn/Wikimedia Commons) (Philipp Tonn/Wikimedia Commons)

Banking-App: Comdirect empfiehlt, Sicherheitswarnung zu ignorieren

Beim Aufruf der App der Comdirect-Bank erhielten Nutzer in den vergangenen Tagen eine Fehlermeldung aufgrund eines Zertifikatswechsels. Der Twitter-Account der Bank empfiehlt daraufhin Nutzern, diese einfach zu ignorieren.

27 Kommentare

Würden Sie diesem Schloss trauen? Die ETSI standardisiert eine Enterprise-Variante von TLS, legt dabei aber offenbar wenig Wert auf Sicherheit. (Bild: Karen Arnold / PublicDomainPictures.net) (Karen Arnold / PublicDomainPictures.net)

ETLS: ETSI veröffentlicht unsichere TLS-Variante

Die europäische Standardisierungsorganisation ETSI hat eine Variante von TLS spezifiziert, die eine Überwachungsschnittstelle und schwächere Sicherheitseigenschaften hat. Bei der IETF war man zuvor mit ähnlichen Vorstößen erfolglos.

16 Kommentare

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Eine Software zur Verwaltung von Sennheiser-Headsets kommt mit einer gravierenden Sicherheitslücke. (Bild: Sennheiser) (Sennheiser)

Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus

Eine Software für Headsets des Herstellers Sennheiser installiert ein Root-Zertifikat und sorgt damit dafür, dass HTTPS-Verbindungen nicht mehr sicher sind. In neueren Versionen ist die Lücke etwas weniger schlimm, einen Fix gibt es bisher nicht.

13 Kommentare

Hyperthreading wurde mit dem Pentium 4 eingeführt. Damit zusammenhängende Sicherheitsprobleme sind schon seit 2005 bekannt. (Bild: Raimond Spekking, Wikimedia Commons) (Raimond Spekking, Wikimedia Commons)

Portsmash: Exploit für 13 Jahre alte Hyperthreading-Lücke

Ein Forscherteam zeigt, wie es mittels Seitenkanal-Angriffen private Schlüssel von OpenSSL stehlen kann. Der dahinter liegende Bug ist aber nicht neu und das Problem liegt auch im OpenSSL-Code.

5 Kommentare

So gingen viele Menschen 1999 ins Internet, als der TLS-Standard 1.0 veröffentlicht wurde. Der soll jetzt abgeschafft werden. (Bild: Leon Brooks / Wikimedia Commons) (Leon Brooks / Wikimedia Commons)

HTTPS: Browser wollen alte TLS-Versionen 2020 abschalten

In einer gemeinsamen Aktion kündigen die vier großen Browserhersteller an, dass sie die TLS-Versionen 1.0 und 1.1 im Jahr 2020 nicht mehr unterstützen wollen.

Kommentare

Ob Versionsintoleranz oder defekte Middleboxen: Bei Bugs in TLS ist Cisco oft dabei. (Bild: Kjetil Ree, Wikimedia Commons) (Kjetil Ree, Wikimedia Commons)

Verschlüsselung: TLS 1.3 mit Startschwierigkeiten

Obwohl bei der Entwicklung von TLS 1.3 versucht wurde, Probleme mit bestehenden fehlerhaften Geräten zu vermeiden, gibt es beim Start erneut Schwierigkeiten. Verantwortlich dafür: Vorab-Versionen von OpenSSL und Geräte von Cisco und Palo Alto Networks.

17 Kommentare

Container: Kubernetes 1.12 bringt TLS-Bootstrapping

Nach zwei Jahren Arbeit ist die Funktion zum TLS-Bootstrapping in Kubernetes-Clustern mit der Version 1.12 stabil. Die Container-Orchestrierung ist außerdem besser auf Azure angepasst und bekommt eine IoT-Arbeitsgruppe.

Kommentare

Die Verschlüsselung von E-Mails ist oft mangelhaft, aber zumindest in Sachen Transportverschlüsselung gibt es jetzt Verbesserungen. (Bild: martinak15 / Wikimedia Commons) (martinak15 / Wikimedia Commons)

MTA-STS: Neuer Standard sichert Verschlüsselung zwischen Mailservern

Ein neuer Standard soll endlich dafür sorgen, dass die Transportverschlüsselung zwischen Mailservern vernünftig abgesichert wird. Dafür wird über HTTPS eine Policy veröffentlicht.

32 Kommentare

Das BSI soll Bürger in Sachen IT-Sicherheit beraten - doch aktuell ist die Webseite nicht erreichbar, da man offenbar vergessen hat, das Zertifikat zu wechseln. (Bild: BSI) (BSI)

HTTPS: BSI vergisst Zertifikatswechsel

Die Webseite des Bundesamts für Sicherheit in der Informationstechnik ist zur Zeit nicht erreichbar. Dort hat man offenbar vergessen, sich rechtzeitig um ein neues TLS-Zertifikat zu kümmern.

71 Kommentare

ESNI soll die Übertragung des Domainnamen absichern. (Bild: Alistair Young) (Alistair Young)

TLS: Cloudflare startet Unterstützung für verschlüsselte SNI

Um beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP zu hosten, wird die TLS-Erweiterung SNI genutzt. Diese verrät unter Umständen aber den Servernamen. Cloudflare hat den IETF-Entwurf für verschlüsselte SNI umgesetzt, Browserunterstützung soll folgen.

11 Kommentare

In Facebooks Rechenzentren läuft schon TLS 1.3. (Bild: Facebook) (Facebook)

Verschlüsselung: Facebook legt interne TLS-1.3-Bibliothek offen

Eigenen Angaben zufolge nutzt mittlerweile 50 Prozent von Facebooks Traffic TLS 1.3. Genutzt wird dies vor allem in der eigenen Infrastruktur und weltweit in allen Mobile-Apps. Die verwendete Bibliothek Fizz ist nun Open Source.

2 Kommentare

Telegram bringt eine Art digitalen Ausweis. (Bild: Telegram) (Telegram)

Telegram 4.90: Neue Passport-Funktion soll Luc Bessons Multi-Pass bringen

Telegram Passport ist eine Funktion, mit der Nutzer ihre Ausweisdaten in eine abgesicherte Cloud hochladen können. Drittanbieter können damit das Alter und die Identität prüfen, und Nutzer müssen nicht jedes Mal ihre Daten hochladen. Ein paar offene Fragen zur Sicherheit gibt es noch.

16 Kommentare

Chrome warnt jetzt vor ungeschützten HTTP-Verbindungen. Angekündigt war dieser Schritt seit mehreren Jahren. (Bild: Google) (Google)

Google Chrome: Ab heute heißt es bei HTTP "Nicht sicher"

Mit der nun veröffentlichten Chrome-Version 68 warnt Google vor allen Webseiten, die noch mit ungeschützten HTTP-Verbindungen übertragen werden. Viele Seitenbetreiber dürfte das überraschen.

89 Kommentare

TLS soll SNI künftig auch verschlüsselt unterstützen. (Bild: Pixabay) (Pixabay)

TLS: Mozilla, Cloudflare und Apple wollen verschlüsselte SNI

Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.

34 Kommentare

Die alten TLS-Versionen sollen abgeschafft werden. (Bild: Andres Gonzalez, flickr.com) (Andres Gonzalez, flickr.com)

Verschlüsselung: TLS 1.0 und 1.1 sollen "sterben, sterben, sterben"

Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.

11 Kommentare

An einigen Stellen findet man immer noch alte kryptographische Schlüssel, die sich dank eines zehn Jahre alten Debian-Bugs knacken lassen. (Bild: Bubo/Wikimedia Commons) (Bubo/Wikimedia Commons)

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.

9 Kommentare / Von Hanno Böck

Verschlüsselung: Apps müssen in Android P standardmäßig verschlüsseln

Unverschlüsselte Verbindungen von Android-Apps werden ab Android P automatisch abgewiesen. Ausnahmen von dieser Regel müssen explizit in den Netzwerkeinstellungen zugelassen werden.

9 Kommentare

TLS 1.3 ist fertig (Bild: Dan York) (Dan York)

IETF 101: TLS 1.3 ist jetzt wirklich fertig

Auf der IETF-Tagung in London ist TLS 1.3 beschlossen worden. In wenigen Wochen dürfte der Standard für Verschlüsselung im Web dann auch als RFC erscheinen.

5 Kommentare

Wildcard-Zertifikate gibt's jetzt auch bei Let's Encrypt. (Bild: .martin, flickr.com) (.martin, flickr.com)

HTTPS: Let's Encrypt rollt Wildcard-Zertifikate aus

Nach der Ankündigung im vergangenen Jahr und einigen Verzögerungen hat die Zertifizierungsstelle Let's Encrypt damit begonnen, Wildcard-Zertifikate zu vergeben. Das geht aber nur mit Version 2 des ACME-Protokolls.

34 Kommentare

Note F für jobboerse.arbeitsagentur.de (Bild: Screenshot) (Screenshot)

ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte

Die Webseiten der Arbeitsagentur waren für den ROBOT-Angriff auf TLS verwundbar. Damit hätte ein Angreifer Datenverkehr entschlüsseln können. Verantwortlich dafür waren vermutlich uralte Cisco-Loadbalancer.

11 Kommentare

Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten. (Bild: Screenshot / trustico.com) (Screenshot / trustico.com)

Zertifikate: Trustico verwundbar für Root-Code-Injection

Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

12 Kommentare

Woher hatte Trustico nur all die privaten Schlüssel? (Bild: Schumi4ever/Wikimedia Commons) (Schumi4ever/Wikimedia Commons)

Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel

Der Zertifikatsreseller Trustico bittet aus unklaren Gründen darum, dass 50.000 Zertifikate zurückgezogen werden. Zu knapp der Hälfte davon besaß Trustico offenbar die privaten Schlüssel - die ein Zertifikatshändler eigentlich nie haben sollte.

40 Kommentare

Die Zukunft der Webverschlüsselung ist schon fast da. (Bild: Simon Cocks, Flickr.com) (Simon Cocks, Flickr.com)

Verschlüsselung: TLS 1.3 ist so gut wie fertig

Die TLS-Arbeitsgruppe der IETF hat ihre Arbeit an Version 1.3 des Verschlüsselungsprotokolls abgeschlossen. Jetzt muss noch der Rest des Standard-Gremiums zustimmen, was aber noch dauern könnte.

20 Kommentare

Chrome 68 markiert unsichere Webseiten. (Bild: Google) (Google)

Juli 2018: Chrome bestraft Webseiten ohne HTTPS

Google will mehr Webseitenbetreiber unter Druck setzen, auf HTTPS-Verbindungen umzusteigen. Ab Sommer 2018 sollen Webseiten ohne Verschlüsselung generell als unsicher markiert werden.

124 Kommentare

Verschlüsselung: Github testet Abschaltung alter Krypto

Github-Nutzer sollten ihre Clients auf Kompatibilität prüfen: Ab dem 22. Februar werden alte TLS-Versionen und einige Diffie-Hellman-Gruppen deaktiviert. Am Donnerstagabend wurde die Abschaltung schon einmal getestet.

2 Kommentare

SSL Labs vergibt Noten für die TLS-Konfiguration. (Bild: SSLLabs / Screenshot Golem.de) (SSLLabs / Screenshot Golem.de)

TLS-Check: Qualys bestraft fehlendes Forward Secrecy

Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.

3 Kommentare

Viele Cisco-Geräte mit ASA-Software sind von der Sicherheitslücke betroffen. (Bild: Cisco) (Cisco)

Cisco: Kritische Lücke im VPN ermöglicht DoS-Angriffe auf Switches

Ein Fehler in der ASA-Software von Cisco ermöglicht Angriffe aus der Ferne. Das Problem: Davon sind auch häufig eingesetzte Catalyst-Switches, Router und Firewall-Systeme betroffen. Erste Patches werden bereits verteilt.

2 Kommentare

OpenSSL nutzt künftig verstärkt Github. (Bild: OpenSSL) (OpenSSL)

Crypto-Bibliothek: OpenSSL bekommt Patch-Dienstag und wird transparenter

Um Admins ein stressiges Wochenende zu ersparen, werden OpenSSL-Updates künftig dienstags veröffentlicht. Außerdem gibt es nun eine Mailingliste, auf der Projektdetails unabhängig vom Code öffentlich diskutiert werden, und Github wird für das Projekt wichtiger.

5 Kommentare

Die Bundesrechtsanwaltskammer räumt ein, dass bei der Software für das besondere elektronische Anwaltspostfach Sicherheitsprobleme bestehen. (Bild: Bundesrechtsanwaltskammer) (Bundesrechtsanwaltskammer)

Bundesrechtsanwaltskammer: BeA bleibt vorerst offline

Nachdem Golem.de über Schwachstellen im besonderen elektronischen Anwaltspostfach berichtet hat, bleibt das System vorerst offline. In einer Mitteilung räumt die Bundesrechtsanwaltskammer Sicherheitslücken ein.

10 Kommentare / Von Hanno Böck

Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer) (Bundesrechtsanwaltskammer)

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

79 Kommentare / Von Hanno Böck

TLS 1.3 hat immer noch Ärger mit defekten Geräten - und neben Cisco und Avast ist auch die NSA dafür mitverantwortlich. (Bild: NSA) (NSA)

Dual EC: Wie Cisco, Avast und die NSA TLS 1.3 behindern

Auch der jüngste Entwurf des TLS-1.3-Protokolls führt zu Verbindungsabbrüchen. Google nennt jetzt einige Schuldige, darunter ein Gerät von Cisco, ein Virenscanner - und eine Spur zur NSA-Hintertüre Dual EC in der RSA-BSAFE-Bibliothek.

91 Kommentare / Von Hanno Böck

Zertifikate für Subdomains von myfritz.net - damit lassen sich Fritzbox-Anwender leicht finden. (Bild: Screenshot / crt.sh) (Screenshot / crt.sh)

HTTPS: Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

Die Fritzbox bietet in der jüngsten Firmware ein neues Feature: Kunden können sich automatisch Let's Encrypt-Zertifikate für den AVM-eigenen DynDNS-Dienst myfritz.net erstellen lassen. Das hat aber Konsequenzen, über die sich vermutlich nicht alle Kunden im Klaren sind.

129 Kommentare

Wer ist AS 39523? (Bild: Screenshot/BGPMon) (Screenshot/BGPMon)

BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet

Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein.

58 Kommentare

Return of Bleichenbacher's Oracle Threat - Immer wieder sorgt ein uralter Angriff auf RSA für Ärger. Das Problem: Der Verschlüsselungsstandard PKCS #1 v1.5. (Bild: Ange Albertini) (Ange Albertini)

ROBOT-Angriff: 19 Jahre alter Angriff auf TLS funktioniert immer noch

Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, gilt das besonders für populäre Webseiten, darunter Facebook, Paypal und Produkte von mindestens acht verschiedenen Herstellern.

40 Kommentare / Von Hanno Böck

Let's Encrypt bringt 2018 viele von der Community geforderte Funktionen. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

HTTPS: Let's Encrypt bringt Wildcard-Zertifikate

Auch 2018 hat die Zertifizierungsstelle Let's Encrypt vor, weiter massiv zu wachsen. Dazu will das Projekt unter anderem die lang geforderten Wildcard-Zertifikate und weitere Neuerungen anbieten.

36 Kommentare

Bei Microsofts Dynamics 365 for Operations teilten sich alle Kunden einen privaten Schlüssel. (Bild: Pixabay / Hans) (Pixabay / Hans)

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden

Microsoft hat aus Versehen einen privaten Schlüssel für seinen Clouddienst Dynamics 365 veröffentlicht - und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.

25 Kommentare / Von Hanno Böck

Diesen Fehler sahen heute LinkedIn-Nutzer, die auf eine der nationalen Subdomains zugreifen wollten. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Abgelaufen: LinkedIn vergisst TLS-Zertifikate

Für fast drei Stunden waren heute die Zertifikate aller Subdomains des Berufsnetzwerks LinkedIn ausgelaufen. Peinlich, da die meisten Suchmaschinen darauf verweisen.

3 Kommentare

Kurse

Podcast Besser Wissen