Zum Hauptinhalt Zur Navigation Zur Suche

TLS

Startcom wird ab 1.1. 2018 keinerlei Zertifikate mehr ausstellen. (Bild: Startcom) (Startcom)

Zertifikate: Startcom gibt auf

Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit.
/ 40 Kommentare
Audio-Equipment braucht eigentlich kein Root-Zertifikat. (Bild: nate hill, flickr.com) (nate hill, flickr.com)

Savitech: USB-Audiotreiber installiert Root-Zertifikat

Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.
/ 13 Kommentare
Cisco reiht sich ein in die lange Liste derer, denen TLS 1.3 zu sicher ist. (Bild: Prayitno, flickr.com) (Prayitno, flickr.com)

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.
/ 97 Kommentare
Die Golem Newsletter : Das Wichtigste für Techies und IT-Leader auf einen Blick. Jetzt abonnieren
Diese Schlösser sind schneller geknackt als TLS - normalerweise. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken

Mit einer vorgeschlagenen Erweiterung für das kommende TLS 1.3 könnte die Verschlüsselung effektiv gebrochen werden. Internet-, Mobilfunk- und Cloud-Provider wollen dazu aber nicht öffentlich Stellung nehmen. Und die nächste ähnliche Idee steht schon wieder auf der Agenda.
/ 62 Kommentare / Von Sebastian Grüner
Die Schlüssel für echte Schlösser sind immer gleich, bei TLS ist das eigentlich anders. (Bild: Chilanga Cement, flickr.com) (Chilanga Cement, flickr.com)

IETF: Wie TLS abgehört werden könnte

Der Vorschlag für eine TLS-Erweiterung macht TLS effektiv kaputt, sagen dessen Kritiker. Befürworter begründen die Idee mit Enterprise-Szenarien im Rechenzentrum. Streit ist vorprogrammiert und zeigt sich deutlich beim Treffen der TLS-Arbeitsgruppe.
/ 31 Kommentare / Ein Bericht von Sebastian Grüner
Private Schlüssel auf dem Webserver liegen lassen - das ist keine gute Idee. (Bild: Hanno Böck) (Hanno Böck)

HTTPS: Private Schlüssel auf dem Webserver

Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.
/ 70 Kommentare / Von Hanno Böck
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck) (Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
/ 22 Kommentare / Von Hanno Böck
Die C-Bibliothek des GNU-Projekts kann zuverlässige Zufallszahlen erzeugen. (Bild: Yoni Lerner, flickr.com) (Yoni Lerner, flickr.com)

Getrandom: Glibc 2.25 bekommt endlich besseren Zufall

Die Standard-C-Bibliothek des GNU-Projekts hat endlich Wrapper für die Linux-Systemaufrufe Getrandom und Getentropy - mehr als zwei Jahre nach deren Einführung. Neu sind außerdem Funktionen für Strings, Mathe-Operationen und ein starker Schutz vor Stack-Überläufen.
/ 7 Kommentare
Der Firefox-Browser warnt vor unsicheren Passworteingaben. (Bild: Firefox 51) (Firefox 51)

Mozilla: Firefox 51 warnt vor unsicheren Webinhalten

Die aktuelle Version 51 des Firefox-Browsers warnt vor unverschlüsselt übertragenen Logins und vor kaputten Zertifikaten mit SHA-1-Signatur sowie jenen von Wosign und Startcom. Der Browser nutzt außerdem WebGL 2 und ermöglicht eine bessere Videowiedergabe ohne GPU.
/ 9 Kommentare
Erneut hat Symantec Zertifikate ohne Zustimmung der Domaininhaber ausgestellt. Das könnte schwere Konsequenzen haben. (Bild: Symantec) (Symantec)

TLS-Zertifikate: Symantec verpeilt es schon wieder

Update Symantec hat offenbar eine ganze Reihe von Test-Zertifikaten ausgestellt, teilweise für ungültige Domains, teilweise für Domainnamen, für die es keine Berechtigung hatte. Wegen eines früheren Vorfalls steht Symantec zur Zeit unter verschärfter Beobachtung.
/ 24 Kommentare
Schluss mit alten, unsicheren Verschlüsselungsverfahren: TLS 1.3 räumt auf. (Bild: PMRMaeyaert, Wikimedia Commons) (PMRMaeyaert, Wikimedia Commons)

TLS 1.3: Die Zukunft der Netzverschlüsselung

Schwache Kryptographie raus, weniger Round-Trips und damit mehr Performance - und außerdem Schmierfett für zukünftige Protokollversionen und Erweiterungen: Die Version 1.3 des TLS-Verschlüsselungsprotokolls kommt bald.
/ 10 Kommentare / Eine Analyse von Hanno Böck