TLS

E-Learning: Node.js Backend for Flutter Beginners (E-Learning in English)

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Fachinformatiker (m/w/d) als Softwaretester Thüringer Staatslotterie AöR, Suhl (öffnet im neuen Fenster)

Specialist/-in im städtischen IT Service (w/m/d) Stadtverwaltung Herrenberg, Herrenberg (öffnet im neuen Fenster)

Softwareentwickler IoT (m/w/d) GRIMME Landmaschinenfabrik GmbH & Co. KG, Damme (öffnet im neuen Fenster)

Applikationsmanager Klinik-Applikationen (w/m/d) Insel Gruppe, Bern (öffnet im neuen Fenster)

UX Research - Schwerpunkt Discovery (m/w/d) sipgate GmbH, Düsseldorf (öffnet im neuen Fenster)

IT-Administratorin / IT-Administrator (m/w/d) Landeswohlfahrtsverband (LWV) Hessen Hauptverwaltung Kassel, Friedberg (Hessen) (öffnet im neuen Fenster)

Abteilungsleiter/in Informationstechnik Brückner Maschinenbau GmbH, Siegsdorf (öffnet im neuen Fenster)

IT-Coordinator (m/w/d) Infrastructure & Security DJE Kapital AG, Pullach im Isartal (öffnet im neuen Fenster)

Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf) (OpenPGP.conf)

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

28 Kommentare

Ein Gerät von Ubiquiti (Bild: Ubiquiti) (Ubiquiti)

House of Keys: Immer mehr unsichere Schlüssel durch Embedded-Geräte

Ende 2015 veröffentlichte die Firma SEC Consult eine Untersuchung über die Gefahr von Geräten mit voreingestellten privaten Schlüsseln. Genützt hat es offenbar nichts: Die Zahl derartiger Geräte ist um 40 Prozent gestiegen, knapp 50.000 nutzen dabei sogar ein gültiges Zertifikat.

Die chinesische Zertifizierungsstelle Wosign stellt kostenlose TLS-Zertifikate aus - offenbar gab es im vergangenen Jahr einige Sicherheitsprobleme. (Bild: Wosign) (Wosign)

Zertifizierungsstelle: Wosign stellt unberechtigtes Zertifikat für Github aus

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

17 Kommentare

Von einem solchen Testergebnis können die meisten Admins nur träumen. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

Observatory: Mozilla bietet Sicherheitscheck für Websites

Wie sicher ist die eigene Internetseite? Der Test mit einem neuen Tool von Browserhersteller Mozilla könnte für viele Betreiber ernüchternd sein.

38 Kommentare

OpenSSL hat eine neue Version mit vielen Änderungen unter der Haube veröffentlicht. (Bild: OpenSSL-Webseite) (OpenSSL-Webseite)

Verschlüsselung: OpenSSL veröffentlicht Version 1.1.0

OpenSSL veröffentlicht die neue Version 1.1.0. Neu hinzugekommen sind die Algorithmen ChaCha20 und X25519 sowie Unterstützung für Certificate Transparency. Vor allem aber ist das Release eine große Aufräumaktion.

SWEET32 - so heißt ein neuer Angriff, der mittels des Geburtstagsparadoxons Kollisionen in kurzen Verschlüsselungsblöcken ausnutzt. (Bild: sweet32.info) (sweet32.info)

SWEET32: Kurze Verschlüsselungsblöcke sorgen für Kollisionen

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

4 Kommentare

Seminar: CRA, AI Act, NIS 2, KRITIS, DORA & Co. – Regulatorik, Cyber Resilience & Compliance: virtueller Ein-Tages-Workshop

Seminar: Microsoft Power Apps, Power Automate & AI Builder: virtueller Ein-Tages-Workshop

Seminar: ITIL 4 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

Seminar: Clevere AI Workflows & Agenten entwickeln: virtueller Ein-Tages-Workshop

Eine Hintertür im Diffie-Hellman-Schlüsselaustausch ist theoretisch denkbar. (Bild: Mattes/Wikimedia Commons) (Mattes/Wikimedia Commons)

Schlüsselaustausch: Eine Backdoor für Diffie Hellman

Der Diffie-Hellman-Schlüsselaustausch ist sicher - wenn die Parameter korrekt gewählt sind. Doch was passiert, wenn es einem Angreifer gelingt, fehlerhafte Parameter einzuschleusen? David Wong ist es gelungen, damit eine sogenannte Nobus-Hintertür zu erzeugen.

12 Kommentare

HEIST - ein neuer Angriff auf TLS kombiniert einen Timing-Angriff und einen Angriff auf die HTTP-Kompression. (Bild: Black-Hat-Slides) (Black-Hat-Slides)

HEIST: Timing- und Kompressionsangriff auf TLS

Black Hat 2016 Durch die geschickte Kombination eines Timing-Angriffs in Javascript und der bereits bekannten Breach-Attacke ist es möglich, Geheimnisse in TLS-Verbindungen zu entschlüsseln. Anders als früher ist dafür kein Man-in-the-Middle-Angriff nötig.

11 Kommentare

Bei Comodo bekommt man kostenlose Test-Zertifikate für 30 Tage - bis vor kurzem sogar für fremde Domains. (Bild: Comodo) (Comodo)

Comodo: Zertifikatsausstellung mit HTML-Injection ausgetrickst

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

27 Kommentare

HTTPS soll eigentlich auch URLs schützen. (Bild: Wikipedia/Fabio Lanari) (Wikipedia/Fabio Lanari)

Black Hat 2016: Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS

Besonders in öffentlichen Netzwerken schützen verschlüsselte HTTPS-Verbindungen davor, dass Admins oder gar andere Nutzer im gleichen Netz den eigenen Datenverkehr belauschen. Dieser Schutz ist offenbar löchrig - und zwar auf fast allen Browsern und Betriebssystemen.

49 Kommentare

Eine TLS-Versandgarantie für E-Mails - eigentlich keine schlechte Idee, aber nicht jeder unterstützt den uralten Verschlüsselungsstandard. (Bild: Posteo.de) (Posteo.de)

STARTTLS: Keine Verschlüsselung mit der SPD

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

46 Kommentare

Böses Zusammenspiel von Umgebungsvariablen, dem CGI-Standard und HTTP-Proxies. (Bild: Nicola Horlor) (Nicola Horlor)

HTTPOXY: Gefährliche Proxy-Variablen

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

7 Kommentare

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Android Nougat ändert einiges beim Thema Sicherheit. (Bild: Google) (Google)

Android Nougat: Google will vor Ransomware und Zertifikatsspionage schützen

In der kommenden Android-Version will Google mit einer umstrittenen Maßnahme verhindern, dass verschlüsselte Daten von Angreifern mitgelesen werden. Außerdem soll das Betriebssystem vor Erpressungstrojanern schützen.

18 Kommentare / Von Hauke Gierow

Facebook will eine Verschlüsselung des Messenger-Dienstes ermöglichen. (Bild: Facebook) (Facebook)

Secret Communications: Facebook-Messenger bald mit Ende-zu-Ende-Verschlüsselung

Mit Secret Communications sollen künftig auch Facebook-Nutzer verschlüsselt chatten können. Wie Whatsapp setzt der Messenger dabei auf das Signal-Protokoll, Nutzer müssen aber einige Entscheidungen treffen.

Eine Verbindung zu Googles Play-Store - abgesichert mit CECPQ1. (Bild: Screenshot / Google) (Screenshot / Google)

New Hope: Google testet Post-Quanten-Algorithmus

In einem Experiment sichert Google verschlüsselte Verbindungen zwischen Chrome und einigen Google-Domains mit einem Schlüsselaustausch ab, der Sicherheit vor Quantencomputern bieten soll. Der neue New-Hope-Algorithmus kommt in Kombination mit einem bewährten Verfahren zum Einsatz.

3 Kommentare

Start Encrypt will auch kostenfreie Zertifikate anbieten. (Bild: Sean MacEntee/Wikimedia Commons) (Sean MacEntee/Wikimedia Commons)

Verschlüsselung: Sicherheitslücke bei Start Encrypt

Sicherheitsforscher haben im Client der Let's Encrypt-Alternative Start Encrypt zahlreiche Probleme gefunden, die die Ausstellung gültiger Zertifikate für beliebige URLs ermöglichte. Der Client hatte zudem zahlreiche weitere Probleme, die jetzt behoben sein sollen.

1 Kommentare

Comodo will jetzt keine Markenrechte mehr für Let's Encrypt. (Bild: Rock1997) (Rock1997)

Markenrechte: Comodo will keine Rechte an Let's Encrypt

Der öffentliche Druck durch die Community hat offenbar gewirkt: Comodo hat sich entschlossen, keine Markenrechte für "Let's Encrypt" mehr zu beantragen. Zuvor hatte der Comodo-Chef die Aktion noch mit merkwürdigen Argumenten verteidigt.

9 Kommentare

Let's Encrypt hat den nächsten Meilenstein erreicht. (Bild: Techfruit) (Techfruit)

Markenrechte: Comodo will Let's Encrypt den Namen klauen

Der Erfolg von Let's Encrypt ist spektakulär, es wurden bereits mehr als fünf Millionen Zertifikate ausgestellt. Jetzt will die Sicherheitsfirma Comodo Markenrechte an dem Namen durchsetzen. Let's Encrypt reagiert empört.

48 Kommentare

Ein neuer Verschlüsselungsmodus für TLS: ChaCha20 im Poly1305-Modus wurde jetzt standardisiert. (Bild: BeenAroundAWhile / Wikimedia Commons) (BeenAroundAWhile / Wikimedia Commons)

RFC 7905: ChaCha20-Verschlüsselung für TLS standardisiert

Mit RFC 7905 gibt es nun eine Spezifikation, um den Verschlüsselungsalgorithmus ChaCha20 im Poly1305-Modus in TLS zu nutzen. Der von Dan Bernstein entwickelte Algorithmus ist insbesondere auf Geräten ohne Hardware-AES-Unterstützung schneller als mögliche Alternativen.

Die Panama Papers haben weltweit für Aufregung gesorgt. (Bild: Christoph Stache/Getty Images) (Christoph Stache/Getty Images)

Panama Papers: IT-Experte von Mossack Fonseca verhaftet

Ist er John Doe? Ein IT-Mitarbeiter der Kanzlei Mossack Fonseca wurde in der Schweiz verhaftet. Ihm wird die massenhafte Weitergabe geheimer Informationen vorgeworfen.

17 Kommentare

Symantec will im Bereich Cloudsicherheit wachsen. (Bild: Paul J. Richards/Getty Images) (Paul J. Richards/Getty Images)

Übernahme: Symantec kauft Sicherheitsfirma Bluecoat

Zwei umstrittene Unternehmen tun sich zusammen: Der Sicherheitsanbieter Symantec kauft Bluecoat. Zusammen will man Sicherheitslösungen für mobile Geräte und die Cloud entwickeln.

7 Kommentare

Let's Encrypt muss an seiner Mailinfrastruktur arbeiten. (Bild: Rock1997) (Rock1997)

Verschlüsselung: Let's Encrypt verrät 7.618 E-Mail-Adressen

Let's Encrypt will Verbindungen im Internet besser absichern und so die privaten Daten der Nutzer besser schützen. Doch jetzt hat das Projekt durch eine Panne selbst zahlreiche Mailadressen preisgegeben.

Mit Firefox 47 lässt sich die Leistung einer Webseite überprüfen. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

Mozilla: Firefox 47 verbessert HTML5-Video und Kryptofunktionen

Die aktuelle Version des Firefox unterstützt Googles Widevine CDM für DRM-Inhalte und HTML5-Video für Youtube-Einbettungen. Entwickler können zudem die Leistung von Webseiten messen, und der Browser unterstützt Cipher-Suites mit Chacha20 und Poly1305.

113 Kommentare

Sicherheitslücken in Antivirussoftware sind nicht mehr Desktop-exklusiv. (Bild: Joe Raedle/Getty Images) (Joe Raedle/Getty Images)

Fraunhofer Studie: Sicherheitslücken in fast allen Smartphone-Virenscannern

Fast alle Antiviren-Apps für Smartphones haben Fehler, stellt eine neue Studie fest. Eine App von Kaspersky soll sogar mit Malware infizierte Werbung heruntergeladen haben. Die meisten Hersteller haben die Lücken mittlerweile gepatcht.

13 Kommentare

Ausschnitt aus dem Certificate Transparency Log (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Überwachung: Aufregung um Intermediate-Zertifikat für Bluecoat

Update Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.

61 Kommentare

Fremder Javascript-Code auf der dänischen Webseite von Visa - ein Angriff auf die fehlerhafte GCM-Verschlüsselung (Bild: Screenshot) (Screenshot)

TLS/GCM: Gefahr durch doppelte Nonces

Moderne TLS-Verbindungen nutzen üblicherweise das AES-GCM-Verschlüsselungsverfahren. Das benötigt einen sogenannten Nonce-Wert, der sich nicht wiederholen darf. Ansonsten ist die Sicherheit dahin.

Ein Sicherheitsupdate für OpenSSL behebt eine kritische und mehrere unkritische Lücken. (Bild: OpenSSL) (OpenSSL)

OpenSSL-Update: Die Rückkehr des Padding-Orakels

Die jüngste Version von OpenSSL behebt eine kritische Sicherheitslücke: eine Neuauflage des sogenannten Padding-Oracle-Angriffs. Mehrere ältere Bugs ermöglichen außerdem zusammen eine Memory-Corrpution-Lücke.

3 Kommentare

Heartbleed sollte eigentlich keine Rolle mehr spielen - nur das BMVI hatte davon noch nichts mitbekommen. (Bild: EFF) (EFF)

Security: Der Internetminister hat Heartbleed

Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.

24 Kommentare

Let's Encrypt ist nicht mehr Beta. (Bild: Techfruit) (Techfruit)

Kostenfreie SSL-Zertifikate: Let's Encrypt ist nicht mehr Beta

Das ging schneller als erwartet: Let's Encrypt ist nicht mehr im Betastadium. Außerdem gibt es neue Unterstützer.

33 Kommentare

Bei Wordpress gehostete Seiten werden jetzt mit HTTPS verschlüsselt. (Bild: Rock1997) (Rock1997)

Wordpress.com: 1 Million neue Let's-Encrypt-Seiten

In Zusammenarbeit mit Wordpress wird Let's Encrypt alle dort gehosteten Seiten mit einem SSL-Zertifikat ausstatten. Ein Problem mit Windows-XP-Nutzern wurde zwischenzeitlich behoben.

28 Kommentare

Protestschild: Wir haben kein Konto in Panama. Viele Firmen hingegen schon. (Bild: Marcos Brindicci/Reuters) (Marcos Brindicci/Reuters)

Panama Papers: Die katastrophale IT-Sicherheitspraxis von Mossack Fonseca

Der Panama-Leaks-Firma Mossack Fonseca ist offenbar nicht nur das Steuerrecht herzlich egal - sondern auch die IT-Security. Kein TLS, Drown und uralte Versionen von Drupal und Outlook Web Access machen es Angreifern leicht.

79 Kommentare

Ein neuer Standard soll für bessere Verschlüsselung zwischen Mailservern sorgen. (Bild: ItalianLocksmith / Wikimedia Commons) (ItalianLocksmith / Wikimedia Commons)

SMTP STS: Bessere Transportverschlüsselung zwischen Mailservern

Ein Entwurf für einen neuen Standard soll die Kommunikation zwischen Mailservern auf SMTP-Ebene besser absichern. Zwar kann man die auch jetzt schon verschlüsseln, aber für aktive Angreifer ist es einfach, die Verschlüsselung auszuschalten.

18 Kommentare

Symantec will jetzt auch kostenfreie Zertifikate bereitstellen. (Bild: Symantec) (Symantec)

Kostenlose Zertifikate: Symantec will mit Let's Encrypt konkurrieren

Eine weitere Initiative möchte mehr kostenfreie Zertifikate im Web erreichen. Doch dieses Mal geht es nicht um ein communitygetriebenes Projekt. Let's Encrypt macht derweil offenbar einen wichtigen Schritt.

12 Kommentare

Die Drown-Lücke wird nicht so schnell gepatcht wie Heartbleed. (Bild: Sarah Madden) (Sarah Madden)

Security: Drown gefährdet weiterhin zahlreiche Webdienste

Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.

9 Kommentare

Let's Encrypt wächst weiterhin schnell. (Bild: Techfruit) (Techfruit)

Let's Encrypt: 1 Million freie Zertifikate und ein paar Probleme

Let's Encrypt wächst rasant - nach wenigen Monaten gibt es bereits eine Million Zertifikate. Doch in der Betaphase gibt es nach wie vor einige Probleme und Beschränkungen.

32 Kommentare

Verräterische Zugriffsmuster im CPU-Cache erlauben das Knacken von RSA-Schlüsseln. (Bild: Cachebleed-Webseite) (Cachebleed-Webseite)

Cachebleed-Angriff: CPU-Cache kann private Schlüssel verraten

Forschern ist es gelungen, RSA-Verschlüsselungsoperationen von OpenSSL mittels eines Cache-Timing-Angriffs zu belauschen und so den privaten Key zu knacken. Der Cachebleed-Angriff nutzt dabei Zugriffskonflikte auf den Cache-Speicher.

1 Kommentare

Ertrinken in alten Protokollfehlern? Der DROWN-Angriff zeigt wieder einmal, wie fragil die TLS-Verschlüsselung ist. (Bild: Sarah Madden) (Sarah Madden)

Drown-Angrifff: Ein Drittel der HTTPS-Server angreifbar

Kein moderner Browser unterstützt das alte SSL-Protokoll Version 2. Trotzdem kann es zum Sicherheitsrisiko werden, solange Server es aus Kompatibilitätsgründen unterstützen. Es muss nicht einmal derselbe Server sein.

20 Kommentare / Von Hanno Böck

Rund 85 Prozent der getesteten SSL-Server weisen unsichere Konfigurationen auf. (Bild: Hightech Bridge) (Hightech Bridge)

Security: 85 Prozent der SSL-VPNs haben unsichere Konfigurationen

Zahlreiche SSL-VPNs sichern den Traffic der Nutzer nur unzureichend ab - das behauptet eine Sicherheitsfirma. Viele Anbieter würden nach wie vor SHA-1 oder MD5 verwenden. Außerdem seien rund 10 Prozent der Dienste für Heartbleed anfällig.

3 Kommentare

AVM: Fritzboxen für Supervectoring, G.fast und Docsis 3.1 kommen

Auf den kommenden großen IT-Messen MWC und Cebit werden Fritzboxen mit neuester Technik gezeigt. Doch Supervectoring, G.fast und Docsis 3.1 müssen erst einmal in den Netzen zum Einsatz kommen.

56 Kommentare

Angreifer können die Update-Nachrichten verändern - und Code auf dem Rechner ausführen. (Bild: Radek) (Radek)

Sparkle-Installer: Gatekeeper-Sicherung für Macs lässt sich umgehen

Viele App-Entwickler für Mac nutzen das Sparkle-Framwork für praktische Auto-Updates - und machen damit zahlreiche Mac-Programme angreifbar. Betroffen sind nicht nur VLC und uTorrent.

Beim Schlüsselaustausch mit dem Diffie-Hellman-Verfahren wurde ein Problem in OpenSSL entdeckt. (Bild: PMRMaeyaert/Wikimedia Commons) (PMRMaeyaert/Wikimedia Commons)

OpenSSL-Lücke: Die Sache mit den sicheren Primzahlen

OpenSSL hat mit einem Sicherheitsupdate eine Sicherheitslücke im Diffie-Hellman-Schlüsselaustausch behoben, deren Risiko als "hoch" eingestuft wird. Allerdings dürfte kaum jemand von der Lücke praktisch betroffen sein.

12 Kommentare

Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de) (Screenshot:Golem.de)

12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.