Zertifikat

Wird im kasachstanischen Präsidentenpalast eine Totalüberwachung des verschlüsselten Internets geplant? (Bild: Hanno Böck) (Hanno Böck)

Kasachstan: Man-in-the-Middle-Angriff auf ein ganzes Land geplant?

Mit einem manuell zu installierenden TLS-Root-Zertifikat will Kasachstan offenbar alle verschlüsselten Verbindungen ins Ausland mitlesen: Das stand auf der Webseite des nationalen Telekom-Anbieters. Die Meldung ist wieder weg - die Pläne auch?

23 Kommentare

Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons) (Wistula, Wikimedia Commons)

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

10 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: So geht Python

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Mehr digitale Ordnung für Selbstständige (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Systemadministrator*in für Basisdienste Infrastruktur (m/w/div) Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)

Mitarbeiter IT Qualitätssicherung (m/w/d) im Bereich IT Entwicklung für Wesel RZH Rechenzentrum für Heilberufe GmbH, Wesel (öffnet im neuen Fenster)

Data Engineer (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Sachbearbeiterin / Sachbearbeiter (m/w/d) - Management SAP-Anwendungen Bundeseisenbahnvermögen, Bonn (öffnet im neuen Fenster)

Informatiker (w/m/d) / Medieninformatiker (w/m/d) Deutsches Museum, Bonn (öffnet im neuen Fenster)

Teamleiter IT Helpdesk / First Level Support / Second Level Support (m/w/d) im Bereich IT Entwicklung für Wesel RZH Rechenzentrum für Heilberufe GmbH, Wesel (öffnet im neuen Fenster)

Sales Administrator (m/w/d) Industrie Lübecker Hafen-Gesellschaft mbH, Lübeck (öffnet im neuen Fenster)

Bucher mit SAP-Kenntnissen (m/w/d) - Siegenburg Müller - Die lila Logistik Service GmbH, Biburg (öffnet im neuen Fenster)

Der Service-Tag von Dell-Computern - Webseiten können diesen auslesen, wenn die Dell Foundation Services installiert sind. (Bild: Flickr) (Flickr)

Dell-Probleme: Service-Tag ermöglicht Tracking von Dell-Nutzern

Auf die gefährlichen Root-Zertifikate hat Dell inzwischen reagiert, doch zu einer weiteren Sicherheitslücke in vorinstallierter Dell-Software ist die Informationslage ausgesprochen verwirrend: Die Dell Foundation Services erlauben eine eindeutige Identifizierung von Dell-Nutzern.

15 Kommentare

Ein weiteres gefährliches Root-Zertifikat ist auf Dell-Laptops zu finden. (Bild: Dell Inc./ Wikimedia Commons) (Dell Inc./ Wikimedia Commons)

HTTPS-Verschlüsselung: Noch ein gefährliches Dell-Zertifikat

Offenbar gibt es eine weitere von Dell bereitgestellte Software, die ein Root-Zertifikat samt privatem Schlüssel installiert. Das Tool namens Dell System Detect ist schon früher als Sicherheitsrisiko aufgefallen.

6 Kommentare

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons) (Jjpwiki/Wikimedia Commons)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Update Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

64 Kommentare

Die Carnegie-Mellon-Universität soll dem FBI bei den Silkroad-Ermittlungen geholfen haben - und wurde möglicherweise dafür bezahlt. (Bild: Piotrus) (Piotrus)

Silk Road 2.0: Forschungsinstitut half FBI offenbar bei Tor-Ermittlungen

Ein Forschungszentrum, das Ermittlungen des FBI unterstützt? In den USA ist das offenbar möglich. Gerichtsdokumente belegen jetzt, dass ein im vergangenen Jahr entdeckter Angriff auf das Tor-Netzwerk von einer universitären Einrichtung durchgeführt wurde - die dafür vielleicht sogar vom FBI bezahlt wurde.

6 Kommentare

Symantec stellte unberechtigterweise Tausende Zertifikate aus - Google hat dafür wenig Verständnis. (Bild: LPS.1/Wikimedia Commons) (LPS.1/Wikimedia Commons)

TLS-Zertifikate: Google greift gegen Symantec durch

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.

13 Kommentare

Viele AKW haben gravierende Sicherheitslücken in ihrer IT. (Bild: GUILLAUME SOUVANT/AFP/Getty Images) (GUILLAUME SOUVANT/AFP/Getty Images)

IT-Security: Atomkraftwerke oft ungeschützt am Netz

Atomkraftwerke gelten nicht erst seit dem Reaktorunglück in Fukushima als Sicherheitsrisiko - eine Untersuchung zeigt jetzt gravierende Sicherheitslücken im Bereich IT-Sicherheit auf.

57 Kommentare / Von Hauke Gierow

Seminar: Microsoft Azure Administration: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop

zum Kurs

Seminar: Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

Erster Erfolg für Certificate Transparency: Die öffentlichen Logs deckten ein falsch ausgestelltes Zertifikat auf. (Bild: Google) (Google)

Certificate Transparency: Symantec stellt falsches Google-Zertifikat aus

Offenbar zu Testzwecken ist von Symantec unberechtigterweise ein gültiges TLS-Zertifikat für Google.com ausgestellt worden. Entdeckt hat Google das über die Logs des Certificate-Transparency-Systems.

47 Kommentare

Hinweis auf die Schlüssel im Quellcode (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Sicherheitslücke: D-Link vergisst private Code-Signing-Schlüssel im Quellcode

Dem Hardwarehersteller D-Link ist ein peinlicher Fehler unterlaufen. Im Quellcode der Firmware für eine Überwachungskamera vergaßen die Entwickler private Code-Signing-Schlüssel. Der Hersteller hat bereits reagiert.

17 Kommentare

Über Airdrop lassen sich infizierte Apps auf dem iPhone installieren. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Kritische Sicherheitslücke: Ungebetene Daten infizieren iOS per Airdrop

Eine kritische Sicherheitslücke in iOS und OS X ermöglicht Angreifern, über Airdrop infizierte Apps zu installieren und Daten auf das System zu schreiben. In iOS 9 hat Apple erste Maßnahmen ergriffen, um die Nutzer zu schützen - und ein neues Security-Advisory veröffentlicht.

15 Kommentare

Das IT-Sicherheitsunternehmen Checkpoint entdeckte einen ersten Missbrauch von Zertifikaten unter Android. (Bild: Checkpoint) (Checkpoint)

Security: Erste App nutzt Android-Schwachstelle Certifi-Gate aus

In Googles Play Store wurde eine Applikation entdeckt, die die sogenannte Certifi-Gate-Schwachstelle ausnutzt, um unerlaubt erhöhte Zugriffsrechte unter Android zu erlangen. Die Entdecker der Schwachstelle haben eine erste Erhebung zur Verbreitung von Certifi-Gate veröffentlicht.

23 Kommentare

BGP-Routing entscheidet, wie Pakete im Internet transportiert werden, es bietet jedoch kaum Sicherheit. (Bild: MelVic/Wikimedia Commons/CC by-sa 3.0) (MelVic/Wikimedia Commons/CC by-sa 3.0)

HTTPS: BGP-Angriff gefährdet TLS-Zertifikatssystem

Black Hat 2015 Auf der Black Hat weisen Sicherheitsforscher auf ein Problem mit TLS-Zertifizierungsstellen hin: Die Prüfung, wem eine Domain gehört, findet über ein ungesichertes Netz statt. Dieser Weg ist angreifbar - beispielsweise mittels des Routingprotokolls BGP.

4 Kommentare

Das IT-Sicherheitsunternehmen Checkpoint warnt vor dem Missbrauch von Zertifikaten unter Android. (Bild: Checkpoint) (Checkpoint)

Schwachstelle: Certifi-Gate erlaubt Zertifikatsmissbrauch unter Android

Black Hat 2015 Bösartige Apps können in Android legitime Zertifikate nutzen, um erhöhte Rechte zu erhalten. Die Entdecker der Schwachstelle haben dieser den Namen Certifi-Gate gegeben. Google bestätigt die Lücke, betont aber, dass Apps im Play Store auf ein solches Missbrauchspotential überprüft würden.

8 Kommentare

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Von BNC zu RJ45 - auch die populären Stecker haben sich geändert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Von Funk bis Netz in Österreich

Erneut wurde in OpenSSL eine kritische Sicherheitslücke gefunden. (Bild: Togaboy, Wikipedia) (Togaboy, Wikipedia)

Sicherheitslücke: OpenSSL akzeptiert falsche Zertifikate

Ein OpenSSL-Update behebt eine kritische Sicherheitslücke. Mittels einiger Tricks kann ein Angreifer damit ein gewöhnliches Zertifikat zu einer Zertifizierungsstelle machen. Betroffen sind vor allem Clients.

5 Kommentare

DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile. (Bild: Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D) (Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D)

Protokoll: DNSSEC ist gescheitert

IMHO PR für ein totes Protokoll: Am heutigen 30. Juni wird der DNSSEC-Day begangen. Dabei ist das Protokoll in seiner heutigen Form nahezu nutzlos - und wird es wohl auch bleiben.

83 Kommentare / Von Hanno Böck

Appbugs meldete auf unserem Smartphone keine Schwachstelle. Wir hoffen, das stimmt auch. (Bild: Screenshot: Golem.de) (Screenshot: Golem.de)

Android-Apps: Appbugs warnt vor Apps mit unsicheren Logins

Mangelnde Verschlüsselung und gefälschte Zertifikate können dazu führen, dass Zugangsdaten beim Einloggen von Fremden abgegriffen werden können. Eine App will vor anderen, unzureichend abgesicherten Apps in Googles Play Store warnen - eine Aufgabe, die eigentlich Google übernehmen sollte.

6 Kommentare

Die gemeinnützige Zertifizierungsstelle beginnt im September mit ihrer Arbeit. (Bild: Let's Encrypt) (Let's Encrypt)

Let's Encrypt: Gratis-Zertifikate ab September verfügbar

Ab Mitte September sollen alle Nutzer gratis Zertifikate von Let's Encrypt erhalten können. Bereits in einem Monat will das Team Zertifikate für ausgesuchte Webseite verteilen.

88 Kommentare

Die gemeinnützige Zertifizierungsstelle hat ihre ersten eigenen Zertifikate erstellt. (Bild: Let's Encrypt) (Let's Encrypt)

Kostenlose TLS-Zertifikate: Let's Encrypt kann bald Arbeit aufnehmen

Die von Mozilla und EFF gegründete Zertifizierungsstelle Let's Encrypt hat ihre Wurzelzertifikate erstellt. Damit haben die Beteiligten einen wichtigen Schritt unternommen, um mit der Arbeit beginnen zu können. Zudem gibt es einen Plan, wie alle Browser die Zertifikate sofort akzeptieren.

20 Kommentare

Durch gefälschte Zertifikate können Android-Apps verschlüsselte Verbindungen aufbauen, die abgegriffen werden können. (Bild: Sam Bowne/City College San Francisco) (Sam Bowne/City College San Francisco)

Android: Tausende Apps akzeptieren gefälschte Zertifikate

Die Schwachstelle ist seit einem halben Jahr bekannt, doch noch immer können Tausende Android-Apps mit gefälschten Zertifikaten überlistet werden, verschlüsselte Verbindungen aufzubauen. Über diese können Zugangsdaten abgegriffen werden.

23 Kommentare

Chrome 42 versteckt die Nutzung der NPAPI hinter einem Flag. (Bild: Google) (Google)

Google: Chrome 42 schaltet NPAPI ab

In der aktuellen Version des Chrome-Browsers ist die alte NPAPI standardmäßig abgeschaltet. Anwender können nun außerdem Push-Nachrichten in Web-APPs verwenden und der Browser warnt vor Zertifikaten mit SHA-1-Signatur.

30 Kommentare

Die gemeinnützige Zertifizierungsstelle wird durch die Linux Foundation unterstützt. (Bild: Let's Encrypt) (Let's Encrypt)

Kostenlose TLS-Zertifikate: Linux Foundation unterstützt Let's Encrypt

Mit Let's Encrypt soll jeder Webseitenbetreiber einfach und vor allem kostenlos ein TLS-Zertifikat bekommen. Die Linux Foundation will das Projekt nun unterstützen, was finanzielle und organisatorische Vorteile bringen soll.

3 Kommentare

Chrome 42 wird SHA-1-signierte Zertifikate als unsicher darstellen. (Bild: Google) (Google)

Google: Chrome 42 wird vor Zertifikaten mit SHA-1-Signatur warnen

Die aktuelle Beta des Chrome-Browser warnt bereits vor einigen Zertifikaten, die mit SHA-1 signiert sind. Mit dem kommenden Chrome 42 wird dies wahrscheinlich auch in der stabilen Version umgesetzt. SHA-1 gilt schon seit einigen Jahren als potenziell unsicher.

10 Kommentare

Webseiten-Zertifikate von CNNIC werden bald von Chrome nicht mehr akzeptiert. (Bild: CNNIC-Webseite / Screenshot) (CNNIC-Webseite / Screenshot)

CNNIC: Google wirft chinesische Zertifizierungsstelle raus

Update Das kürzliche Auftauchen von falschen Google-Zertifikaten hat für die verantwortliche Zertifizierungsstelle CNNIC Konsequenzen: Google wirft sie aus dem Chrome-Browser. CNNIC soll die Chance erhalten, wieder aufgenommen zu werden, wenn sie das System Certificate Transparency implementiert.

9 Kommentare

Firefox (Bild: Mozilla/CC-BY-SA 3.0) (Mozilla/CC-BY-SA 3.0)

Mozilla: Firefox 37 bringt Zertifikatsperren und Nutzerfeedback

Im aktuellen Firefox werden zentralisierte Zertifikatsperren, opportunistische Verschlüsselung für HTTP/2 und weitere TLS-Techniken umgesetzt. Zudem sollen Nutzer besser Feedback geben können sowie die MSE auf Youtube verwenden.

45 Kommentare

Mit "Secure your Business" wirbt die Firma MCS auf ihrer Webseite - die Ausstellung von falschen Zertifikaten gehört da wohl nicht dazu. (Bild: Screenshot) (Screenshot)

TLS-Zertifikate: CNNIC stellt fälschlicherweise Google-Zertifikate aus

Ein Zwischenzertifikat eines ägyptischen Telekommunikationsanbieters hat für Google und diverse andere Domains unberechtigt Zertifikate ausgestellt. Signiert wurde das Zwischenzertifikat von der chinesischen CNNIC-Zertifizierungsstelle.

9 Kommentare

So ist es korrekt: Microsoft verweigert das Anlegen einer Hostmaster-Mailadresse. (Bild: Screenshot) (Screenshot)

Erschlichenes Zertifikat: Microsoft antwortet vier Jahre nicht auf Warnung

Zum fälschlicherweise ausgestellten Zertifikat für die Microsoft-Domain live.fi sind weitere Details bekannt. Demnach hatte sich Microsoft Wochen Zeit gelassen, um zu reagieren. In einem ähnlichen Fall ließ Microsoft sogar vier Jahre verstreichen.

15 Kommentare

Ein Unbekannter ist im Besitz des Schlüssels zu einem Zertifikat für live.fi. (Bild: Handslive/Flickr/CC by 2.0) (Handslive/Flickr/CC by 2.0)

TLS-Zertifikate: Comodo stellt fälschlicherweise Microsoft-Zertifikat aus

Update Für die Domain live.fi, die Microsoft für die finnische Version seiner Live-Services nutzt, ist ein unberechtigtes Zertifikat von Comodo ausgestellt worden. Dabei wird eine Reihe von Schwächen des Zertifikatssystems deutlich.

23 Kommentare

Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

4 Kommentare

Die Hackergruppe Lizard Squad hatte kurzzeitig die Lenovo-Domain übernommen. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Superfish-Affäre: Lizard Squad hackt Lenovo-Domain

Die Webseiten unter der Domain Lenovo.com waren vorübergehend unter der Kontrolle der Hackergruppe Lizard Squad. Sie griff offenbar auch E-Mails ab. Es soll sich um Vergeltung für die von Lenovo eingesetzte Adware Superfish handeln.

41 Kommentare

PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite) (Screenshot / Webseite)

Privdog: Software hebelt HTTPS-Sicherheit aus

Update Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

36 Kommentare

SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot) (Komodia / Screenshot)

Superfish: Das Adware-Imperium von Komodia

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

28 Kommentare

Superfish-Adware sorgt weiter für Aufruhr. (Bild: Elma/Wikimedia Commons/CC BY 2.0) (Elma/Wikimedia Commons/CC BY 2.0)

Adware: Superfish-Chef bestreitet Sicherheitsrisiko

In der Affäre um die Adware Superfish leugnet deren Chef nun, dass sie ein Sicherheitsrisiko darstellt. Unterdessen gibt es von Lenovo ein Tool, um das Programm zu entfernen.

80 Kommentare

"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de) (Kurupira/Screenshot: Golem.de)

Komodia-Filter: Superfish-Affäre weitet sich aus

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

37 Kommentare

Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0) (Elma/Wikimedia Commons/CC BY 2.0)

Adware: Lenovo-Laptops durch Superfish-Adware angreifbar

Update Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.

107 Kommentare

Mit Wosign gibt es jetzt eine weitere Möglichkeit, kostenlos TLS-Zertifikate zu erhalten. (Bild: Wosign) (Wosign)

Wosign: Kostenlose TLS-Zertifikate aus China

Update Eine neue Zertifizierungsstelle aus China bietet für zwei Jahre gültige kostenlose TLS-Zertifikate an. Dabei gibt es allerdings noch einen kleinen Haken in Sachen Signaturalgorithmus.

22 Kommentare

Wie vertrauenswürdig ist unsere Hardware? (Bild: Soeb, Wikimedia Commons) (Soeb, Wikimedia Commons)

IMHO: Zertifizierungen sind der falsche Weg

In Firmware versteckte Malware ist ein Problem, Zertifizierungen dürften aber kaum dagegen helfen. Wer vertrauenswürdige Firmware möchte, muss offene Quellen, transparente Audits und reproduzierbare Buildprozesse fordern.

67 Kommentare

Das Netz ist auf dem Weg zu HTTPS für alle Webseiten. (Bild: Screenshot / bearbeitet: Hanno Böck) (Screenshot / bearbeitet: Hanno Böck)

Netzverschlüsselung: Mythen über HTTPS

Google will HTTP zum unsicheren Protokoll degradieren, der Trend geht zum verschlüsselten Netz. Daran gibt es auch Kritik, doch die beruht oft auf Missverständnissen.

242 Kommentare

Die Ausstellung von HTTPS-Zertifikaten soll einfacher werden. (Bild: Let's encrypt) (Let's encrypt)

Let's Encrypt: Zertifikate kostenlos und einfach

Eine neue, gemeinnützige Zertifizierungsstelle soll die Verbreitung von HTTPS-Verbindungen fördern. Beteiligt sind neben Mozilla und der EFF auch große Unternehmen wie Akamai und Cisco.

70 Kommentare

Facebook im Tor-Netzwerk - das Zertifikat bietet keine hohe Sicherheit. (Bild: Screenshot) (Screenshot)

.onion-Domains: Falsches Zertifikat für Tor-Facebook

Einem Sicherheitsforscher ist es gelungen, ein gefälschtes Zertifikat für die .onion-URL von Facebook ausstellen zu lassen. Facebook ist seit kurzem über das Tor-Netzwerk erreichbar.

17 Kommentare

Es gebe keine Hinweise, dass die Heartbleed-Lücke vor ihrer Bekanntmachung ausgenutzt wurde. (Bild: EFF) (EFF)

Security: Heartbleed-Lücke war zuvor nicht bekannt

Es gab Gerüchte, Geheimdienste und Hacker hätten von der Heartbleed-Lücke längst gewusst und sie ausgenutzt, bevor sie publik wurde. Dafür gebe es keine Hinweise, heißt es jetzt in einer Studie.

6 Kommentare

Chrome geht bald verschärft gegen SHA-1-signierte Zertifikate vor. (Bild: Google) (Google)

Chrome: Zertifizierungsstellen auf SHA-1-Ende nicht vorbereitet

Google hat seine Pläne zur Abschaffung von SHA-1-Signaturen konkretisiert. Trotz langjähriger Warnungen gibt es noch Tausende Zertifikate mit SHA-1-Signaturen, die bald Probleme bekommen werden.

36 Kommentare

Google nutzt selbst noch SHA-1, will den Algorithmus aber bis 2017 loswerden. (Bild: Screenshot) (Screenshot)

Zertifikate: Google will vor SHA-1 warnen

Google will Zertifikate, die mit SHA-1 signiert sind, bis spätestens 2017 loswerden. Der Chrome-Browser wird bald entsprechende Warnungen anzeigen. SHA-1 gilt schon seit einigen Jahren als potentiell unsicher.

14 Kommentare

Mozilla plant eine zentrale Sperrliste für Zertifikate im Firefox-Browser. (Bild: Mozilla) (Mozilla)

Revocation: Zentrale Zertifikatssperrlisten von Mozilla geplant

Um Nutzer künftig vor falschen oder entwendeten Zertifikaten zu schützen, will Mozilla eine zentrale Sperrliste pflegen. Damit folgen die Firefox-Macher den Ideen Googles für Chrome.

11 Kommentare

Die unzureichende Überprüfung von Zertifikaten ist wohl auf einen Fehler in Apaches Harmony zurückzuführen. (Bild: Curesec) (Curesec)

Android: Harmony verursacht unzureichende Zertifikatsprüfung

Black Hat 2014 Ein Fehler in Apaches Harmony soll die Ursache für die fehlerhafte Zertifikatsprüfung in Android sein. Harmony war Apaches Java-Implementierung, das Google in Android einsetzt.

23 Kommentare

Android prüft App-Zertifikate nur unzureichend. (Bild: Google/Screenshot: Golem.de) (Google/Screenshot: Golem.de)

Android: Zertifikatskette wird nicht geprüft

Black Hat 2014 Android prüft nur unzureichend die mit Apps installierten Zertifikate. Dadurch können sich bösartige Apps Zugriff auf Systemkomponenten verschaffen, die ihnen eigentlich verwehrt sind.

39 Kommentare

Nach dem Update sperrt Windows die betroffene Zertifizierungsstelle. (Bild: Screenshot) (Screenshot)

Zertifikatsfälschungen: Microsoft-Update sperrt indische Zertifizierungsstelle

Nach dem Auftauchen von Zertifikatsfälschungen des indischen National Informatics Centre (NIC) liefert Microsoft ein Windows-Update, welches die Zertifikate sperrt. Ursprünglich war nur von vier gefälschten Zertifikaten die Rede, inzwischen sind 45 bekannt.

6 Kommentare

Die Zertifizierungsstelle des indischen National Informatics Centre hat ihren Dienst eingestellt. (Bild: Screenshot Nicca) (Screenshot Nicca)

India CCA: Gefälschte Zertifikate für Google-Domains

Mitarbeiter von Google haben mehrere gefälschte Zertifikate für Domains des Konzerns gefunden. Ausgestellt wurden sie von einer Zertifizierungsstelle der indischen Regierung. Diese Zertifizierungsstelle wird nur von Windows akzeptiert.

8 Kommentare

Der POP3-Kioslave verarbeitet ungefragt auch ungültige Zertifikate. (Bild: KDE/Screenshot: Golem.de) (KDE/Screenshot: Golem.de)

KDE: Fehler in Kmail ermöglicht Man-in-the-Middle-Angriffe

Im Code des POP3-Kioslaves in KDEs E-Mail-Anwendung Kmail beziehungsweise in Kdelibs ist ein Fehler, durch den ungültige Zertifikate ohne Abfrage akzeptiert werden. Angreifer könnten sich so in den verschlüsselten E-Mail-Verkehr einklinken.

1 Kommentare

Kurse

Podcast Besser Wissen