Zertifikat

Diginotar hat einen Insolvenzantrag gestellt. Dem niederländischen Sicherheitsunternehmen war es zuvor untersagt worden, neue elektronische Signaturen auszustellen.

Das niederländische Unternehmen Diginotar darf künftig auch keine elektronischen Signaturen mehr ausstellen. Bisher ausgestellte Signaturen werden ungültig.

Microsoft hat Patches für sämtliche Windows-Versionen veröffentlicht, die die Root-Zertifikate von Diginotar entfernen. Etliche große Linux-Distributionen stellen entsprechende Updates bereit. Ein Patch für Mac OS X ist noch nicht verfügbar.

Der Einbruch in die Server des niederländischen Zertifikatsanbieters Diginotar hat weitreichendere Folgen als bisher bekannt, meldet die niederländische Regierung. Und ein erstes Zwischengutachten belegt grobe Fehler von Diginotar.

Die Niederlande werden künftig keine SSL-Zertifikate von Diginotar ausstellen lassen. Besucher der Regierungswebseiten werden gewarnt, dass sie nicht mehr sicher seien. Auch Mozilla hat die Zertifikate entfernt - permanent.

Rund 250 Zertifikate sperren die Entwickler von Google Browser Chrome in Reaktion auf das gefälschte SSL-Zertifikat von Diginotar. Das Ausmaß des Sicherheitsproblems könnte also deutlich größer sein als bisher angenommen.

Update Der jüngste SSL-Vorfall hat weitreichende Konsequenzen. Mit einem gefälschten Google-Zertifikat sind Man-in-the-Middle-Angriffe auf Google-Nutzer möglich. Microsoft und Mozilla reagieren mit drastischen Schritten und entziehen der Ausgabestelle des gefälschten Zertifikats ihr Vertrauen.

Nach einem Hackerangriff hat der Zertifizierungsdienstleister StartSSL seine Dienste vorübergehend eingestellt und stellt keine SSL-Zertifikate mehr aus. Besitzer eines bereits ausgestellten Zertifikats sollen nicht betroffen sein.

Die Auseinandersetzung um die beste Strategie zur Bekämpfung der Internetkriminalität geht in eine neue Runde. Jetzt hat sich die EU-Kommission gegen einen von der Nato befürworteten "Ausschalter" für das Internet ausgesprochen.

Das Weiße Haus will Sicherheit und Datenschutz im Internet verbessern. Eine Schlüsselposition sollen dabei vertrauenswürdige Cyberspace-Identitäten spielen, wie aus einem jetzt vorgestellten Strategiebericht hervorgeht.

Die EFF wirft einigen Certification Authorities (CAs) vor, SSL-Zertifikate ohne ausreichende Prüfung auszugeben. Sie verweist dabei auf Zertifikate für unqualifizierte Domainnamen wie "mail" für den einfachen Zugriff auf den Mailserver im lokalen Netzwerk, von denen es zahlreiche gibt.

Die Affäre um gestohlene SSL-Zertifikate von Comodo weitet sich aus. Nach der ersten Attacke gab es Einbrüche bei mindestens einem weiteren Wiederverkäufer der Zertifikate, auch in Europa.

Die bei Comodo entwendeten SSL-Zertifikate werden nun nicht nur von Browsern, sondern auch von Windows direkt gesperrt. Dazu hat Microsoft Updates für alle Versionen des Betriebssystems von XP bis Server 2008 veröffentlicht.

Während immerhin schon 5,6 Millionen Firefox-4-Versionen heruntergeladen wurden, vergisst das Mozilla-Team nicht die Nutzer der alten Versionen 3.5 und 3.6. Es gibt ein paar Sicherheitsupdates und Fehlerkorrekturen.

Facebook-Nutzer, die versuchen, sich unter facebook.de bei Facebook anzumelden, erhalten eine Warnung. Das verwendete SSL-Zertifikat passt nicht.

RSA Security 1024 V3 wird nicht mehr benötigt. Nach Verwirrung um die Frage, wem das Zertifikat "RSA Security 1024 V3" gehört, hat Mozilla entschieden, es aus der Liste vertrauenswürdiger Root-Zertifikate für seine Software zu entfernen.

Energizer-Geräte betroffen. Energizer hat ein Problem in der Windows-Software seiner Akkuladegeräte Duo Charger/USB Charger festgestellt. Die Software soll eigentlich nichts anderes tun als den Ladezustand der AA-Akkus im Gerät am Rechner anzuzeigen, doch die Windows-Version hat offenbar eine Sicherheitslücke.

Organisation rudert nach Protesten zurück. Der US-Industrieverband CompTIA schränkt seine herstellerneutralen Zertifikate A+, Network+ und Security+ nachträglich auf drei Jahre ein. Bislang hieß es, die CompTIA-Zertifikate seien ein Leben lang gültig. Das sollte sich auch rückwirkend für bereits erworbene Zertifikate ändern, doch nach Protesten rudert CompTIA zurück.

Nutzer sollen auf kostenpflichtige Verisign-Zertifikate umsteigen. Die Verisign-Tochter Thawte will ihr Angebot persönlicher E-Mail-Zertifikate samt dem Web of Trust zum 16. November 2009 einstellen. Die Server werden dann abgeschaltet, alle ausgestellten Zertifikate widerrufen.

Open-Source-Software soll auch DNS-Exploits vorbeugen. Forscher der Carnegie Mellon Universität haben eine Erweiterung für den Firefox-Browser entwickelt, die den Anwender vor sogenannten Man-in-the-Middle-Attacken schützt. "Perspectives" überprüft dazu, ob der Schlüssel der Gegenseite korrekt ist. So wissen Nutzer auch, ob sie einer Verbindung vertrauen können, wenn der Server ein selbst signiertes Zertifikat verwendet.

Auch Organisationen werden über wichtige Sicherheitsthemen vorab informiert. Microsofts Sicherheitsinitiative Security Cooperation Program (SCP) gilt nicht mehr nur für Regierungen, sondern auch für Sicherheitsinstitutionen. So erhalten künftig Computer Emergency Response Teams (CERTs) oder ähnliche Einrichtungen vorab Informationen zu wichtigen Sicherheitsthemen.

BSI betreibt Bürger-CERT zusammen mit der Bitkom-Tochter Mcert. Bürger hatten bislang kaum eine Möglichkeit, unabhängige Informationen von Experten zu Würmern, Viren und Softwarelücken im Internet zu finden. Mit dem Bürger-CERT will das Bundesamt für Sicherheit in der Informationstechnik (BSI) Abhilfe schaffen.

Längere Laufzeit soll Administrationskosten senken. VeriSign will künftig auch SSL-Zertifikate mit einer Laufzeit von drei Jahren anbieten. Ab Mai 2005 sollen die Zertifikate für Unternehmen erhältlich sein und helfen, Kosten für Administration und Verteilung zu senken.

LPIC-Prüfungssimulation in deutscher Sprache. Unter der Domain lpi-test.de steht jetzt eine deutschsprachige Online-Testsimulation zur Vorbereitung auf die Linux-Zertifizierung das Linux Professional Institute (LPI) bereit. Das Projekt wurde von der Community-Website LPI-Forum.de initiiert.

StartCom will Millionengeschäft mit SSL-Zertifikaten ein Ende machen. Der Linux-Distributor StartCom hat mit dem "StartCom Free SSL Certificate Project" begonnen, kostenlose SSL-Zertifikate auszugeben. Man wolle mit Mythen von sicheren und vertrauenswürdigen Websites aufräumen, heißt es zur Begründung des Projekts. Andere, darunter der CCC, bieten Vergleichbares bereits seit Jahren an, ebenfalls kostenlos.

Australier gründeten nichtkommerzielle Zertifikat-Vergabestelle. Im Rahmen der USENIX'04-Konferenz (Boston, USA, 27. Juni - 2. Juli 2004) sagte die australische Nonprofit-Organisation CAcert Inc Anbietern von oft teuren, aber zur Online-Authentifizierung benötigten digitalen Zertifikaten auch in den USA den Kampf an. CAcert verteilt während und auch für eine Zeit nach der Konferenz kostenlos digitale Zertifikate, kann sich eigenen Angaben zufolge vor Interessenten kaum retten und hält Vorträge über die Funktionsweise von gemeinschaftlich und nonprofit betriebenen Zertifikat-Vergabestellen.

Schily: CERT für Bürger kommt 2004. Das bereits am 15. Mai 2003 angekündigte Projekt Mcert vom "Bundesverband Informationstechnologie, Telekommunikation und neue Medien e.V." (BITKOM), dem Bundesministerium des Innern (BMI) und des Bundesministeriums für Wirtschaft und Arbeit (BMWA) ist jetzt gestartet. Es soll dem deutschen Mittelstand vorbeugenden Schutz gegen Bedrohungen von IT-Systemen bieten und so die Sicherheit im Internet verbessern.

Sicherheitszertifikat nach Common Criteria für SuSE Linux Enterprise Server 8. SuSE und IBM haben heute das Common-Criteria-Sicherheitszertifikat der Sicherheitsstufe EAL2+ (Evaluation Assurance Level 2+) für den SuSE Linux Enterprise Server 8 auf IBM eServer xSeries erhalten. Eine Zertifizierung nach dem höheren Sicherheitslevel EAL3+ zusammen mit den Anforderungen des Controlled Access Protection Profile (CAPP) für die gesamte IBM eServer Produktlinie wurde bereits beantragt. Damit soll Linux der Weg zu einem breiteren Einsatz bei Regierungen und in unternehmenskritischen Umgebungen geebnet werden.

Mcert soll Mittelstand mit Sicherheitsinformationen versorgen. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) hat zusammen mit dem Bundesinnenministerium und dem Bundeswirtschaftsministerium ein IT-Notfallzentrum für den Mittelstand gegründet. In Form einer Private Public Partnerschaft wird das Projekt von einer Reihe von Unternehmen finanziell unterstützt. Dazu zählen Datev, Deutsche Telekom, Giesecke & Devrient, Microsoft, PSINet, SAP und Symantec.

Modifizierte Version von Sendmail aufgetaucht. Das CERT Coordination Center warnt vor einem trojanischen Pferd in Kopien der MTA-Software Sendmail. Einige Pakete der Software seien modifiziert und in Umlauf gebracht worden, so das CERT.

Das Rastern von Schriften kann zum Einfrieren des X-Servers führen. Laut einer Meldung des RUS-CERT (Rechenzentrum der Universität Stuttgart) kann das Rastern von Schriften zum Einfrieren der grafischen Unix-Oberfläche, des X-Servers, führen. Unter bestimmten Voraussetzungen kann es zu X-Server- oder gar Systemabstürzen kommen.

Zahlreiche Produkte verschiedener Hersteller betroffen. Wie das CERT jüngst berichtet, wurden einige Sicherheitslöcher im Network Management Protocol (SNMP) entdeckt, die es Angreifern unter anderem erlauben, Denial-of-Service-(DoS-)Attacken auszuführen oder unberechtigt auf Daten zuzugreifen. Die Sicherheitslücken sollen zahlreiche Produkte verschiedener Hersteller betreffen.

Krypto- und Sicherheitsexperte Bruce Schneier über Microsoft und die Sicherheit. Aufregung in der IT-Security-Gemeinde: Scott Culp, Manager des Microsoft Security Response Team, forderte in einem langen offenen Brief, die "Information Anarchy" künftig zu beenden und stattdessen nur noch nach Absprache unter verschiedenen Unternehmen Sicherheitslücken zu veröffentlichen. Der renommierte Krypto- und Sicherheitsexperte Bruce Schneier antwortete auf Fragen von Golem.de.

Cert-Verbund soll Kommunikation zwischen den Experten verbessern. Die Bundesregierung plant angeblich ein nationales Frühwarnsystem gegen Angriffe aus dem Internet, das berichtet das Handelsblatt. Ziel sei es, mit dem System nicht nur Behörden, sondern auch Unternehmen zu schützen.

ISC BIND Version 4.9.x und 8.2.x betroffen. Das Computer Emergeny Response Team (CERT) warnt vor Fehlern im DNS-Server des Internet Software Consortiums (ISC), dem Berkeley Internet Name Domain (BIND). Ein Patch steht bereit.

Verbandunabhängige Zertifizierung für Weiterbildungseinrichtungen. Der Deutsche Multimedia Verband (dmmv) als mitgliederstärkste Interessensvertretung der New Economy zertifiziert ab sofort internet-/multimediarelevante Weiterbildungskurse. Erstmalig wird eine mit den Unternehmen der New Economy (Inhalteanbieter, Dienstleister, Softwareunternehmen und ISP) abgestimmte Zertifizierung angeboten, um so dem Fachkräftemangel mit einer qualifizierten Weiterbildung zu begegnen.

Browser warnt vor der Deutschen Bank 24. Onlinekunden der Deutschen Bank 24 erwartete heute eine besondere Überraschung. Statt des normalen Login-Fensters wartete das Online-Banking-System mit der Meldung auf, das Sicherheitszertifikat sei abgelaufen. Bei dem Online-Banking-System kommt ein SSL-Zertifikat von VeriSign zum Einsatz, dessen Gültigkeit auf den Zeitraum vom 13. Juli 1999 bis zum 13. Juli 2000 beschränkt ist. Da dieses nicht erneuert wurde, warnt der Browser nun Benutzer vor dem ungültigen Zertifikat.

Wie gut ist der eigene Shop wirklich? Das unabhängige Zertifizierungsunternehmen für E-Commerce, Clicksure, will durch unabhängige und umfassende Prüfung von Anbietern Vertrauen und Sicherheit im E-Commerce schaffen. Bis zum 31. Juli 2000 können Shopanbieter ihre Shops einer kostenlosen Kurzprüfung unterziehen lassen.

ID-PRO AG wird deutschlandweit Red-Hat-Trainings anbieten. Red Hat und ID-PRO haben eine weitreichende Kooperation für Linux-Training und -Zertifizierung vereinbart, wie die Sprecher beider Unternehmen am Mittwoch mitteilten. Die ID-PRO Training GmbH, eine hundertprozentige Tochter der ID-PRO AG, wird die offiziellen Red-Hat-Kurse, vom Einsteigerseminar bis zur autorisierten Ausbildung zum Red Hat Certified Engeneer (RHCE), bundesweit anbieten.

Beglaubigte Firmen- und Benutzerdaten für sicheren E-Commerce. Die SAP AG kündigte ein Trust Center für mySAP.com an, das neben virtuellen Marktplätzen und personalisierbaren Arbeitsoberflächen auch Branchenlösungen für die elektronische Geschäftsabwicklung bieten soll.

Sicher und zertifiziert in die IT-Zukunft. Auch in Deutschlands Unternehmen wächst die Angst vor illegaler Datenbeschaffung, Sabotage im Internet und Computerkriminalität. Nun wollen die Unternehmen TÜV Rheinland/Berlin-Brandenburg und die data protect GmbH gemeinsam den Kampf gegen Datensaboteure angehen.