Thema
SSL
Einbruch ins Allerheiligste 
Jüngste Fälschungen von Sicherheitszertifikaten für Internetseiten zeigen: Die gängigen Schutzmechanismen für den Geschäftsverkehr im Web reichen nicht aus – Firmen müssen sensible Daten besonders sichern.
Die Krypto-Vorlieben der Browser
Ein Dienst der Forschungsgruppe DCSec der Uni Hannover zeigt, welche Kryptoverfahren die Browser bevorzugen. Das Ergebnis: Keiner mag RC4 - trotzdem machen es alle.
Erneuter Krypto-Angriff auf SSL/TLS-Verschlüsselung
Der vorgestellte Angriff auf das häufig eingesetzte Verschlüsselungsverfahren RC4 ist zwar noch nicht wirklich praktikabel, erschüttert aber das Fundament für sichere Internet-Verbindungen.
lost+found: SSL, Jailbreak und Retro-Feeling
Heute mit: der bewegten Vergangenheit von SSL/TLS, einem UPnP-Exploit, analogem Rauschen, einem Blick hinter die Jailbreak-Kulissen, einem Gratis-Schmöker und Erinnerungen an den Internet Explorer 6.
Vollständige IPv6-Implementierung im neuen OpenVPN
Die gerade veröffentlichte, stabile Version 2.3.0 der SSL-VPN-Software OpenVPN beherrscht nun vollständig das Internet Protocol Version 6 (IPv6).
Fatale Panne bei Zertifikatsherausgeber Türktrust
Zwei für Kunden ausgestellte SSL-Zertifikate eigneten sich dazu, Zertifikate für beliebige Domains auszustellen. Mit einem der beiden wurde ein Wildcard-Zertifikat für Google.com erzeugt.
29C3: "Das SSL-System ist grundlegend defekt - und jemand muss es reparieren"
Nach den Vorfällen um den Zertifikats-Anbieter Diginotar plant die EU-Kommission durch eine Regulierung das Vertrauen in die Verschlüsselung wieder herzustellen. Doch die Regelung greife viel zu kurz, meint der Forscher Axel Arnbak auf dem 29C3.
Yahoo: kein HTTPS, dafür eine Fülle an XSS-Lücken
Eine neue Cross-Site-Scripting-Lücke (XSS) bei Yahoo ist für sich genommen nichts Ungewöhnliches, doch fehlendes HTTPS und eine Fülle an XSS-Lücken lassen aufhorchen: Yahoo fällt in Sachen Sicherheit gegenüber der Konkurrenz zurück.
HTTP Strict Transport Security als Internet-Standard
Das neue RFC 6797 beschreibt die HTTPS-Sicherung HTTP Strict Transport Security (HSTS), das Angriffe auf verschlüsselte HTTP-Verbindungen erschwert. Gegen einige der im RFC beschriebenen Attacken braucht es aber trotz HSTS noch weitere Maßnahmen.
Facebook setzt auf HTTPS für alle Nutzer
Twitter, Gmail und Hotmail haben es vorgemacht, Facebook folgt jetzt: HTTPS wird Standard.
Studie: Informationen trotz SSL-Verschlüsselung nicht sicher
Mit einer seit Jahren bekannten Angriffstechnik kann man die SSL-Verschlüsselung im Browser austricksen. Wie eine Untersuchung zeigt, setzt kaum jemand den ebenfalls bekannten Schutzmechanismus ein. Auch unterstützen diesen nicht alle aktuellen Browser.
Burp-Proxy macht SSL-Verbindungen von Android auf
Mit Version 1.5 hat PortSwigger seinem kostenlosen Netzwerkanalyse-Werkzeugkasten einige neue Tricks beigebracht, die bislang nur die kostenpflichtige Version kannte.
SSL-Zertifikate und "der gefährlichste Code der Welt"
Amerikanische Forscher haben bei vielen Programmen mit Verschlüsselung Schwachstellen ausgemacht, die die übertragenen Daten massiv gefährden. Verantwortlich dafür seien vor allem schlechte Bibliotheken.
Verschlüsselung bei vielen Android-Apps mangelhaft
Bei zu vielen Apps konnten Forscher die Verschlüsselung des Netzwerkverkehrs knacken und erbeuteten dabei unter anderem Bank- und Kreditkartendaten.
Lücke in SSL-Verschlüsselung kaum ausnutzbar
Experten haben ein Problem bei der im Web üblichen SSL-Verschlüsselung ausgemacht, das auftritt, wenn der Inhalt zuvor komprimiert wurde. Zum Glück haben die betroffenen Browser-Hersteller bereits reagiert.
Neuer Burp-Proxy knackt auch Android-SSL
Die neue Version des Burp-Proxies enthält vor allem einen Workaround für ein Problem, das bislang das Analysieren von verschlüsselten SSL-Verbindungen von Android-Handys verhinderte.
SSL Pulse protokolliert Sicherheit von Webseiten
Ein unabhängiges Projekt bereitet den sicherheitstechnischen Zustand der wichtigsten Websites im Netz grafisch auf. Das soll die Aufmerksamkeit von Entwicklern erhöhen und so zu sichereren SSL-Implementierungen führen.
Chrome warnt vor gültigen SSL-Zertifikaten
Wenn der Browser beim Besuch der HTTPS-Ausgabe von Google oder Facebook eine Zertifikatswarnung anzeigt, ist das nicht zwangsläufig die Folge eines Angriffs.
Google schaltet SSL bei Suchen weltweit ein
Nach einer mehrmonatigen Versuchsphase in den USA schaltet Google nun nach und nach SSL-Verschlüsselung für die Suche in allen seinen weltweiten Domains ein. Voreingestellt ist die Funktion jedoch nur für angemeldete Nutzer.
HTTPS Everywhere jetzt auch für Chrome
HTTPS Everywhere forciert jetzt auch unter Google Chrome verschlüsselte Verbindungen, sofern der Webserver sie anbietet.
Mozilla geht gegen Aussteller von Man-in-the-Middle-Zertifikaten vor
Die Mozilla Foundation verlangt von Certification Authorities, alle für Dritte ausgestellten CA-Unterzertifikate zurückzuziehen, die zum Abhören verschlüsselter Verbindungen benutzt werden können.
RSA-Schlüssel nicht so zufällig wie wünschenswert
Ein Team von Krypto-Spezialisten hat über 10 Millionen Public Keys untersucht und bei einigen der eingesammelten X.509-Zertifikate ernsthafte Probleme entdeckt; über 12.000 ließen sich sogar einfach knacken.
Twitter verschlüsselt standardmäßig
Ab sofort aktiviert Twitter die im März 2011 eingeführte Option "Nur HTTPS" standardmäßig für alle Nutzer. Damit werden Daten zwischen Browser und Twitter-Server SSL-verschlüsselt übertragen
Berichte: Iran kappt sichere Internet-Verbindungen
Wer im Iran E-Mails oder Webseiten von ausländischen Servern laden will, muss derzeit unsichere, abhörbare Verbindungen nutzen. Verschlüsselung mit SSL/TLS oder das anonymisierende Tor-Netzwerk lässt der Staat diversen Berichten zufolge stören.
Windows-Webserver mit Javascript, IPv6 und SSL
Der Webserver Personal Net 0.9 von cFos führt Javascript-Programme aus, verschlüsselt die Übertragung per SSL und versteht IPv6.
Mozilla erwägt Rauswurf der Trustwave CA
Wegen des von Trustwave ausgestellten Schnüffel-Zertifikats fordert ein Bug-Report nun die Entfernung des Herausgeber-Zertifikats aus allen Mozilla-Produkten.
Trustwave verkaufte Man-in-the-Middle-Zertifikat
Der Zertifikatsherausgeber Trustwave hat einer Firma ein CA-Zertifikat ausgestellt, mit dem sich diese selbst Zertifikate für beliebige Server wie Google ausstellen konnte, um damit den verschlüsselten Datenverkehr ihrer Mitarbeiter zu überwachen.
Google will Online-Zertifikats-Check abschaffen
Weil sie ohnehin nicht richtig funktionieren will Google die Online-Checks auf Gültigkeit von SSL-Zertifikaten in Chrome demnächst abschalten.
Der Diginotar-SSL-Gau und seine Folgen
Vor dem Potential für eine internationale Krise warnt der Leiter des Computernotfallteams des Bundes, während ein Vertreter der Zertifikatsherausgeber die neuen Minimalanforderungen präsentiert.
Netzzensur per SSL-Tunnel aushebeln
Wer Netzwerkbegrenzungen umgehen will, kann dafür Protokolle nutzen, die immer zur Verfügung stehen – etwa HTTPS. Ein SSL-Tunnel verbindet sich so zu einem speziell konfigurierten Apache-Webserver, der als externer Proxy Anfragen annimmt.
heise online Themen