Zwar steckt der Dienst noch in der Betaphase, in der App Engine neu erstellte Domänen werden jedoch zukünftig alle mit SSL-Zertifikat zur verschlüsselten Kommunikation ausgestattet. Außerdem ist die Admin-API fertig.

• 15. September 2017, 11:31 Uhr
• 11 Kommentare
• Eine Meldung von: heise Developer

Wenn es zu Verbindungsfehlern kommt, sucht der Anwender oft die Schuld bei der Gegenstelle, also dem angewählten Server. Doch manchmal funken auch Antiviren-Programm und Firewalls dazwischen. Chrome soll das künftig anzeigen.

• 11. September 2017, 13:22 Uhr
• 53 Kommentare
• Eine Meldung von: heise security

Geht es nach den Entwicklern, wird Debian Buster nur noch TLS 1.2 unterstützen. Rechner, die nur TLS 1.0 oder 1.1 beherrschen, könnten dann mit diesen Systemen nicht mehr sicher sprechen. Momentan unterstützen fast alle Webserver nach wie vor TLS 1.0.

• 07. August 2017, 12:59 Uhr
• 138 Kommentare
• Eine Meldung von: heise security

Symantec hängt seinen Job als Certificate Authority (CA) an den Nagel. Der Konkurrent DigiCert übernimmt die Sparte für 950 Millionen US-Dollar plus Unternehmensanteilen. Das liegt wohl auch an Symantecs lang währender Auseinandersetzung mit Google.

• 04. August 2017, 16:38 Uhr
• 82 Kommentare
• Eine Meldung von: heise security

Kunden des Hosters, die auf Mail- oder Web-Dienste des Anbieters zugreifen wollen, sind in der Klemme: Das Server-Zertifikat ist abgelaufen, sodass Mail-Clients und Web-Browser Verbindungen verweigern.

• 14. Juli 2017, 12:06 Uhr
• 19 Kommentare
• Update

Die noch für diesen Monat angekündigte Beta-Version von Chrome soll den von StartCom und WoSign ausgestellten Zertifikaten nicht mehr vertrauen.

• 09. Juli 2017, 11:57 Uhr
• 116 Kommentare
• Eine Meldung von: heise security

Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

• 07. Juli 2017, 10:44 Uhr
• 108 Kommentare
• Eine Meldung von: heise security

Let's Encrypt ist weiterhin auf Wachstumskurs und hat einen neuen Meilenstein erreicht.

• 29. Juni 2017, 10:17 Uhr
• 130 Kommentare
• Update
• Eine Meldung von: heise security

Ein Plug-In für den Texteditor Vim zeigt in Konfigurationsdateien SSL-Cypher-Suiten an, die gefährlich sind. Das kann fatale Fehlkonfigurationen verhindern.

• 31. Mai 2017, 18:20 Uhr
• Eine Meldung von: heise security

Kunden der Deutschen Bahn können im ICE nun auch wieder mit Paypal bezahlen. Die Bahn hat eine DNS-Fehlkonfiguration behoben, die zuvor zu merkwürdigen Fehlermeldungen geführt hatte.

• 22. Mai 2017, 15:42 Uhr
• 51 Kommentare
• Eine Meldung von: heise security

Am 19. Mai fiel der Zertifizierungsdienst von Let's Encrypt aus. Hintergrund war ein Encoding-Problem, das letztlich zu einem selbstverschuldeten Denial-of-Service führte.

• 21. Mai 2017, 13:51 Uhr
• 118 Kommentare

Das kostenlose Funknetz der Bahn verhindert eine gesicherte Verbindung zum Bezahldienstleister PayPal und liefert dabei ein dubioses Zertifikat. Andere HTTPS-Verbindungen sind anscheinend nicht betroffen.

• 19. Mai 2017, 14:09 Uhr
• 165 Kommentare
• Update
• Eine Meldung von: heise security

Man-in-the-Middle-Angriffe bei verschiedenen iPhone- und iPad-Anwendungen, darunter auch Online-Banking-Apps, sind laut einem Sicherheits-Experten immer noch möglich – obwohl das Problem seit Monaten bekannt iat.

• 05. Mai 2017, 15:32 Uhr
• 8 Kommentare
• Eine Meldung von: Mac & i

Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

• 28. April 2017, 15:24 Uhr
• 20 Kommentare
• Update
• Eine Meldung von: Mac & i

Die Kryptobibliothek OpenSSL soll eine moderne Open-Source-Lizenz erhalten und bittet die Entwickler um Zustimmung. Die fühlen sich jedoch überrumpelt und sehen in dem Wechsel nicht nur Vorteile.

• 25. März 2017, 17:12 Uhr
• 134 Kommentare

Der Firefox-Browser warnt seit einiger Zeit vor Passwortfeldern, deren Inhalte unverschlüsselt an den Server übermittelt werden. Ein Admin will das allerdings nicht hinnehmen – seine Systeme seien sicher, seit über 15 Jahren.

• 21. März 2017, 11:56 Uhr
• 1034 Kommentare
• Eine Meldung von: heise security

Forscher unter anderem von Google und Mozilla warnen vor den Problemen, die Sicherheitsprodukte verursachen, wenn sie verschlüsselte HTTPS-Verbindungen überwachen. Die Hersteller handelten dabei "fahrlässig".

• 08. Februar 2017, 16:43 Uhr
• 460 Kommentare
• Update
• Eine Meldung von: heise security

Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

• 31. Januar 2017, 11:17 Uhr
• Eine Meldung von: heise security

Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.

• 23. Januar 2017, 15:16 Uhr
• 115 Kommentare
• Eine Meldung von: heise security

Offenbar haben mehrere von Symantec betriebene Certificate Authorities (CAs) unberechtigterweise über 100 TLS-Zertifikate ausgestellt. Das kann ein Auslesen des Datenverkehrs von HTTPS-geschützten Websites durch Dritte ermöglichen.

• 21. Januar 2017, 15:08 Uhr
• 129 Kommentare
• Update

Das heise Events-Webinar erklärt den Start eines sicheren Webservers inklusive SSL. Es richtet sich an IT-Verantwortliche in kleinen und mittleren Unternehmen, die keine eigene IT-Abteilung haben.

• 18. Januar 2017, 09:42 Uhr

Der Schreck der Antiviren-Hersteller hat wieder zugeschlagen: Google-Forscher Tavis Ormandy hat diesmal Schwächen im Umgang mit SSL-Zertifikaten bei Kaspersky aufgedeckt. Und das nicht zum ersten Mal.

• 04. Januar 2017, 15:35 Uhr
• 91 Kommentare
• Eine Meldung von: heise security

In naher Zukunft sollen bestimmte WordPress-Bestandteile nur noch funktionieren, wenn die Transportverschlüsselung via SSL/TLS gewährleistet ist.

• 02. Dezember 2016, 14:33 Uhr
• 33 Kommentare
• Eine Meldung von: heise security

Das ca. 60-minütige heise Events-Webinar richtet sich an IT-Verantwortliche in kleinen und mittleren Unternehmen, die keine größere IT-Abteilung haben und mit eng bemessenen Ressourcen temporäre Projekte starten oder testen müssen.

• 17. November 2016, 13:44 Uhr

Ab Januar 2017 wird es ernst: die großen Browser werden ab dann richtige Fehlermeldungen anzeigen, wenn sie auf Zertifikate treffen, die eine Signatur mit SHA1 aufweisen. Die sind aber immer noch im Einsatz, wie ein Kurztest von heise Security zeigt.

• 09. November 2016, 12:32 Uhr
• 92 Kommentare
• Eine Meldung von: heise security

Das OpenSSL-Team hat eine neue Version angekündigt, in der sie mehrere Schwachstellen geschlossen haben.

• 08. November 2016, 13:45 Uhr
• Eine Meldung von: heise security

Am 16. November gibt es eine neue Ausgabe des TLS/SSL-Beratungs-Webinars von heise Security. Auf der Agenda steht neben Basics und Erweiterungen auch die bevorstehende Version TLS 1.3.

• 02. November 2016, 11:21 Uhr
• 3 Kommentare

Google trommelt seit Jahren für mehr Transparenz bei den Certificate Authorities. Jetzt wollen die Macher des Chrome-Browsers CAs mit Gewalt auf die Praxis der Certificate Transparency verpflichten.

• 31. Oktober 2016, 14:16 Uhr
• 46 Kommentare
• Eine Meldung von: heise security

Durch eine skurrile Lücke konnte man sich bei Comodo gültige SSL-Zertifikate für fremde Domains ausstellen lassen. Die CA hatte an einer kritischen Stelle einer Texterkennungs-Software (OCR) vertraut – welche sich allerdings reproduzierbar verlesen hat.

• 19. Oktober 2016, 16:19 Uhr
• 75 Kommentare
• Eine Meldung von: heise security