Apple überträgt Downloads von Anwendungen und Medien ohne SSL. Das sei so beabsichtigt, sagt der Konzern – und schloss einen entsprechenden Fehlerbericht.

Unser neues Sonderheft ist für alle, die sich mit IT-Technik auskennen und deshalb in der Familie, ehrenamtlich oder bezahlt im Büro als Admin einspringen.

Das c’t-Sonderheft unterstützt Gelegenheits-Admins beim Verwalten und im Umgang mit Netzwerktechnik, Servern und PCs im Small-Office und Home-Office (SOHO).

Immer mehr Admins verschlüsseln ihre Webseiten und greifen dabei zu Kostenlos-Zertifikaten von Let's Encrypt. Die Community-CA stellt nun mehr als die Hälfte aller Zertifikate für öffentlich erreichbare Webseiten.

Viele Apps funken mehr Daten nach Hause als nötig, welche das sind, ist für den Nutzer kaum ersichtlich. Wir zeigen, wie Sie mit Hilfe eines Web-Proxys Einblick in die Datenverbindungen ihrer iOS- und macOS-Apps erhalten – und dadurch auch Schnüffel-Apps aufspüren.

Viele Kunden von Trustico bekommen derzeit Mails, dass einige Zertifikate von Webseiten bald ungültig sind. Die Geschichte dahinter lässt Zweifel an der Vertrauenswürdigkeit des SSL-Resellers aufkommen.

Google missbraucht den Chrome-Browser für einen Rachefeldzug gegen Symantec. So sieht heise-online-Redakteur Fabian Scherschel die Google-Entscheidung, den Symantec-SSL-Zertifikaten kollektiv das Vertrauen zu entziehen.

Vollautomatische und kostenfreie Let's-Encrypt-Zertifikate für jedes Gerät: Ein Start-up überrollt die kostenpflichtige Konkurrenz der SSL/TLS-Zertifikat-Anbieter.

Die OpenSSL-Entwickler wollen ihre Kryptobibliothek, die immer noch große Teile des Internet-Traffics absichert, ab sofort nur noch Dienstags patchen. Ausnahmen bestätigen allerdings die Regel.

Verschiedene Netzwerkausrüster zeigen, welche Geräte verwundbar sind und für welche Produkte Sicherheitsupdates bereitstehen.

Firewalls, Load-Balancer und andere BIG-IP-Systeme sind anfällig für einen Angriff, bei dem dritte den verschlüsselten SSL-Traffic zwischen Client und Appliance abhören können. Admins, die solche Systeme im Einsatz haben sollten schnell handeln.

Fehler beim Aufbrechen von TLS-Verbindungen bei Fortinet-Geräten erlauben es Angreifern, beliebige Informationen in gesicherte Verbindungen einzuschleusen. Ähnliche Angriffe sind bereits seit acht Jahren bekannt.

Heute um 11 Uhr fasst heisec-Chefredakteur Jürgen Schmidt zusammen, was Admins derzeit über TLS wissen sollten: von CAA über HPKP bis hin zu TLS 1.3. Das alles kompakt in einer Stunde, ohne Marketing und mit ausreichend Zeit für Fragen.

Don't Use Hardcoded Keys: Mehr als 25.000 übers Internet erreichbare Fortinet-Geräte sind anfällig für passive Lauschangriffe gegen verschlüsselte Verbindungen. Verantwortlich ist fehlender Zufall.

Zwar steckt der Dienst noch in der Betaphase, in der App Engine neu erstellte Domänen werden jedoch zukünftig alle mit SSL-Zertifikat zur verschlüsselten Kommunikation ausgestattet. Außerdem ist die Admin-API fertig.

Wenn es zu Verbindungsfehlern kommt, sucht der Anwender oft die Schuld bei der Gegenstelle, also dem angewählten Server. Doch manchmal funken auch Antiviren-Programm und Firewalls dazwischen. Chrome soll das künftig anzeigen.

Geht es nach den Entwicklern, wird Debian Buster nur noch TLS 1.2 unterstützen. Rechner, die nur TLS 1.0 oder 1.1 beherrschen, könnten dann mit diesen Systemen nicht mehr sicher sprechen. Momentan unterstützen fast alle Webserver nach wie vor TLS 1.0.

Symantec hängt seinen Job als Certificate Authority (CA) an den Nagel. Der Konkurrent DigiCert übernimmt die Sparte für 950 Millionen US-Dollar plus Unternehmensanteilen. Das liegt wohl auch an Symantecs lang währender Auseinandersetzung mit Google.

Kunden des Hosters, die auf Mail- oder Web-Dienste des Anbieters zugreifen wollen, sind in der Klemme: Das Server-Zertifikat ist abgelaufen, sodass Mail-Clients und Web-Browser Verbindungen verweigern.

Die noch für diesen Monat angekündigte Beta-Version von Chrome soll den von StartCom und WoSign ausgestellten Zertifikaten nicht mehr vertrauen.

Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

Let's Encrypt ist weiterhin auf Wachstumskurs und hat einen neuen Meilenstein erreicht.

Ein Plug-In für den Texteditor Vim zeigt in Konfigurationsdateien SSL-Cypher-Suiten an, die gefährlich sind. Das kann fatale Fehlkonfigurationen verhindern.

Kunden der Deutschen Bahn können im ICE nun auch wieder mit Paypal bezahlen. Die Bahn hat eine DNS-Fehlkonfiguration behoben, die zuvor zu merkwürdigen Fehlermeldungen geführt hatte.

Am 19. Mai fiel der Zertifizierungsdienst von Let's Encrypt aus. Hintergrund war ein Encoding-Problem, das letztlich zu einem selbstverschuldeten Denial-of-Service führte.