DNS-Anfragen lassen sich leicht auslesen, nun versprechen DoH und DoT mehr Sicherheit. Wie sie sich unterscheiden, erklärt ein Artikel der aktuellen iX.

Wer seine Seite immer noch unverschlüsselt im Web anbietet, sollte dies schleunigst ändern: Demnächst markiert der Browser Chrome derartige Seiten als unsicher.

Der Chrome-Browser kennzeichnet HTTPS-verschlüsselte Webseiten mit einem grünen Vorhängeschloss. Dieser Hinweis soll bald wegfallen, denn das Netz sei "safe by default", findet Google.

Google hat mit .app eine neue Top-Level-Domain speziell für Apps vorgestellt. Sie soll Entwicklern ein sicheres "Zuhause im Internet" bieten. Die Besonderheit: HTTPS ist Pflicht.

Von 2997 verwendeten Domains der Bundesbehörden unterstützen 84,6 Prozent HTTPS, hat das Innenministerium mitgeteilt. Um die Informationssicherheit zu erhöhen, sollte überall im Web das SSL/TLS-Protokoll verwendet werden.

Ab Juli wird der Chrome-Browser alle unverschlüsselten HTTP-Webseiten deutlich als unsicher kennzeichnen. Googles Botschaft an Seitenbetreiber: Setzt endlich HTTPS ein!

Eine frühe Entwicklerversion von Firefox stuft HTTP-Webseiten als nicht vertraulich ein und warnt vor der Eingabe von Nutzerdaten – wenn man die Funktion aktiviert.

Sicherheitsforschern zufolge nutzen 2017 ein Viertel aller Phishing-Webseiten HTTPS, um Opfer effektiver zu ködern.

Verschlüsselte Verbindungen sind im Kommen: Bereits 71 der 100 meistbesuchten Webseiten setzen laut Google auf HTTPS. Gegenüber dem Vorjahr bedeutet das einen Anstieg um fast 50 Prozent.

Alle Security-Experten sind sich einig, dass der Standard TLS 1.3 ein deutlicher Schritt zu mehr Sicherheit im Internet wäre. Doch ausgerechnet Security-Devices, die Verschlüsselung aufbrechen, verhindern die Einführung auf nicht absehbare Zeit.

Im kommenden Jahr will die Zertifizierungsstelle Wildcard-Zertifikate zur Verfügung stellen.

Der aktuelle Widerrufs-Mechanismus für Zertifikate bringt nichts für die Sicherheit und verlangsamt das Surfen spürbar. Deshalb will ihn jetzt auch Mozilla abschalten. Der designierte Nachfolger hat kaum Verbreitung und eigene Probleme.

Kunden der Deutschen Bahn können im ICE nun auch wieder mit Paypal bezahlen. Die Bahn hat eine DNS-Fehlkonfiguration behoben, die zuvor zu merkwürdigen Fehlermeldungen geführt hatte.

Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.

Der Verzicht auf den Rückgriff auf ältere TLS-Versionen bei einem gescheiterten Handshake ist überfällig und dürfte nur wenige Anwendungen beeinträchtigen. Er sollte aber potenzielle Hintertüren verhindern.

Die Sex-Seiten Pornhub und YouPorn verschlüsseln ihre Inhalte mit HTTPS. Die Sicherheitsmaßnahme kommt zu einem Zeitpunkt, an dem gerade in den USA über die Privatsphäre im Netz gestritten wird.

Nur gutes Engineering wird in Zukunft die Vertraulichkeit im Netz verbessern, sagte Edward Snowden anlässlich der CeBIT. Die Internet Engineering Task Force steuert mit der Verschlüsselung auch „alter“ Webinhalte ein neues Stück Technik bei.

Viele Sicherheitsprodukte unterbrechen die Transport-Verschlüsselung von HTTPS-Seiten. Dabei kann so viel schief gehen, dass man selbst testen sollte, ob HTTPS trotzdem noch sicher ist, fordert das US-CERT.

Der Firefox-Browser warnt seit einiger Zeit vor Passwortfeldern, deren Inhalte unverschlüsselt an den Server übermittelt werden. Ein Admin will das allerdings nicht hinnehmen – seine Systeme seien sicher, seit über 15 Jahren.

300 Millionen Franken jährlich führen Schweizer Glücksspielbetreiber an die Schweizer Sozialversicherung ab, die Kantone erhalten 560 Millionen. Den Abfluss von Gewinnen an Online-Glückspielbetreiber will das Parlament verhindern, auch mit Netzsperren.

Forscher unter anderem von Google und Mozilla warnen vor den Problemen, die Sicherheitsprodukte verursachen, wenn sie verschlüsselte HTTPS-Verbindungen überwachen. Die Hersteller handelten dabei "fahrlässig".

Offenbar haben mehrere von Symantec betriebene Certificate Authorities (CAs) unberechtigterweise über 100 TLS-Zertifikate ausgestellt. Das kann ein Auslesen des Datenverkehrs von HTTPS-geschützten Websites durch Dritte ermöglichen.

Die Mobilversion von heise.de ist nun ebenfalls vollständig auf verschlüsselte Übertragung umgestellt.

Eigentlich sollten iPhone- und iPad-Apps ab Jahresende nicht mehr über ungesicherte HTTP-Verbindungen kommunizieren, nun hat Apple zusätzliche Zeit für die Umstellung eingeräumt.

In naher Zukunft sollen bestimmte WordPress-Bestandteile nur noch funktionieren, wenn die Transportverschlüsselung via SSL/TLS gewährleistet ist.

Projektbetreiber können die sichere Übertragung mit einem Klick in den Optionen aktivieren. Die alte Domain wird automatisch umgeleitet.

Ab Januar 2017 wird es ernst: die großen Browser werden ab dann richtige Fehlermeldungen anzeigen, wenn sie auf Zertifikate treffen, die eine Signatur mit SHA1 aufweisen. Die sind aber immer noch im Einsatz, wie ein Kurztest von heise Security zeigt.

Durch eine skurrile Lücke konnte man sich bei Comodo gültige SSL-Zertifikate für fremde Domains ausstellen lassen. Die CA hatte an einer kritischen Stelle einer Texterkennungs-Software (OCR) vertraut – welche sich allerdings reproduzierbar verlesen hat.