IT-News SSL

Sicherheit (Bild: Shutterstock)

Malware kommt immer häufiger SSL-verschlüselt

SSL-basierte Malware folgt dem Trend, immer mehr Datenverkehr im Internet zu verschlüsseln. Cyberkriminelle nutzen Verschlüsselung beispielsweise, um die Erkennung ihrer Malware zu erschweren. Zum Teil setzen sie sogar auf gültige SSL-Zertifikate von Gratis-Anbietern.

Open SSL Logo (Bild: OpenSSL Projekt)

Patch beseitigt gravierende Schwachstelle in OpenSSL

Ohne aufgespielten Patch ist ein Angreifer womöglich in der Lage, den privaten Teil eines Schlüssels auszuspionieren. Das betrifft jedoch nur Version 1.0.2. Der Patch kann aber die Leistung eines TLS-Servers negativ beeinflussen.

Mailbox.org (Bild: Mailbox.org)

E-Mail-Nutzer setzen zunehmend auf Verschlüsselung

Das geht aus einem Bericht von Mailbox.org hervor. Schon rund 86 Prozent aller Nachrichten konnte der Berliner E-Mail-Anbieter demnach über verschlüsselte Transportwege an andere Provider weiterleiten. Allerdings seien weniger als 60 Prozent der E-Mails anderer Anbieter bei Mailbox.org über chiffrierte Verbindungen eingegangen.

verschlüsselung-schlüssel

EC Elements automatisiert Beantragung von SSL-Zertifikaten per Schnittstelle

Wer SSL-Zertifikate zur Webseiten- und E-Mail-Verschlüsselung benötigt, muss nicht mehr das umständliche Prozedere von Beantragung und Rückbestätigung bei Zertifizierungsstellen durchlaufen. Eine Logik des Münchner Anbieters übernimmt alle Schritte. Die beantragten Zertifikate lassen sich auch kommerziell nutzen.

Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

Kostenlose SSL-Zertifikate werden für Phishing missbraucht

Die PSW Group aus Fulda hat darauf hingewiesen, dass Kriminelle aktuell vom Content Delivery Network CloudFlare vergebene, echte Zertifikate nutzen, um gefälschte Seiten vertrauenswürdiger erscheinen zu lassen. Die Phishing-Seite sieht der von PayPal täuschend ähnlich. PSW-Chef Heutger kritisiert aus diesem Anlass auch andere Dienste, die SSL-Zertifikate ohne umfangreichen Prüfung vergeben.

(Bild: Shutterstock/FuzzBones)

Lücke in SSL 3.0 wurde offenbar dem Nachfolger TLS vererbt

Unter Umständen nutzen auch mit TLS 1.x verschlüsselte Verbindungen noch eine Funktion von SSL 3.0. Das macht sie für den bei SSL 3.0 möglichen Cookie-Diebstahl ebenfalls anfällig. Sicherheitsanbieter Qualys schätzt, dass davon rund zehn Prozent aller Websites betroffen sind.

Google-Experten warnen vor gravierender Sicherheitslücke in SSL 3.0

Die Schwachstelle wird von ihnen als “Poodle” (Padding Oracle on Downgraded Legacy Encryption) bezeichnet. Sie erlaubt es Unbefugten, ein als “sicher” geltendes HTTP-Cookie zu stehlen. War das erfolgreich, kann der Angreifer in der digitalen Welt die Identität seines Opfers annehmen. Um sich zu schützen, sollten Nutzer SSL 3.0 in ihrem Browser deaktivieren.

apple-logo-schwarz (Bild: Apple)

Apple schließt gravierende SSL-Lücke nun auch in Mac OS

Um den gleichen Fehler in iOS hat sich der Hersteller schon vor einigen Tagen gekümmert. Nun behebt ihn das Update 10.9.2 auch bei OS X Mavericks. Sicherheitsexperten kritisieren die verzögerte Auslieferung des Patches für die SSL-Lücke im Desktop-Betriebssystem.

encryption-schloss-code-sicherheit (Bild: Shutterstock / photobank.kiev.ua)

Strato macht Standard-HTML automatisch zu sicherem https

Strato bietet jetzt verschiedene SSL-Sicherheitszertifikate an und erleichtert seinen Hosting-Kunden den Umgang mit der damit zertifizierten Verschlüsselung. Die Grundlage für https-Seiten ist ohne Installationsaufwand in wenigen Minuten einsatzbereit. Eine Funktion unterbindet den unverschlüsselten Aufruf von HTML-Seiten.

GlobalSign PKI-Absicherung

GlobalSign hilft bei SSL-Zertifizierungen per Webdienst

Der Anbieter stellt Administratoren per Internet nun alle Codes zusammen, die für Certificate Signing Requests (CSR) für https-Server notwendig sind. Die Befehlszeilen für Exchange 2007 und 2010, für OpenSSL oder Java Keytool erzeugt der Service dann automatisch. Nur Daten wie Domänennamen und Unternehmen muss der IT-Admin selbst eintippen.

Verschlüsselung (Bild: Shutterstock/Cousin_Avi)

SSL: Wie sicher ist das Verschlüsselungsprotokoll noch?

SSL-verschlüsselte Verbindungen standen jahrelang für sicheres Online-Banking und unbedenkliches Online-Shopping. Doch das am HTTPS-Link im Browser erkennbare Protokoll wird seit Edward Snowden und der NSA-Affäre verstärkt in Frage gestellt. ITespresso hat mit Verschlüsselungsexperten der Firma Steganos gesprochen und erklärt, wie sicher das fast 20 Jahre alte Verfahren noch ist.

Google Logo (Grafik: Google)

Google stellt SSL-Zertifikate auf 2048-Bit-Schlüssel um

Die bisher verwendeten 1024-Bit-Schlüssel gelten inzwischen als zu unsicher. Die Umstellung beginnt am 1. August und umfasst auch das Root-Zertifikat, mit dem alle anderen Zertifikate signiert werden. Sie soll bis Ende des Jahres abgeschlossen sein.

(Bild: shutterstock / FuzzBones)

OpenSSL ist angreifbar

Die offene Software für Chiffrierung in der http-Kommunikation ist ein wenig zu offen: Debian, Red Hats Fedora und IBMs Tivoli-Framework sind auf unterschiedliche Art von den Lücken betroffen.

SSL fehlerhaft: Android-Apps geben Nutzerdaten preis

Durch den Bug in der SSL-Implementierung sind Apps anfällig für Man-in-the-Middle-Angriffe. So lassen sich Anmeldedaten und Kreditkartendaten ausspähen. Laut Sicherheitsforschern der Leibniz-Universität Hannover und der Philipps-Universität Marburg lassen sich einer Antivirensoftware sogar gefälschte Definitionen unterschieben.

Google sucht ssl-verschlüsselt

Google stellt seine Suche auf verschlüsselte Verbindungen um – zumindest für eingeloggte Nutzer. Dadurch soll deren Privatspähre besser geschützt werden.

Microsoft verbessert Hotmail-Sicherheit

Um es Identitätsdieben schwerer zu machen, wird jetzt der gute alte Webmail-Dienst mit ein paar Features für eine sicherere Passworteingabe ausgerüstet.

Chrome 14 macht Ernst mit der sicheren Verbindung

Wer das HTTPS-Protokoll etwa zum Internet-Shopping oder Online-Banking nutzt, möchte sicher sein, dass es sich auch wirklich um eine sichere verschlüsselte Verbindung handelt. Genau das will Google schon bald bewerkstelligen.

Hotmail bekommt jetzt auch SSL-Verschlüsselung

Microsofts Webmaildienst nutzt bislang die Verschlüsselung mit HTTPS nur für die Login-Prozedur. War der Nutzer einmal drin im System, lief nach wie vor alles im Klartext über das Web. Nach Jahren hat Microsoft die Funktionalität jetzt eingefügt.

Google sucht verschlüsselt

Die Google-Suche lässt sich nun auch über eine SSL-gesicherte Verbindung ansteuern, um Suchanfragen und Suchergebnisse vor Dritten zu verbergen.