Autor Thema: SSL-Zertifikate / SSL/TLS-Protokoll  (Gelesen 7445 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Poodle: So funktioniert der Angriff auf die Verschlüsselung
« Antwort #60 am: 15 Oktober, 2014, 21:50 »
Ein Poodle-Angriff passiert in zwei Stufen: Zunächst erzwingt der Angreifer durch gezielte Manipulation des Verbindungsaufbaus einen Verbindung nach dem Protokollstandard SSLv3. Dann nutzt er dessen Schwächen aus, um Teile der ausgetauschten Daten zu dechiffrieren

Der Poodle-Angriff richtet sich gegen verschlüsselte Internet-Verbindungen; der Angreifer muss sich dazu grundsätzlich in der Position eines Man in the Middle (MitM) befinden, bei dem alle Netzwerk-Pakete vorbei kommen. Das kann also die NSA mit einem entsprechenden Zugang am Internet-Knoten oder die nette junge Frau mit dem Laptop am Tisch nebenan sein, die ins gleiche WLAN eingebucht ist, wie Sie. Das Erzwingen von SSLv3 funktioniert deshalb, weil nahezu alle Server und Clients das noch als Fallback unterstützen und sich von der Gegenstelle darauf herunter handeln lassen.Verweigert eine der beiden Seiten den Einsatz von SSLv3, ist der Angriff nicht möglich.

Außerdem muss der Angreifer Script-Code auf dem Gerät des Opfers ausführen können. Den kann er als MitM etwa in eine unverschlüsselte Web-Seite einbauen, die der Anwender gerade öffnet. Er ist allerdings dann darauf angewiesen, dass der auch tatsächlich ausgeführt wird. Das dürfte bei den meisten Browsern der Fall sein; bei einem Mail-Programm oder dem Twitter-Client des Smartphones jedoch eher nicht.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline Hans Vader

  • Ich bin der Kaiser von Romulanien ;-)
  • Mega-Cubie
  • ****
  • Beiträge: 174
Wie man den Poodle zähmt
« Antwort #61 am: 17 Oktober, 2014, 20:56 »
Hier eine schöne Erklärung um den Poodle los zu werden :

7zvQw
Lenovo Ultrabook , Ubuntu "Trusty Tahr" /x64, Windows 8.1/x64,

Hauseigenes IP - TV via LinuxVDR
(Intel Celeron Basis ,  2 * Technotrend C-1501 DVB-C
Lubuntu 14.04 x64) ,Streamdev - Plugin , Vnsi - Server -Plugin‎

Banana PI Basis , Tevii S660 TV - USB
Lubuntu 14.04 / Arm , Streamdev - Plugin)

Intel 4770K, NVIDIA GTX 660 , 16 GB DDR3 1600 MHZ, 2* 4 TB HD, 1* 256GB SSD,  1* 128GB SSD, Samsung 28" Ultra - HD-Monitor,
Windoze 7 /x64, Ubuntu 14.04 /x64

Samsung Galaxy Note 3 Lollipop (Aua Zahn ...)

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
SSL-Verschlüsselung: Noch viel Arbeit für Mail-Provider und Banken
« Antwort #62 am: 21 Oktober, 2014, 19:38 »
heise Security hat getestet und festgestellt, dass einige Mail-Provider bereits auf die jüngsten Angriffe auf Verschlüsselung reagiert haben – aber längst nicht alle. Schlimmer noch sieht es bei den Servern für das Online-Banking via HBCI aus.

Zunächst die gute Nachricht: Ein Kurztest von heise Security zeigte, dass mittlerweile fast alle Mail-Provider nachgebessert haben und die mehrfach angemahnte Perfect Forward Secrecy auf ihre Webmail- und IMAP-Servern anbieten. Also alle getesteten außer Apple und Arcor. Weniger gut sieht die Situation bei dem gerade durch den Poodle-Angriff in Verruf geratenen SSLv3-Standard aus.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Kaspersky-Schutzsoftware senkt Sicherheit von SSL-Verbindungen
« Antwort #63 am: 08 Dezember, 2014, 15:34 »
Wer die Kaspersky-Funktion "Sichere Verbindungen untersuchen" aktiviert, macht sein System potenziell für den Poodle-Angriff auf SSLv3 anfällig.

Die Schutz-Software Kaspersky Internet Security sorgt dafür, dass der Rechner unter Umständen für den Poodle-Angriff auf SSL-verschlüsselte Verbindungen anfällig ist – und zwar auch dann, wenn man das betroffene SSLv3-Protokoll explizit im Browser deaktiviert hat. Dies hat unser Leser Claus Berghammer gemeldet, heise Security konnte das Problem nachvollziehen.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Gefälschte SSL-Zertifikate auf Reiseflughöhe
« Antwort #64 am: 06 Januar, 2015, 16:50 »
Eine Google-Mitarbeiterin hat den In-Flight-Internetdienst Gogo dabei erwischt, wie er ihr ein gefälschtes SSL-Zertifikat untergeschoben hat. Gogo behauptet, die Maßnahme werde angewendet, um Video-Streaming über den Wolken unter Kontrolle zu halten.


Eine Google-Sicherheitsforscherin hat auf einem Flug entdeckt, dass der In-Flight-Internetdienst Gogo gefälschte SSL-Zertifikate für bestimmte Webseiten verteilt. Beim Aufrufen von YouTube bekam sie ein Zertifikat ausgehändigt, das nicht von Googles CA sondern von Gogo ausgestellt wurde. Gogo wird von vielen US-Airlines verwendet, um Internet auf Langstreckenflügen zur Verfügung zu stellen.

Mit einem Man-in-the-Middle-Angriff wie ihn die Google-Forscherin beobachtete, kann der Anbieter den eigentlich als sicher geltenden HTTPS-Datenverkehr mitschreiben. Gogo-Technikchef Anand Chari sagte gegenüber US-Magazin Fast Company, man wende die Technik an, um Video-Streaming zu drosseln oder zu blocken – Nutzerdaten würden nicht gespeichert. Allerdings brüstete sich der Gogo-Ableger Aircell bereits 2009 damit, dass der Dienst mehr Informationen an Strafverfolgungsbehörden weitergeben kann, als vom Gesetz verlangt wird.

SSL bereitet logistische Probleme

SSL/TLS-Traffic stellt viele Anbieter von Internetdiensten in Flugzeugen vor Probleme, da sich diese Art von Daten nur schwer untersuchen lassen und schlecht zwischenzuspeichern ist. Auf Grund der begrenzten Bandbreite bei In-Flight-Internet cachen die Dienste in der Regel so viele Inhalte wie möglich. Ein Video, dass einmal im Zwischenspeicher an Bord liegt, muss nicht mehrmals über die schmale Bandbreite der Satelliten-Antenne geschoben werden.

Andere Anbieter von In-Flight-Internet blocken HTTPS-Verbindungen von Grund auf. Eine solche Lösung ist für Nutzer sicherlich störender, da bestimmte Seiten, die ausschließlich SSL-Verbindungen akzeptieren, dann nicht mehr funktionieren.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Online-Betrüger missbrauchen SSL-Zertifizierungsstellen, um sich Zertifikate für Phishing-Seiten ausstellen zu lassen, warnen Sicherheitsforscher. Schuld daran seien laxe Richtlinien der Zertifizierer.

In einem Beobachtungszeitraum von einem Monat haben sich Online-Betrüger hunderte Zertifikate für Phishing-Seiten von SSL-Zertifikatsstellen wie etwa Comodo und Symantec ausstellen lassen. Phishing-Seiten wie zum Beispiel banskfamerica.com oder itunes-security.net sollen mit den Zertifikaten vertrauenswürdiger wirken. Davor warnen die Sicherheitsforscher von Netcraft.

Schuld daran seien laxe Richtlinien der SSL-Zertifikatsstellen. In vielen Fällen müssen Betrüger nur nachweisen, dass sie die Kontrolle über eine Domain haben. Postwendend erhalten sie innerhalb weniger Minuten ein Zertifikat, erläutern die Sicherheitsforscher.

Auch die kostenlosen 90-Tage-Test-Zertifikate von Comodo seien bei Betrügern beliebt. Strenger bei der Ausstellung von SSL-Zertifikaten sind Netcraft zufolge Digicert und Entrust, da diese umfangreichere Richtlinien an den Tag legen.

Cloudflare beliebt bei Online-Betrügern

Mit 41 Prozent stellte Cloudflare die meisten SSL-Zertifikate für Phishing-Seiten im August 2015 aus, berichten die Sicherheitsforscher. Dabei setzt der Internet-Dienstleister auf eine Partnerschaft mit Comdo und Globalsign.

Cloudflare erlaubt für alle von sich gehosteten Server gratis den verschlüsselten Zugriff per SSL/TLS. Bereits Anfang dieses Jahres sorgte der Internet-Dienstleister durch das Ausstellen von Zertifikaten für Paypal-Phishing-Seiten für negative Schlagzeilen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Millionen von Geräten mit kompromittierten Krypto-Schlüsseln im Netz
« Antwort #66 am: 27 November, 2015, 19:46 »
Eine Sicherheitsfirma schätzt, dass für 9 Prozent aller SSL-Endpunkte im Netz die privaten Schlüssel bekannt sind. Damit könnten Angreifer sich als diese Server ausgeben und Router, Modems und VoIP-Telefone im selben Netz ausspionieren.

Viele Endbenutzer-Geräte wie Router und NAS-Systeme recyclen Schlüssel und Zertifikate für SSH- und SSL-Verbindungen und liefern die privaten Schlüssel gleich mit. Forscher der Sicherheitsfirma SEC Consult haben nun die öffentlich zugängliche Firmware von mehr als 4000 Geräten untersucht und dabei 580 solcher privater Schlüssel ausheben können. Da diese öffentlich zugänglich sind, kann sich nun ein Angreifer im selben Netz mit den betroffenen Geräten verbinden und als legitimer Gesprächspartner ausgeben.

So gut wie alle namhaften Hersteller betroffen

Betroffen sind Kabel- und DSL-Router, Modems, Internet Gateways, VoIP-Telefone und mit dem Internet verbundene Kameras. Von den 580 von den Forschern gefundenen Schlüsseln werden mindestens 230 momentan aktiv genutzt. SEC Consult schätzt, dass 9 Prozent aller SSL-Endpunkte im Netz betroffene Zertifikate einsetzen – insgesamt 3,2 Millionen Systeme. Außerdem sollen 6 Prozent aller öffentlich auffindbaren SSH-Hosts betroffen sein.

SEC Consult fand über 900 betroffene Produkte von 50 Herstellern, die auf diese Art geschlampt haben. Die Liste liest sich wie ein Who's Who der namhaften Hersteller von Routern: Alcatel-Lucent, Cisco, D-Link, DrayTek, Huawei, Linksys, Netgear, TP-Link, Trendnet, Tenda und Zyxel. Die Deutsche Telekom, General Electric, Motorola und Vodafone sind auch betroffen. Aber auch die Festplatten-Hersteller Seagate und Western Digital sind auf der Liste – deren NAS-Geräte bohren sich gerne per UPNP Weiterleitungen durch die Router-Firewall und exponieren so die Sicherheitslücke im öffentlichen Netz.

Daniel von Broadcom und sein Zertifikat

Einige der privaten Schlüssel finden sich auf Geräten verschiedener Hersteller wieder. Wahrscheinlich stammen diese von OEMs, die ihre Hardware an andere Firmen weiterverkaufen. In einem Fall fanden die Forscher ein Zertifikat aus einem Broadcom-SDK, das auf einen gewissen Daniel ausgestellt ist und sich auf fast einer halben Million Geräte im öffentlichen Netz wiederfinden lässt.

Auch mehrere Internet-Dienstanbieter wie CenturyLink in den USA, China Telecom, Telstra und Telefónica beziehungsweise Moviestar in Spanien scheinen in ihrer Router-Firmware Mist gebaut zu haben. Viele von ihnen setzen durch die unachtsame Verwendung von privaten Schlüsseln hunderttausende ihrer Kunden einem Sicherheitsrisiko aus.

Fixes lassen auf sich warten

Die SEC-Forscher haben bereits im August das CERT/CC der Carnegie Mellon über das Problem informiert. Das CERT hat viele der betroffenen Hersteller informiert und einige haben damit begonnen, die Lücken zu stopfen. Mehr Informationen zum Umgang der einzelnen Hersteller mit dem Problem und eventuell zur Verfügung stehenden Updates finden sich im Advisory des CERT/CC.

Nutzer von Geräten der betroffenen Hersteller sollten Updates, soweit möglich, zügig einspielen. Bei manchen Geräten können Zertifikate und Schlüssel vom Nutzer in Eigenregie geändert werden, was allerdings nicht trivial ist und im schlimmsten Fall dazu führen kann, dass die Geräte nicht mehr korrekt funktionieren. Nutzer, die diesen Lösungsansatz erwägen, sollten sich mit dem Hersteller ihres Gerätes in Verbindung setzen – oft ist dies aber einfacher gesagt als getan.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Die SSL/TLS-Zertifizierungsstelle Let's Encrypt öffnet ihre Pforten und ab sofort kann jeder kostenlose Zertifikate beantragen, die von gängigen Webbrowsern als vertrauenswürdig eingestuft werden.

Ab sofort ist keine Einladung mehr nötig, um Zertifikate bei der Zertifizierungsstelle (CA) Let's Encrypt zu beantragen, denn die öffentliche Beta ist eröffnet. Das Ganze ist kostenlos und funktioniert so einfach wie nie.

Facebook als neuer Sponsor

Während der geschlossenen Betaphase wurden der CA zufolge über 26.000 Zertifikate ausgestellt. Die Sponsoren von Let's Encrpyt sind unter anderem Akamai, Cisco und Mozilla. Diese haben sich zur Internet Security Research Group (ISRG) zusammengefunden, um HTTPS zum Standard im Internet zu machen. Neuerdings ist auch Facebook mit an Bord.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
OpenSSL-Sicherheits-Update und Abschied von Altlasten
« Antwort #68 am: 04 Dezember, 2015, 18:29 »
Im Rahmen eines Sicherheits-Updates verkündet das OpenSSL-Team, dass die Versionen 0.9.8 und 1.0.0 keine weiteren Updates mehr erhalten werden. Deren Nutzer sollten dringend auf neuere Versionen umsteigen.

Das OpenSSL-Team stellt neue Versionen der Krypto-Bibliothek bereit. Die aktualisierten Pakete OpenSSL 0.9.8zh, 1.0.0.0t, 1.0.0.1q und 1.0.2e beheben insgesamt 5 Sicherheitslücken, von denen drei als "Moderate" und zwei als "Low" eingestuft sind.

Wenig Informationen

Die konkreten Angaben zu den einzelnen Schwachstellen sind spärlich und sehr schlecht aufbereitet. So erläutert das OpenSSL Sicherheits-Advisory zwar lang und breit, dass Angriffe auf die Schwachstelle CVE-2015-3193 (Moderate) sehr schwierig und unwahrscheinlich seien. Eine Angabe dazu, was denn die Auswirkung erfolgreicher Angriff wären, fehlt jedoch. Dabei ist dies eine der wichtigen Standardangaben zur Bewertung des Risikos einer Lücke.

Bei CVE-2015-3195 heißt es lediglich "OpenSSL will leak memory"; ob das zu exzessiv erhöhtem Speicherverbrauch oder wie bei Heartbleed zur Preisgabe von Informationen an einen Angreifer führt, wird nicht erklärt. Letztlich bedeutet das für Admins wohl, dass sie die Updates auf Verdacht installieren müssen.

Alte Zöpfe

Im Security Advisory erklären die Entwickler auch in fetten Lettern, dass es voraussichtlich keine weiteren Updates für die Versionen 0.9.8 und 1.0.0 mehr geben wird. Deren Nutzer sollten also jetzt unbedingt mindestens auf Version 1.0.1 oder besser gleich auf das aktuelle 1.0.2 umsteigen. Die jetzt abgekündigten Versionen sind auch immerhin zehn beziehungsweise fünf Jahre alt. Die im März 2012 vorgestellte Version 1.0.1 war ein Meilenstein, weil sie die Unterstützung von TLS 1.2 brachte.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Die Tätigkeit von Let's Encrypt als Zertifizierungsstelle wurde noch nicht der vorgeschriebenen Sicherheitsprüfung unterzogen. Trotzdem stellt die CA schon Zertifikate aus.

Let's Encrypt verteilt schon fleißig Zertifikate, denen die Webbrowser vertrauen. Doch jetzt gibt es Beschwerden, dass die Zertifizierungsstelle (CA) IdenTrust das Intermediate-CA-Zertifikat von Let's Encrypt gar nicht signieren durfte. Aktuell setzt Let's Encrypt auf einen Cross-Zertifizierung von IdenTrust. Denn Betriebssysteme und Webbrowser vertrauen dieser CA.

Alle Root-CAs sind im CA/Browser-Forum organisiert. Die CAs müssen sich dabei an die Spielregeln des Forums halten und etwa vorgeschriebene Sicherheitsprüfungen durchlaufen. Bisher hat Let's Encrypt keine vollständige Prüfung (Audit) absolviert. Darum wurde die Aufnahme in das CA/Browser-Forum vorerst zurückgestellt.

Für die Übergangszeit behelfen sie sich mit einem Intermediate-CA-Zertifikat, dass IdenTrust ihnen ausgestellt hat. Genau das hätten die aber aufgrund des fehlenden vollständigen Audits gar nicht tun dürfen, so die Logik der Beschwerdeführer des Anbieters für Sicherheitslösungen PSW Group. Heise Security hat bei den beteiligten Parteien nachgehakt.

Der ganze Artikel

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Audit von Let's Encrypt aufgetaucht
« Antwort #70 am: 11 Dezember, 2015, 16:33 »
Let's Encrypt geriet in die Kritik, da die vorgeschriebene Sicherheitsprüfung noch nicht vorlag, die CA aber schon Zertifikate ausstellte. Nun ist sind die Audit-Berichte plötzlich online einsehbar.

Die Zertifizierungsstelle Let's Encrypt hat die Prüfungsberichte (Audit) veröffentlicht, die das Unternehmen BrightLine ausgestellt hat. Somit erfüllt die Zertifizierungsstelle nun die Spielregeln des CA/Browser-Forums, in dem alle Root-CAs organisiert sind, und darf offiziell Zertifikate ausstellen.

Let's Encrypt war in die Kritik geraten, weil die vorgeschriebene Sicherheitsprüfung bis vor kurzem noch nicht vorlag, die CA aber schon fleißig Zertifikate verteilte. Das sorgte für Misstrauen, da die Grundlage des CA-Systems auf Audits und Regeln fußt, die die CAs fristgerecht einhalten müssen.

Audit seit September abgeschlossen

Seltsam mutet an, dass Let's Encrypt die Berichte erst jetzt veröffentlicht, denn die Prüfungsberichte sind vom 9. September 2015. Zudem war das vollständige Audit ursprünglich für den November angekündigt. Weder BrightLine noch Let's Encrypt hatten auf eine Anfrage von heise online bezüglich des Audits, die anscheinend seit September dieses Jahres vorliegenden Prüfungsberichte erwähnt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Google Chrome: Abschied von SHA-1-siginierten SSL-Zertifikaten
« Antwort #71 am: 20 Dezember, 2015, 18:48 »
Ab Anfang nächsten Jahres wird Google Chrome keine neu ausgestellten SHA-1-signierten SSL-Zertifikate von öffentlichen CAs mehr akzeptieren. SHA-1 gilt seit zehn Jahren als unsicher, wird aber immer noch von HTTPS-Sites verwendet.


Seit zehn Jahren gilt das Hash-Verfahren SHA-1 als unsicher, trotzdem ist es immer noch bei vielen HTTPS-Sites im Einsatz. Die drei großen Browser-Hersteller Google, Microsoft und Mozilla haben allerdings schon vor einiger Zeit angekündigt, demnächst keine SHA-1-signierten SSL-Zertifikate mehr zu akzeptieren.

Google hat jetzt seinen konkreten Zeitplan für das Ende der SHA-1-Unterstützung veröffentlicht. Ab Anfang 2016 wird Google Chrome neue SSL-Zertfikate mit SHA-1-Signatur, die von einer öffentlichen CA ausgestellt wurden, nicht mehr akzeptieren und einen Zertifikatsfehler anzeigen. Spätestens ab dem 1.1.2017 wird Chrome dann gar keine SHA-1-signierten Zertifikate mehr akzeptieren.

Auch Mozilla verabschiedet sich langsam von SHA-1: Firefox soll ab Anfang nächsten Jahres ebenfalls vor SHA-1-signierten Zertifikaten warnen. Ebenso will sich Microsoft nächstes Jahr von SHA-1 trennen. Das CA/Browser Forum, in dem über die Zertifizierungsstandards der Zertifikats-Aussteller und Browser entschieden wird, will ab dem 1. Januar 2016 das Ausstellen neuer SHA-1-Zertifikate nur noch in Sonderfällen erlauben.

Facebook und das Content Delivery Network Cloudflare weisen allerdings darauf hin, dass in Entwicklungsländern noch viele Geräte verbreitet sind, die die Nachfolge-Algorithmen für SHA-1 nicht beherrschen. Facebook eine Funktion entwickelt, die dynamisch SHA-1-Zertifikate ausliefert, wenn der Client diese benötigt: Der Server entscheidet anhand der Informationen des Clients beim TLS-Handshake, ob er ein SHA-1- oder ein SHA-2-Zertifikat ausliefert. Facebook und Cloudflare haben diesen Code bereits im Einsatz.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Erste Malvertising-Kampagne mit Let's-Encrypt-Zertifikat
« Antwort #72 am: 07 Januar, 2016, 15:56 »
HTTPS-Webseiten wecken Vertrauen. Doch auch Online-Gauner können sich oft über Umwege vertrauenswürdige Zertifikate ausstellen. Nun haben Kriminelle das erste Let's-Encrypt-Zertifikat genutzt, um Vertrauenswürdigkeit vorzugaukeln.

Online-Gauner waren in der Lage, sich eine Subdomain für eine legitime Domain einzurichten und dafür erfolgreich ein Let's-Encrypt-Zertifikat zu beantragen, warnt Trend Micro. Die Subdomain soll auf einen Server verweisen, der unter Kontrolle der Kriminellen steht und Werbung mit Schadcode verteilt. Trend Micro will den Namen der betroffenen Domain erst veröffentlichen, wenn die Verantwortlichen das Problem im Griff haben.

Das Online-Gauner SSL-Zertifikate einsetzen, ist nichts neues. Hierbei handelt es sich jedoch um den ersten bekannt gewordenen Fall, in dem Kriminelle ein kostenloses Zertifikat von Let's Encrypt einsetzen.

Das Anlegen einer Subdomain ist nicht ohne weiteres möglich. Denkbar wäre, dass die Online-Gauner auf irgendeinem Weg an die Zugangsdaten für die Domain-Verwaltung gekommen sind. Wie das passiert ist, erläutert Trend Mirco nicht.

Opfer in Sicherheit wägen

Mit der legitimen Domain und dem Zertifikat im Rücken wollen die Kriminellen ihre bösartige Webseite, die ein Exploit-Kit beinhaltet und einen Online-Banking-Trojaner verteilt, vertrauenswürdig erscheinen lassen.

Der Schadcode soll sich in einer Werbeanzeige verstecken, die an Webseiten verteilt wird. Aus Gründen der Glaubwürdigkeit soll die Anzeige einen Bezug zur legitimen Domain aufweisen.

In einem Zeitraum von elf Tagen Ende vergangenen Dezember hat Trend Micro zufolge einen Spitzenwert von rund 500.000 Zugriffen verzeichnet. Ziele seien dabei in erster Linie japanische Nutzer gewesen.

CA als Filter für gefährliche Inhalte?

Beantragt ein Admin ein Zertifikat bei Let's Encrpyt, muss er beweisen, dass der Server tatsächlich über die (Sub-) Domain erreichbar ist (Domain Validation), für die das Zertifikat ausgestellt werden soll. Bei diesem Prozess wird der Inhalt der Webseite nicht überprüft.

Let's Encrypt sieht den Aufgabenbereich einer CA nicht darin, Inhalte zu filtern. Dabei verweisen sie in einem Statement auf Unternehmen wie etwa Google und Microsoft, die eine komplexe Infrastruktur zum Aufspüren von gefährlichen Webseiten betreiben.

Davon profitiert auch Let's Encrypt, denn neben der Domain-Validation-Prüfung greift die Zertifizierungsstelle noch auf Googles Safe Browsing API zu, um Webseiten zu überprüfen und im Zweifelsfall kein Zertifikat auszustellen.

Um Missbrauch weiter einzuschränken, setzt Let's Encrypt auf vergleichsweise kurzlebige Zertifikate, die drei Monate lang gültig sind. Mit dem Let's-Encrypt-Client kann ein Admin eine erneute Beantragung und Prüfung automatisieren.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189138
  • Ohne Input kein Output
    • DVB-Cube
Eine Entwicklungsversion vom Webbrowser Firefox zeigt ab sofort Warnungen an, wenn Webseiten mit einem TLS-Zertifikatt von Symantec besucht werden.

Mozilla baut sein Misstrauen gegenüber Symantec weiter aus, die aktuelle Nightly-Version 63 von Firefox stuft TLS-Zertifikate der Zertifizierungsstelle (CA) als nicht vertrauenswürdig ein. Das geht aus Einträgen auf der Mozilla-Webseite Bugzilla hervor.

Der Grund dafür ist, dass Symantec sich in der Vergangenheit nicht immer an die auf Vertrauen fußenden Spielregeln beim Ausstellen von Zertifikaten gehalten hat. Unter anderem haben sie mehrfach unberechtigterweise Zertifikate auf google.com ausgestellt.

Bahn.de betroffen

Den nun erfolgten Schritt kündigte Mozilla im eigenen Security-Blog bereits im Juli an. Ab 5. September sollen sich die Beta-Version und ab 23. Oktober die normale Version von Firefox identisch verhalten.

Wenn eine Webseite mit einem TLS-Zertifikat von Symantec besucht wird, warnt eine Meldung davor, dass Angreifer Passwörter oder Kreditkarten-Daten mitschneiden könnten. Diese Warnung taucht zum Beispiel auf, wenn man mit der Nightly-Version die Webseite der Deutschen Bahn besucht. In einem Bugzilla-Beitrag sammeln Firefox-Nutzer weitere betroffene Webseiten.

Feldzug gegen Symantec

Davon sind auch Webseiten mit Zertifikaten von beispielsweise Equifax, Geotrust, RapidSSL, Thawte und Versign betroffen, die Symantec über die Jahre aufgekauft hat. Um Seitenbesucher nicht zu verunsichern, sollten Web-Admins betroffene Zertifikate austauschen. Dafür bietet Digicert ein kostenloses Austauschprogramm an.

Symantec hat 2017 seinen Rückzug als Zertifizierungsstelle bekanntgegeben und die Sparte für 950 Millionen US-Dollar an Digicert verkauft. Neben Firefox misstraut auch Chrome TLS-Zertifikaten von Symantec. Auch Apple schenkt der CA seit Anfang August kein Vertrauen mehr.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )