SSL

Der Einbruch in eine Zertifizierungsstelle für SSL-Zertifikate – DigiNotar –, der letzte Woche bekannt wurde, war gravierender als bisher gedacht. So hat der Angreifer nicht nur falsche Google-Zertifikate erstellt, sondern auch für andere prominente Domains wie facebook.com, skype.com und microsoft.com. Besonders pikant: Auch für Geheimdienst-Domains wurden Zertifikate gefälscht, beispielsweise für die CIA und den Mossad.

Mit der Aktualisierung "2011-002" reagiert Apple etwas verspätet auf den so genannten "Comodo-SSL-GAU". Die Sicherheitsaktualisierung betrifft deshalb in erster Linie die Zertifikats-Verwaltung von OS X. Aber auch der Safari-Browser wird von kritischen Sicherheitslücken befreit und ist in einer neuen Version erhältlich.

Wer sich derzeit bei Facebook anmelden möchte und dabei die deutsche Internetadresse www.facebook.de verwendet, erhält unter Umständen eine Warnung von seinem Browser angezeigt. Die Ursache ist ein falsches SSL-Zertifikat.

Seit dieser Woche wird der Datenverkehr zwischen Google-Mail und seinen Nutzern standardmäßig verschlüsselt. Google geht davon aus, dass sich dadurch die Sicherheit des Dienstes verbessert. Bisher hatte Google auf Grund von Geschwindigkeitseinbußen bei den Verbindungen auf Verschlüsselung verzichtet.

Am Anfang des Monats wurde ein Fehler im Design des Verschlüsselungsprotokolls SSL/TLS entdeckt. Das Problem wurde als exotisch und für den alltäglichen Einsatz als nicht relevant eingestuft. Dies stellte sich jetzt als Irrtum heraus.

"Wenn Sie den 'Internet Explorer', 'Google Chrome' oder 'Safari' fürs Online-Banking benutzen ist jetzt eine gute Zeit, um zum wesentlich sichereren 'Firefox' zu wechseln." So wertet die britische IT-Website The Register den Umstand, dass Microsoft noch immer nicht auf ein seit Monaten bekanntes Sicherheitsproblem reagiert hat.