Tag: SSL
Alphabet, der Internetkonzern hinter Google, hat vorgeschlagen die Laufzeit von SSL-Zertifikaten erheblich zu beschränken um mehr Sicherheit zu gewährleisten. Aktuell können TLS-Serverzertifikate bis zu 398 Tagen Gültigkeit besitzen, in Zukunft soll diese Grenze laut Google’s Plänen auf maximal 90 Tage festgelegt werden.
Ab sofort warnt Google’s Chrome Browser vor unsicheren „HTTP“-Webseiten. Damit setzt der Konzern einen bereits lang angekündigten Schritt um, Internetseiten ohne SSL-Verschlüsselung werden nun pauschal in der URL-Leiste als „Nicht sicher“ bezeichnet.
Ab September soll Google’s Chrome-Browser SSL-Verschlüsselte Webseiten nicht mehr extra kennzeichnen. Das grüne Schlosssymbol soll ab Chrome Version 69 wegfallen, da das Netz mittlerweile „standardmäßig sicher“ sei, so Google. Nutzer sollen in Zukunft dann nur noch informiert werden, wenn die entsprechende Webseite unverschlüsselt ist und zur Eingabe von Daten auffordert.
Das dürften schlechte Nachrichten für alle Webmaster sein, die auf SSL-Zertifikate von Wosign oder Startcom setzen: Mozilla will sieben Root-Zertifikate, der mittlerweile zusammengeschlossenen Unternehmen, in Zukunft nicht mehr im Firefox Browser akzeptieren. Noch haben betroffene Webseitenbetreiber noch genug Zeit zum reagieren: Erst im kommenden Jahr soll die Entfernung der Zertifikate anstehen.
Wieder einmal zeigt sich durch ein prominentes Beispiel wie anfällig das SSL-Zertifikatssystems ist: Für Microsoft’s-Domain „live.fi“ wurde durch den SSL-Anbieter Comodo ein SSL-Zertifikat von Unbekannten erstellt. Microsoft nutzt diese Domain unter anderem für die Bereitstellung seiner Freemail- und Live-Services in Finnland, dabei ist dem Unternehmen ein wohl ein folgenschwerer Fehler unterlaufen.
Wosign, eine neue chinesische SSL-Zertifizierungsstelle aus China bietet kostenlose TLS-Zertifikate mit 2 Jahre Laufzeit an. Für nichtkommerzielle Zwecke konnte man in der Vergangenheit schon auf den israelischen Anbieter StartSSL zurückgreifen.
Cloudflare, ein Anbieter für Caching & Protection-Diensten für Webseiten, wird derzeit von Phishern missbraucht. Seit einiger Zeit stellt Cloudflare kostenlose SSL-Zertifikate bereit, genau dies wird nun von Betrügern ausgenutzt um den Phishing-Opfern eine höhere Vertrauenswürdigkeit vorzuspielen. Da die Angaben von Cloudflare nicht überprüft werden, haben die Ganoven leichtes Spiel – eine Phishingseite bekommt so – komplett kostenlos – nach […]