VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

rote KarteApple greift durch: Die Zertifizierungsstellen (CA) WoSign und StartCom verschwinden aus dem Truststore von MacOS und iOS. Das Unternehmen wird mit dem kommenden Release dem „CA Free SSL Certificate G2 intermediate CA“-Zertifikat das Vertrauen entziehen.

Bislang ist noch unklar, ob dies ausschließlich für die kostenfreien Zertifikate beider Zertifizierer gilt und Extended-Validation-Zertifikate gültig bleiben.

„Apple vertraut beiden Zertifizierungsstellen aufgrund ihrer Vergabepraxis nicht mehr. WoSign datierte unter anderem unsichere SHA-1-Zertifikate regelwidrig zurück, um sie so gültig zu machen. Auch Standards, die zur Zertifikatsausstellung einfach dazu gehören, wurden von der CA gekonnt ignoriert“, erklärt Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW GROUP (www.psw-group.de). Sein Unternehmen vermittelt SSL-Zertifikate von Zertifizierungsstellen, die Wert auf sichere sowie zukunftsträchtige Algorithmen und Hash-Funktionen legen. „Man muss davon ausgehen, dass wahrscheinlich auch Mozilla WoSign und StartCom das Vertrauen entziehen wird. Dann ist es nur eine Frage der Zeit, bis auch Google mit Chrome folgen wird“, so Heutger weiter.

WoSign und StartCom sind allerdings nicht die ersten Zertifizierungsstellen, die nachlässig arbeiten. In jüngster Vergangenheit signierte beispielsweise CNNIC falsche Google-Zertifikate und SSL-Zertifikate von CloudFlare wurden für Phishing missbraucht. „Es ist auffällig, dass sich seit geraumer Zeit die Meldungen über Zertifizierer, die nicht mehr vertrauenswürdig sind, häufen. Website-Betreiber müssen sich aber darauf verlassen können, dass die von ihnen ausgewählte Zertifizierungsstelle auch morgen noch als vertrauenswürdig gilt, das heißt, sie müssen ihnen voll vertrauen. Dies gilt insbesondere bei der Frage, welche Verschlüsselungsalgorithmen, Hashfunktionen und Schlüssellängen in einer sich ständig ändernden Branche als sicher eingestuft werden“, sagt Heutger.

Für eine vertrauliche Kommunikation per E-Mail rät der Experte deshalb ausschließlich zu S/MIME Zertifikaten. S/MIME sorgt dafür, dass E-Mail-Inhalte nicht manipuliert werden können, der Ursprung der Nachricht nachgewiesen werden kann und der E-Mail-Inhalt nicht bloßgelegt werden kann. Weiter ist S/MIME Wegweiser für flexible, sichere Kommunikation und lässt sich einfach implementieren. „Mein wichtigster Rat jedoch ist, dass jeder Website-Betreiber sich unbedingt beraten lassen sollte, welches das richtige Zertifikat für seinen Zweck ist, bevor er sich für eines entscheidet", ergänzt Heutger.

Weitere Informationen finden Sie hier.

www.psw-group.de
 

GRID LIST
Justitia

Urteil: eine fehlende Datenschutzerklärung ist ein Fehler!

Nach einer Entscheidung des Landgerichts Würzburg sind fehlende Datenschutzerklärungen…
Google Chrome

Automatischer Login bei Google Chrome V69 - Einfachheit steht vor Privatsphäre

Erneut sieht sich Suchmaschinenriese Google heftiger Kritik ausgesetzt: Der Login auf…
Tb W190 H80 Crop Int 840e629d6e54e687b501af2d697f26f7

DSAG-Kongress: Zusammenspiel von Blockchain, AI und Co.

Camelot Innovative Technologies Lab (Camelot ITLab) wird auf dem diesjährigen…
Social Media

Personaler schnüffeln gezielt in Sozialen Netzwerken

Viele Personaler in Unternehmen überprüfen nicht nur die eingereichten Unterlagen,…
Hacker

Neue Hackergruppe visiert Regierungs- und Militärsektor an

Symantec hat Erkenntnisse über eine neue Hackergruppe namens Gallmaker veröffentlicht.…
Virus Detected

Super-Virus "Lojax": Tiefer im System als jemals zuvor

Ein neuer Computervirus macht derzeit die Runde. Er könnte sich als erster einer völlig…
Smarte News aus der IT-Welt