HTTPS-Verschlüsselung: Google verabschiedet sich vom Pinning
12.11.2017 - Das Festnageln von Zertifikaten sollte gegen Missbrauch schützen. In der Praxis wurde es jedoch selten eingesetzt. Zu kompliziert und zu fehlerträchtig lautet nun das Verdikt; demnächst soll die Unterstützung aus Chrome wieder entfernt werden.
HTTPS Public Key Pinning (HPKP) ist angetreten, das Web etwas sicherer zu machen. Damit ist es jetzt wohl vorbei. Google mustert den nur wenig genutzten Standard demnächst aus, wie Chrome-Entwickler Chris Palmer in einer Mail ankündigt. Gründe sind die nach wie vor niedrige Verbreitung sowie die Gefahr, seine Nutzer selbst auszusperren. Als Ersatz soll Googles Lieblingsprojekt Certificate Transparency herhalten.
Zu kompliziert
HPKP hat dennoch keine große Verbreitung gefunden, weil die Einrichtung nicht ganz trivial ist. So fand etwa Scott Helme, dass 2016 von den Top 1 Million Sites von Alexa nur 375 HPKP nutzten; Palmers eigene Scans ergaben sogar noch niedrigere Zahlen. Das Verfahren geriet in den vergangenen Monaten vermehrt in die Kritik, nachdem einige Seitenbetreiber sich selbst beziehungsweise ihre Besucher ausgesperrt hatten. Das kann etwa passieren, wenn ein Seitenbetreiber seine eigenen Schlüssel festnagelt und ihm diese dann wie auch immer abhanden kommen. Oder er legt sich via HPKP auf Intermediate CAs fest und der Zertifizierer nimmt deren Unterschriftszertifikate aus dem Betrieb.
Deshalb soll Chrome mit Version 67, die Ende Mai 2018 fällig wird, die Unterstützung für das dynamische Pinning aufgeben. Die im Browser eingebauten statischen Pins bleiben vorerst erhalten; sie sollen erst verschwinden, wenn alle Zertifikate via Certificate Transparency erfasst sind. Da IE/Edge und Safari das Pinning ohnehin nie unterstützten, bleiben damit nur noch Firefox und Opera. Nachdem sich Mozilla in TLS-Fragen in jüngster Zeit recht eng an Google orientiert, dürfte dies das Ende von HPKP bedeuten. Wer es schon im Einsatz hat, muss sich deshalb jedoch keine Sorgen machen; der Wegfall der Unterstützung hat keine Einschränkung des Betriebs zur Folge.
Alternative CT
Als Alternative zum Pinning preist Google sein aktuelles Lieblings-Projekt an: Certificate Transparency (CT) soll mittelfristig alle CAs dazu zwgen, ihre ausgestellten Zertifikate in einem manipulationssicheren Log zu protokollieren. Anders als etwa Pubic-Key-Pinning kann dies den Missbrauch von Zertifikaten nicht verhindern. Google setzt offenbar darauf, dass schon die erzwungene Transparenz letztlich zu mehr Sicherheit führen wird.
TLS und der Einsatz von Zertifikaten stellen hohe Anforderungen auch und vor allem an Administratoren. Mit TLS 1.3, CAA, CT stehen reichlich neue Dinge mit teils fraglichem Nutzen vor der Tür, während viele Server noch längst nicht optimal eingerichtet sind.
Quelle: heise.de
HPE-Server mit Supercomputer-Technik für 32 CPUs und 48 TByte RAM
15.11.2017 - Hewlett Packard Enterprise stellt einen skalierbaren Server mit Intel-CPUs vor, der vor allem Big-Data-Anwendungen beschleunigen soll. Die Shared-Memory-Technik dafür stammt von SGI.
HPE aktualisiert seine Superdome-Serverreihe für kritische Geschäftsanwendungen, insbesondere für In-Memory-Datenbanken wie SAP HANA. Die neue Variante Superdome Flex beherbergt in einem fünf Höheneinheiten großen Chassis bis zu vier Fassungen (Sockets) mit Intels aktuellen Xeon-Scalable-CPUs (alias Skylake-SP, Platinum und Gold). Mit Erweiterungs-Chassis mit jeweils vier weiteren Xeons lassen sich Server mit bis zu 32 Prozessoren und 48 TByte RAM aufbauen.
Der US-amerikanische Hersteller nutzt für den Chipsatz die weiterentwickelte Technik des 2016 übernommenen Unternehmens SGI. Das hatte ein System für verteilten Shared-Memory entwickelt (NUMAlink) und in einer Server-Produktreihe unter den Bezeichnungen Altix und Ultra Violet auf den Markt gebracht. In einem Superdome-Flex-Chassis lassen sich 48 DDR4-Speichermodule unterbringen (12 pro CPU). In acht gekoppelten Chassis mit 32 Xeons stehen also 384 DDR4-DIMM-Slots für Module mit bis zu 128 GByte Kapazität bereit, daraus ergeben sich maximal 48 TByte RAM. Ein Superdome-Flex-Chassis enthält außerdem 12 oder 16 PCIe-Slots, vier Einschübe für Massenspeicher sowie je zwei 1-Gigabit- und 10-Gigabit-Netzanschlüsse. Als Betriebssystem sind die Enterprise-Linux-Distributionen von Red Hat, SUSE und Oracle vorgesehen. Weitere Details zum Superdome Flex stehen in einem QuickSpec-Dokument (PDF).
Quelle: heise.de
BadRabbit - ein neuer Kryptotrojaner schleicht durch das Internet
25.10.2017 - Die russische Nachrichtenagentur Interfax ist am Dienstag durch einen Hackerangriff lahmgelegt worden. Fast alle Server seien betroffen, sagte der stellvertretende Generaldirektor Alexej Gorschkow. Es sei unklar, wann das Problem behoben werden könne.
Die russische Nachrichtenagentur Interfax ist offenbar Opfer eines Kryptotrojaners geworden. Wie die Nachrichtenagentur Tass berichtet, konnte Interfax am Dienstag keine Meldungen an die Kunden übermitteln. "Wir wurden von einem eher massiven Virusangriff getroffen", zitiert Tass Alexej Gorschkow von Interfax. Die Mitarbeiter würden daran arbeiten, die Systeme wieder herzustellen, aber es sei schwer, vorherzusagen, wann man wieder zur normalen Arbeit zurückkehren könne. Den Sicherheitsforschern der Group-IB zufolge wurde die Nachrichtenagentur Opfer eines Kryptotrojaners namens "BadRabbit".
Details dazu finden Sie bei heise.de
Sichere Anwendungsautorisierung: ownCloud führt OAuth 2.0 ein
11.11.2017 - Die Cloud-Software ownCloud setzt künftig auf das OAuth-2.0-Protokoll, um Geräten und Anwendungen den tokenbasierten Zugriff auf Nutzerdaten zu ermöglichen.
ownCloud, eine freie Cloud-Software für das Filehosting auf eigenen Servern, unterstützt jetzt die Verwendung des offenen Authentifizierungsprotokolls OAuth in der Version 2.0. Das geht aus einem Blogeintrag auf der Webseite des ownCloud-Projekts hervor. Mittels OAuth können Nutzer Geräte und Anwendungen zum Zugriff auf geschützte Ressourcen autorisieren, die auf einem Server verwaltet werden. Die Übermittlung von Login-Daten ist hierzu nicht erforderlich; stattdessen kommen serverseitig generierte Tokens zum Einsatz, die die Autorisierung durch den Nutzer repräsentieren.
Erfahren Sie mehr dazu bei heise.de
Google Transparenzbericht: HTTPS-Traffic nimmt weltweit zu
25.10.2017 - Verschlüsselte Verbindungen sind im Kommen: Bereits 71 der 100 meistbesuchten Webseiten setzen laut Google auf HTTPS. Gegenüber dem Vorjahr bedeutet das einen Anstieg um fast 50 Prozent.
Der Anteil an HTTPS-verschlüsseltem Traffic hat 2017 gegenüber dem Vorjahr weltweit stark zugenommen. Das geht aus Googles aktuellem Transparenzbericht (Transparency Report) hervor. Nach eigenen Angaben ermittelt das Unternehmen das Verhältnis zwischen herkömmlichen HTTP- und sicheren HTTPS-Verbindungen bereits seit 2015 auf Basis von Nutzungsstatistiken, die von Chrome-Anwendern übermittelt werden.
Anteil steigt auf 71%
Dem Report ist unter anderem zu entnehmen, dass aktuell 71 der 100 meistbesuchten Webseiten weltweit standardmäßig HTTPS nutzen. Vor einem Jahr sollen es noch 37 gewesen sein. Betrachtet man den Anteil verschlüsselter Verbindungen an der Gesamtzahl der mit Chrome aufgerufenen Webseiten, so liegt dieser laut Statistik im Oktober dieses Jahres für macOS und Chrome OS bei 75 beziehungsweise 80 Prozent. Windows liegt mit knapp 70 Prozent leicht dahinter. Im Vergleich zum Oktober des Vorjahres konnten alle drei Betriebssysteme eine HTTPS-Zunahme um 10 bis 15 Prozent verzeichnen.
Am deutlichsten fiel der Anstieg von knapp 42 auf jetzt etwa 65 Prozent auf Android-Systemen aus. Linux hatte gegenüber dem Vorjahr einen leichten Anstieg um etwa fünf Prozentpunkte auf jetzt 61 Prozent zu verzeichnen. Bei der Betrachtung nach Ländern führen die USA das Feld laut Report im Oktober mit einem HTTPS-Anteil von etwa 74 Prozent an; Deutschland liegt bei 71 Prozent.
"Nicht sicher"-Warnung begünstigt den Trend
Als einen der möglichen Gründe für die aktuelle Entwicklung nennt Googles Product Managerin Emily Schlechter den Hinweis auf "nicht sichere" Verbindungen in der Chrome-Adressleiste, der Anfang des Jahres mit der Chrome-Version 56 eingeführt wurde. Auch von Google gesponserte Initiativen wie die Zertifizierungsstelle Let's Encrypt, die kostenlose SSL/TLS-Zertifikate anbieten, würden den Trend begünstigen.
Google selbst hat außerdem im September dieses Jahres begonnen, einige seiner eigenen Top-Level-Domains standardmäßig mit dem Sicherheitsmechanismus HTTP Strict Transport Security (HSTS) auszustatten. Dieser lässt ausschließlich HTTPS-Verbindungen zu.
Quelle: heise.de