Aktuelles
Die Baseline Requirements for TLS Server Certificates" des CA/Browser Forums in der Version 2.1.9 vom 10.11.2025 setzen neue und kürze Gültigkeitsdauern für TLS-Zertifikate. Zeitlich gestaffelt müssen die TLS-Zertifikate mit der folgenden die Gültigkeit ausgestellt werden:
15. März 2026 - 14. März 2027
15. März 2027 - 14. März 2029
ab 15. März 2029
200 Tage (ca. 6 Monate)
100 Tage (ca. 3 Monate)
47 Tage (ca. 1 Monat)
Viele, die die 90 Tage Gültigkeit der Let's Encrypt Zertifikate für zu kurz halten, sind demnächst mit der halben Gültigkeitszeit konfrontiert. Die Verlängerung der Zertifikate muss zeitnah automatisiert werden. Die 100 Tage Laufzeit in gut einem Jahr (März 2027) ist zu kurz für manuelle Verlängerungen. Es gibt Arbeit in den Rechenzentren.
Durchgesetzt wird die kürzere Gültigkeit über die Browser, die eine Webseite mit zu langer Gültigkeit eines Zertifikats als unsicher anzeigen werden.
S/Mime Zertifikate für die E-Mail bleiben bei einer maximalen Gültigkeit von zwei Jahren (genau 825 Tage). Wurzel-Zertifikate (Trust Anker) dürfen zwischen acht Jahren (2922 Tage) und 25 Jahren (9132 Tage) gültig sein. Bei der möglichen Bedrohung der Verschlüsselung durch Quanten-Computer eine lange Zeit für Wurzel-Zertifikate. (16.11.2025)
Der Bundesrat hat am 21.11. zu dem NIS-2 Umsetzungsgesetz in der Fassung des Beschlusses des Bundestages vom 13.11. den Vermittlungsausschuss nicht angerufen. Damit dürfte das Gesetz noch in diesem Jahr in Kraft treten.
Zu dem Regierungsentwurf des Gesetzes zur Umsetzung der CER-Richtlinie (KRITIS-Dachgesetz) hat der Bundesrat in gleicher Sitzung Stellung genommen. Er moniert unter anderem einen fehlenden "einheitlichen Vollzug der Maßnahmen in Bund, Ländern und Kommunen"(!). Außerdem vermisst er die allgemein üblichen hier aber fehlenden KRITIS-Sektoren "Staat und Verwaltung" sowie "Medien und Kultur". Auch die weitere grundsätzliche Kritik an dem Entwurf ist sinnvoll. (22.11.)
Ab sofort unterstützt die aktuelle Version von OpenSSH für Windows (OpenSSH_for_Windows_10.0p2 Win32-OpenSSH-GitHub, LibreSSL 4.2.0) auch die hybriden quantensicheren Schlüsselaustausch-Verfahren mlkem768x25519 und sntrup761x25519. Auch wenn die Version mit "This is a preview-release (non-production ready)" bezeichnet wird, kann zumindest der Klient produktiv genutzt werden. Die Version kann mit winget install "openssh preview" in der Eingabeaufforderung installiert werden (da wird die Server-Komponente mitinstalliert).
Läuft auf dem Remote Server ein aktueller OpenSSH Server wird die Schlüsselvereinbarung ohne weitere Konfiguration mit einem quantensicheren hybriden Schlüsselaustausch erfolgen. Die Authentisierung erfolgt allerdings noch mit klassischen Algorithmen. (30.10.)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im September die Version 1.3 der Konfigurationsempfehlungen für die Microsoft Office Anwendungen Microsoft Access, Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, Microsoft Visio sowie Microsoft Word (Stand 28.3. 2025) veröffentlicht. Die aktuelle Veröffentlichung ergänzt Empfehlungen zur Version 2024. Die Gruppenrichtlinien helfen dabei, die Angriffsfläche auf Anwendungen von Microsoft Office zu verringern bzw. die Sicherheit zu erhöhen. Sie garantieren keine 100%-ige Sicherheit. (26.10.)
Das Bundesministerium des Innern hat am 1.9.2025 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (Stand 27.8.) veröffentlicht. Der Entwurf enthält auch den Entwurf des sog. KRITIS-Dachgesetzes. Der Gesetzentwurf setzt die CER-Richtlinie um und ist damit quasi die Schwester des Entwurfs des NIS2-Umsetzungsgesetzes. Der Entwurf des KRITIS-Dachgesetzes enthält wenig konkrete Vorgaben, dafür aber mehrere Verordnungsermächtigungen. "Zur weiteren Konkretisierung von sektorübergreifenden Resilienzmaßnahmen wird es eine Rechtsverordnungsermächtigung für das Bundesministerium des Innern geben, um einen Katalog mit Mindestanforderungen festzulegen." Es soll eine "gemeinsame Rechtsverordnung zur Bestimmung von Betreibern kritischer Anlagen sowie wichtiger und besonders wichtiger Einrichtungen nach dem KRITIS-Dachgesetz und dem BSIG geben." Während die DORA-Verordnung und der Entwurf des NIS2-Umsetzungsgesetzes sich um die Cybersicherheit kümmern, regelt das KRITIS-Dachgesetz die physische Resilienz. (9.9.)
In eigener Sache: Diese Webseite verwendet ab sofort die hybride Schlüsselvereinbarung "X25519MLKEM768" als bevorzugtes Verfahren. Die Kombination aus dem bewährten klassischem X25519 und dem quantensicheren ML-KEM (FIPS 203) wird von den Browsern Mozilla Firefox, Google Chrome und Microsoft Edge in den aktuellen Versionen unterstützt. Dies ist die erste kleine technische Umsetzung im Sinne des "Fahrplans für den Übergang zur Post-Quantum-Kryptographie" der Europäischen Kommission. Die Umstellung war einfacher als erwartet. (10.8.)
Das Buch "IT-Sicherheit für Dummies", das ich zusammen mit Sebastian R. Gerling geschrieben habe, ist jetzt erschienen und wir haben heute die ersten Exemplare erhalten. Damit können wir das Ergebnis der Arbeit der letzten eineinhalb Jahre buchstäblich in die Hand nehmen. Weitere Informationen - Inhaltsverzeichnis, Probeseiten und alle Links aus dem Buch - finden Sie auf der Web-Seite zum Buch. (20.4.22)
Ältere aktuelle Nachrichten sind hier archiviert
