Passwort - der Podcast von heise security Probleme mit Widerrufen, Verbindungsabbrüchen und anderem
Sep 10, 2025
Die Hosts beleuchten merkwürdige Marketing-Mails von DigiCert und kritisieren deren Phishing-Anfälligkeit. Zudem diskutieren sie die Herausforderungen der Microsoft PKI und die Schwierigkeiten bei der Zertifikatswiderrufung. Ein spannendes Thema sind die von Qualys entdeckten Core-Dump-Lücken und deren Auswirkungen auf Linux-Programme. Schließlich analysieren sie die MadeYouReset-Schwachstelle, die Server über HTTP/2 angreift. Praktische Abwehrstrategien und technische Details zu diesen Problemen werden ebenfalls behandelt.
AI Snips
Chapters
Transcript
Episode notes
Phishing‑natürlich echte DigiCert‑Mail
- Christopher berichtet von einer realen schrecklich gestalteten Kundenmail von DigiCert, die kaum von Phishing zu unterscheiden war.
- Er sammelt solche Beispiele für Vorträge und bittet Hörende, ähnliche E-Mails einzusenden.
Awareness hilft selten genug
- Studien zeigen: klassische Awareness‑Trainings reduzieren Klickraten auf Phishing nicht verlässlich und können Overconfidence erzeugen.
- Christopher und Sylvester empfehlen stattdessen technische Maßnahmen wie MFA und Passwortmanager priorisiert einzusetzen.
Kurze Zertifikate als Sicherheitsstrategie
- Let's Encrypt setzt kurze Zertifikatslaufzeiten zur Risikominimierung ein und akzeptiert höhere Betriebskosten.
- Kürzere Laufzeiten reduzieren die Abhängigkeit von problematischer Revocation und erhöhen Sicherheit.