-

Let op: browsers schakelen SSL versleuteling uit

Google gaat vanaf Chrome 39 SSL 3.0 uitschalen, en vanaf versie 4.0 het protocol geheel verwijderen. Ook Microsoft heeft een dergelijke drastische maatregel aangekondigd nu de technologie gevoelig blijkt te zijn voor aanvallen.
     
De zogenoermde POODLE-aanval, waarover de afgelopen weken veel is geschreven, maakt gebruik van een zwakte in het SSL 3-protocol, waarmee de versleuteling ongedaan kan worden gemaakt. POODLE staat voor Padding Oracle On Downgraded Legacy Encryption.

Secure Socket Layer (SSL) en opvolger Transport Layer Security (TLS) zijn het meest gebruikte beveiligingsprotocol voor het web. SSL en TLS worden gebruikt voor de beveiliging van online transacties met creditcards, voor systeemlogins en gevoelige informatie die online wordt uitgewisseld, voor de de beveiliging van webmail en toepassingen zoals Outlook Web Access, Exchange en Office Communications Server, voor de beveiliging van workflow- en virtualisatietoepassingen zoals Citrix Delivery Platforms of cloud-based computerplatformen en zo verder.

SSL 3.0 dateert nog van 1996, en werd reeds in 1999 opgevolgd door TLS 1.0. Toch zijn er nog veel sites die SSL 3.0 gebruiken voor de versleuteling. Dat is de reden dat browser de standaard nog  ondersteunen, soms al terugvalmechanisme.

Volgens de site Alexa zijn er nog maar weinig sites die uitsluitend SSL 3 gebruiken, alleen zijn er zeker een half miljoen HTTPS-sites die wel compatibel zijn met SSL 3.0  En dat zijn dan nog alleen Amerikaanse sites. Het gebruik van de versleuteling is dus wijdverspreid.

Mozilla zet vanaf versie 34, die op 25 november verschijnt, SSL 3.0 standaard uit. Er is al een add-on SSL Version Control om oudere versies te beschermen. Met Chrome 39 zijn websites die correct geconfigureerd zijn nog wel te bezoeken, maar gebruikers zien dan een geel waarschuwingsteken. Volgens de huidige plannen staakt Google de ondersteuning van SSL 3.0 in Chrome 40.  Microsoft heeft wat langer nodig, vermoedelijk ‘enkele maanden’.

Apple heeft SSL 3 al uitgeschakeld voor duwnotificaties en een bescherming aangeleverd voor zijn systeemsoftware (inclusief het nieuwe Yosemite OS), maar het gebruik van de browser Safari blijft riskant.

De ontdekking van het lek – die overigens moeilijk is te exploiteren – zal nu wel versneld leiden tot het uitfaseren van SSL, iets dat beveiligingsexperts al langer adviseren.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond