Innovatie & Strategie

Security
Firefox

Ban op onveilig TLS teruggedraaid vanwege coronacrisis

Firefox ziet tijdelijk af van ban op oudere TLS-versies, omdat sommige overheidssites die nog gebruiken.

© Mozilla
22 maart 2020

Firefox ziet tijdelijk af van ban op oudere TLS-versies, omdat sommige overheidssites die nog gebruiken.

Browsermaker Mozilla komt voor onbepaalde tijd terug op een eerder aangekondigd afschaffen van browsersupport voor TLS-versies 1.0 en 1.1. Bij bepaalde overheidssites zijn die twee oudere versies van het encryptieprotocol TLS (Transport Layer Security) voor beveiligde verbindingen met websites  in de praktijk nog veel in gebruik. Deze zijn kritiek in het delen van informatie over het nieuwe coronavirus.

TLS 1.0 en 1.1 zijn door Firefox in de ban gedaan volgens een lang geleden aangekondigde planning. Dit is gebeurd met ingang van versie 74, die eerder deze maand is uitgebracht. Voor beveiligde verbindingen met websites zou dan voortaan TLS 1.2 en 1.3 vereist zijn. Bezoek aan websites die nog 1.1 (uit 2006) of zelfs 1.0 (uit 1999) gebruiken, geeft gebruikers dan een foutmelding. Firefox-maker Mozilla komt hier nu echter op terug, vanwege de wereldwijde coronapandemie.

Achterlopende overheid

"We hebben de verandering ongedaan gemaakt voor een onbepaalde tijd om beter toegang mogelijk te maken tot kritieke overheidssites die COVID19-informatie delen", aldus Mozilla in de release notes voor Firefox 74. De opensourcestichting noemt hierbij geen namen van sites of overheden die hun belangrijke informatie nog 'beschermen' met de verouderde TLS-versies.

De oorspronkelijke 1.0-release is in 2011 gekraakt, middels de BEAST-aanval waardoor later nog beperkende maatregelen zijn getroffen door browsermakers Google, Microsoft, Apple en Mozilla. Verder is TLS ook vatbaar voor aanvallen als POODLE waarmee het toegepaste beveiligingsniveau wordt 'teruggeschakeld' naar een lager, kraakbaar niveau. TLS 1.0 en 1.1 worden algemeen beschouwd als zijnde niet langer veilig. Desondanks gebruiken veel sites die onveilige oudere versies nog altijd.

Chrome op pauze

Google heeft ook enige tijd terug al een ban aangekondigd op TLS 1.0 en 1.1 in zijn marktdominante browser Chrome. Sinds versie 79 (van januari dit jaar) krijgen gebruikers een beveiligingswaarschuwing bij bezoek aan sites die nog TLS 1.0 of 1.1 gebruiken. Met de komst van Chrome 81 deze maand zou een blokkade in moeten gaan, maar die release is vanwege de coronacrisis uitgesteld. Alle aankomende releases voor browser Chrome, en het daarop gebaseerde besturingssysteem Chrome OS, staan op pauze. Beveiligingsupdates voor kwetsbaarheden zijn hier natuurlijk van uitgezonderd.

Lees meer over Innovatie & Strategie OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.