Dagen van SSL 3.0 zijn geteld
De POODLE-aanval maakt gebruik van een zwakte in het SSL 3.0-protocol. De afsluitende gegevens die toegevoegd worden om een te versleutelen blok gegevens op de standaardlengte te brengen, blijken gemanipuleerd te kunnen worden. Daarmee kan de versleuteling ongedaan worden gemaakt en dat biedt hackers de kans om gegevens te stelen waarmee ze zich voor kunnen doen als hun slachtoffer.
Shutterstock
Shutterstock
SSL 3.0 stamt uit 1996, en werd in 1999 opgevolgd door TLS 1.0. Desondanks zijn er nog steeds sites die op SSL 3.0 vertrouwen voor de versleuteling. En om die reden bieden browsers de mogelijkheid om terug te vallen op SSL 3.0-versleuteling, wanneer TLS niet mogelijk blijkt. Dat is handig voor hackers die een sessie met een website weten te kapen, bijvoorbeeld met een gefabriceerd linkje in een mailtje, want die kunnen van dat mechanisme gebruikmaken om hun doelwit via het onveilige SSL 3.0 te laten communiceren.
Hoeveel website nog steeds van SSL 3.0 gebruikmaken is onbekend. Maar het waren er kennelijk genoeg om te voorkomen dat de browserleveranciers ondersteuning ervan eerder al staakten. Maar dat gaat nu toch op afzienbare termijn gebeuren.
Firefox bijt de spits af
Mozilla was de eerste die deze maatregel aankondigde. Vanaf versie 34, die op 25 november verschijnt, staat ondersteuning van SSL 3.0 standaard uit. En het valt niet te verwachten dat velen dat handmatig weer in zullen schakelen. Wie nu al maatregelen wil nemen, kan Firefox tegen POODLE beschermen met de add-on SSL Version Control.
Google staakt SSL 3.0-ondersteuning rond de jaarwisseling
Google maakte gisteren bekend dat in de volgende versie van Chrome het terugvalmechanisme wordt uitgeschakeld. Dat is sowieso alleen nodig voor slecht geconfigureerde TLS 1-websites, stelt Google. Correct geconfigureerde SSL 3.0-websites zal men met Chrome 39 nog wel kunnen bezoeken, al komt dan wel een geel waarschuwingsbordje bij het versleutelingsicoontje te staan. Volgens de huidige plannen staakt Google de ondersteuning van SSL 3.0 in Chrome 40. Wanneer die versies beschikbaar komen, is niet precies bekend. Chrome 39 wordt in november verwacht, en Chrome 40 rond de jaarwisseling.
Google houdt wel de slag om de arm dat de planning kan veranderen als er te veel compatibiliteitsproblemen ontstaan. Bedrijven kunnen desgewenst zelf minimumversies specificeren voor SSL-ondersteuning en het toestaan van terugval naar SSL 3.0.
Microsoft heeft hooguit enkele maanden nodig
Microsoft heeft inmiddels een tijdelijke oplossing via Fixit gepubliceerd waarmee men een tooltje downloadt om ondersteuning van SSL 3.0 uit te schakelen. Ook Microsoft gaat ondersteuning van SSL 3.0 uitfaseren. Omdat dat in het geval van Internet Explorer ook een ingreep in het onderliggende besturingssysteem vergt, kan dat wat langer duren. Microsoft zelf rept van 'enkele maanden'
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee