Nieuws
Maatregelen naar aanleiding van SSL/TLS kwetsbaarheden
Gepubliceerd op woensdag, 04 maart 2015 door Tom Wijnroks
Vandaag zijn er nieuwe kwetsbaarheden in het SSL/TLS protocol bekend gemaakt waardoor het voor kwaadwillenden in specifieke gevallen mogelijk is om versleuteld verkeer te onderscheppen.
Het SSL/TLS protocol kent diverse cipher suites (methodes) om een versleutelde verbinding op te zetten. Een aantal van deze cipher suites worden tegenwoordig niet meer aangeraden, omdat deze zwak en onveilig zijn. Ondanks dat de zwakke cipher suites niet meer worden aangeraden zijn deze nog wel aanwezig op veel servers en clients (o.a. in browers). Als een browser een versleutelde verbinding wil opzetten met een website, vraagt de browser aan de server welke cipher suites beschikbaar zijn. Zodra de cipher suites bekend zijn, zal een browser automatisch de sterkste cipher suite gebruiken.
Omdat de zwakke cipher suites nog wel aanwezig zijn kunnen kwaadwillenden deze misbruiken. Via een zogenoemde man-in-the-middle-aanval kan een client worden omgeleid naar een server van de aanvaller. Deze server stelt vervolgens enkel de zwakke cipher suites beschikbaar, waardoor de browser automatisch de zwakste cipher suite gebruikt om een versleutelde verbinding op te zetten. Vervolgens kan de aanvaller het versleutelde verkeer onderscheppen en de informatie eenvoudig ontsleutelen.
Om deze kwetsbaarheden op te lossen moeten de zwakke (onveilige) cipher suites worden uitgeschakeld. Exonet heeft vandaag alle servers van klanten met een SLA gecontroleerd op zwakke cipher suites. Op vrijwel alle servers waren de zwakke ciphers die in deze kwetsbaarheid misbruikt worden al uitgeschakeld, waardoor servers niet vatbaar waren. Op enkele servers hebben wij aanpassingen doorgevoerd om het op te lossen. Tevens hebben ontwikkelaars van bekende browsers vandaag ook updates uitgebracht of aangekondigd.
Meer achtergrond informatie over deze SSL/TLS kwetsbaarheden kunt u vinden op:
https://tweakers.net
https://freakattack.com
https://smacktls.com
Mocht u nog vragen of opmerkingen hebben, neem dan contact op met onze support afdeling.