Kwetsbaarheid in SSL 3.0 ontdekt

15 oktober 2014

Vannacht is er in het encryptieprotocol SSL 3.0 een lek ontdekt, ook wel de POODLE kwetsbaarheid genoemd. Ondanks dat deze versie al ruim 15 jaar oud is, wordt het protocol door vele browsers en servers nog ondersteund. Het lek maakt het voor hackers mogelijk verkeer te onderscheppen en te lezen. Om dit te voorkomen kunt u op uw server én in uw browser het gebruik van SSL 3.0 uitschakelen. Het lek heeft dus geen invloed op welke SSL certificaten u gebruikt.


Wat is SSL 3.0?

Voor gebruik van SSL maken servers en browsers gebruik van een gemeenschappelijk encryptieprotocol. Dit protocol gebruikt SSL certificaten voor het opzetten van een veilige verbinding. Het protocol SSL 3.0 stamt uit 1996. Om SSL veilig te houden, worden er regelmatig nieuwe versies uitgebracht. Inmiddels is TLS al ruime tijd de opvolger van SSL, met als nieuwste protocol TLS 1.2. Omdat niet alle browsers de nieuwste protocollen ondersteunen, wordt gebruik van oudere protocollen vaak nog toegestaan. Internet Explorer 6 ondersteunt bijvoorbeeld geen TLS.

Wat is de kwetsbaarheid?

Een hacker kan door POODLE een man-in-the-middle attack uitvoeren bij verbindingen die gebruikmaken van SSL 3.0. Eerst zal een aanvaller moeten vaststellen welk protocol er gebruikt wordt, en vervolgens kan hij het gebruik van SSL 3.0 afdwingen. Als dit lukt kan hij vervolgens verkeer onderscheppen.

Wat kan ik doen?

Op zowel een client (als gebruiker) als een server (als beheerder) kunt u aangeven welke protocollen u wilt toestaan. Onderstaand instructies voor de gangbare browsers en servers.

SSL 3.0 uitschakelen op uw server

U kunt ervoor kiezen SSL 3.0 helemaal niet meer toe te staan. Dit kan wel zorgen voor compatibileitsproblemen voor gebruikers van oudere systemen. De wijze van uitschakelen/instellen verschilt per server:


Een alternatief dat dit voorkomt is het gebruik van 'TLS Fallback'. Deze techniek zorgt ervoor dat aanvallers het gebruik van SSL 3.0 niet kunnen afdwingen. Momenteel wordt deze techniek alleen ondersteund door Google producten.

SSL 3.0 uitschakelen in uw browser

Welk encryptieprotocol uw browser gebruikt hangt af van het soort browser en de versie die u gebruikt. Browsers brengen regelmatig updates uit om veilig te blijven. Het lek in SSL 3.0 benadrukt het belang van het up to date houden van uw browser:

  • Google Chrome maakt al gebruik van de TLS FALLBACK techniek, dus SSL 3.0 uitschakelen is niet direct nodig.

  • Mozilla Firefox brengt naar verwachting eind november een update uit die geen SSL 3.0 meer ondersteunt. Tot die tijd kunt u dit op de volgende wijze handmatig uitschakelen:
  1. Ga in de adresbalk naar about:config
  2. Selecteer security.tls.version.min
  3. Zet de waarde op 1

  • Internet Explorer via de volgende stappen:
  1. Ga naar Internet Opties
  2. Vervolgens naar tabblad Geavanceerd
  3. Vink SSL 3.0 gebruiken uit

Heeft u nog vragen? Neem dan gerust even contact met ons op!

Onze websites

  • sslcertificaten.nl
  • digitalehandtekeningen.nl
  • vulnerabilityscans.nl

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.