Logjam beveiligingslek in verouderd SSL encryptieprotocol

20 mei 2015

Onderzoekers hebben opnieuw een kwetsbaarheid gevonden in SSL, waarbij misbruik gemaakt kan worden van een verouderde techniek.

Wat is er aan de hand?

De 'Logjam' kwetsbaarheid maakt net zoals het recente FREAK beveiligingslek misbruik van een verouderd encryptie algoritme. Voor het uitwisselen van sleutels wordt normaal gesproken gebruik gemaakt van het nieuwste protocol dat een browser en een server beide ondersteunen. Logjam maakt het mogelijk voor aanvallers de versleuteling te verlagen naar een onveilige 512-bit.

Anders dan bij FREAK zit deze kwetsbaarheid niet in de SSL implementatie, maar in het gebruik van het Diffie-Hellman protocol. Dit maakt alle webservers die dit protocol (DHE_EXPORT ciphers) ondersteunen kwetsbaar, en alle moderne browsers.

Wat kun je doen?

De browsers brengen zo snel mogelijk een update uit. Controleer of je browser kwetsbaar is en zorg er voor dat je altijd de laatste versie gebruikt. Gebruik op je server geen onveilige cipher suites en controleer na wijzigingen of je veilige cipher suites gebruikt via de SSL Server Test. Voor het instellen van veilige encryptie kun je een van de onderstaande handleidingen gebruiken:

• Encryptie instellen in IIS
• Encryptie instellen in Apache
• Encryptie instellen in Nginx

Certificaten onveilig?

Er komen vooral de laatste tijd regelmatig SSL en TLS kwetsbaarheden aan het licht. Dit betekent niet dat het gebruik van TLS en SSL  onveilig is, of geen nut meer heeft. Wél tonen deze kwetsbaarheden het belang van een goede implementatie aan. En omdat techniek continu verandert is het up-to-date houden hiervan erg belangrijk.