Nieuws

Geen SSL 2.0 in Internet Explorer 7

dinsdag 25 oktober 2005, 10:45 door Redactie, 17 reacties

Microsoft heeft bekend gemaakt dat het geen gebruik zal maken van het SSLv2 (Secure Socket Layer) protocol in Internet Explorer 7. In plaats daarvan kiest men voor de veiligere TLSv1 (Transport Layer Security) of SSL 3.0 protocollen, wat de veiligheid en "user experience" voor HTTPS verbindingen ten goede zou moeten komen.

De softwaregigant roept website beheerders dan ook op om de nodige aanpassingen te maken. Eerder liet Mozilla al weten dat haar open source browser Firefox geen SSL2.0 meer zal ondersteunen. SSL 2.0 wordt algemeen als onveilig gezien en zou nog door een beperkt aantal websites gebruikt worden. Het aanpassen van de website zodat TLS en SSL 3.0 ondersteund worden is een vrij kleine ingreep, aldus Microsoft.

Tevens zal de nieuwe Internet Explorer automatisch HTTPS websites blokkeren die "problematische" certificaten gebruiken. Het gaat om certificaten die verlopen zijn of van een onbetrouwbare uitgever of andere host dan de URL afkomstig zijn. De gebruiker kan de waarschuwing die IE geeft negeren, maar dan zal de adresbalk rood worden om het probleem nog maar eens duidelijk te maken.

Ook de This page contains both secure and nonsecure items. Do you want to see the nonsecure items? melding zal verdwijnen. IE7 toont alleen het veilige gedeelte, waarbij gebruikers zelf kunnen kiezen of ze ook het onbeveiligde gedeelte willen zien.

Meer over de security plannen voor Internet Explorer 7 zijn te vinden in het IE Blog.

Mobiele porno sites interessant doelwit voor DoS-afpersers

"Electronisch paspoort Australie veiligste ooit"

Reacties (17)

25-10-2005, 11:42 door Anoniem

Microsoft gaat nog een lesje leren over "problematische"
certificaten!
http://www.microsoftelearning.com

Could not verify this certificate because the issuer is
unknown.

25-10-2005, 12:07 door SirDice

Eerder liet Mozilla al weten dat haar open source
browser firefox geen SSL2.0 meer zal ondersteunen.

Goed voorbeeld doet volgen :)

25-10-2005, 12:37 door Anoniem

Door SirDice
Goed voorbeeld doet volgen :)

Ja, want MS volgt een klein bedrijfje dat net een paar
procenten in de browser markt in handen heeft....

Dat Mozilla SSL2 niet ondersteund heeft (zo goed als) geen
invloed op beheerders van webservers en dergelijke, omdat
Moilla browsers (zo goed als) alleen maar door hobby-isten
gebruikt worden. Als MS stopt met SSL2 ondersteunen MOETEN
webmasters wel overstappen, want dit heeft invloed op het
grootste gedeelte van hun bezoekers. Mozilla kan, doordat
bedrijven hun browsers niet gebruiken, heel makkelijk
stoppen met ondersteuning van bepaalde technieken, maar MS
moet wel rekening houden met die bedrijven.

Dat Mozilla is gestopt met ondersteuning van SSL2 heeft
niets te maken met de keuze van MS om er ook mee te stoppen.

25-10-2005, 13:26 door Anoniem

> maar MS moet wel rekening houden met die bedrijven.

Wordt hiermee soms gesuggereerd dat MS ooit rekening houdt
met standaarden / gebruikers?

25-10-2005, 13:46 door Anoniem

De reden voor het niet langer onsteunen is VEILIGHEID. Gelukkig heeft
Microsoft dat nu ook ingezien. Heeft NIETS met marktaandeel te maken!

25-10-2005, 13:48 door Anoniem

Door Anoniem
> maar MS moet wel rekening houden met die bedrijven.

Wordt hiermee soms gesuggereerd dat MS ooit rekening houdt
met standaarden / gebruikers?

Bedrijven zijn geen standaarden, wel gebruiker, maar ik zou
het liever klanten noemen. MS houd absoluut zeker wel
rekening met klanten..

25-10-2005, 13:50 door SirDice

Door Anoniem
> maar MS moet wel rekening houden met die bedrijven.

Wordt hiermee soms gesuggereerd dat MS ooit rekening houdt
met standaarden / gebruikers?

Waarom dacht je dat die oude 16bit windows meuk nog steeds
werkt?

25-10-2005, 14:23 door Anoniem

Door SirDice

Door Anoniem
> maar MS moet wel rekening houden met die bedrijven.

Wordt hiermee soms gesuggereerd dat MS ooit rekening houdt
met standaarden / gebruikers?

Waarom dacht je dat die oude 16bit windows meuk nog steeds
werkt?

pardon "werkt", werkt het dan?!

25-10-2005, 17:49 door SirDice

Door Anoniem
Ja, want MS volgt een klein bedrijfje dat net een paar procenten in de browser markt in handen heeft....

Ze (MS) kunnen nu weer roepen: "Kijk, wij zijn net zo veilig als (of op de echte MS style, veiliger dan) firefox". Heeft niets met marktaandeel te maken en alles met image.

Dat Mozilla SSL2 niet ondersteund heeft (zo goed als) geen invloed op beheerders van webservers en dergelijke, omdat Moilla browsers (zo goed als) alleen maar door hobby-isten gebruikt worden.

Nee, de reden is eerder dat webservers, anno 2005, allemaal TLS/SSLv3 ondersteunen. Daarom heeft het weinig tot geen impact. En daarom gaat MS nu ook over. Met natuurlijk de nadrukkelijke mededeling dat ze dit, terecht, doen om hun gebruikers te beschermen (is goed voor hun imago).

Mozilla kan, doordat bedrijven hun browsers niet gebruiken, heel makkelijk stoppen met ondersteuning van bepaalde technieken, maar MS moet wel rekening houden met die bedrijven.

Als er nog heel veel webservers waren die alleen SSLv2 ondersteunen had MS SSLv2 er nooit uitgehaald (onder het mom van de gebruikersvriendelijkheid / compatibiliteit). Juist om de reden die je noemt.

Dat Mozilla is gestopt met ondersteuning van SSL2 heeft niets te maken met de keuze van MS om er ook mee te stoppen.

Ze hebben beiden dezelfde afweging gemaakt en zijn beiden tot dezelfde conclusie gekomen. En wellicht heeft de beslissing van Mozilla om het te doen MS net dat kleine duwtje gegeven om ook de ondersteuning te stoppen (reken maar dat MS Mozilla scherp in de gaten houdt). Maar dat zal niemand ooit te weten komen..

25-10-2005, 18:00 door G-Force

TLS 1.0 wordt ook al ondersteund door IE 6 SP1 (zie daarvoor de browser
opties>geavanceerd)

25-10-2005, 18:19 door SirDice

Door Peter.V
TLS 1.0 wordt ook al ondersteund door IE 6 SP1 (zie daarvoor
de browser
opties>geavanceerd)

Het gaat er juist om wat webservers ondersteunen en het
verwijderen van de ondersteuning van SSLv2 in de browser.
Alle, recente, browsers ondersteunen TLS/SSLv3.

25-10-2005, 23:14 door Anoniem

Door Anoniem
Microsoft gaat nog een lesje leren over "problematische"
certificaten!
http://www.microsoftelearning.com

Could not verify this certificate because the issuer is
unknown.

ligt aan jou, simpel

25-10-2005, 23:17 door Anoniem

Mooi he, na maanden weer eens wat te lezen heeft het artikel met de
meeste reacties weer het meeste geneuzel over microsoft ipv IT Security.
Zo zal het nooit wat worden.

26-10-2005, 12:41 door hugo_nl

Dat Mozilla is gestopt met ondersteuning van SSL2 heeft
niets te maken met de keuze van MS om er ook mee te
stoppen.

Nou -- wees daar niet al te zeker van.

I.E. gebruikt gedeeltelijk dezelfde code als Mozilla -- niet
alleen de reactie m.b.t, SSL v2.0 van ze bewijst het, maar
de luttele gaten die in korte tijd bij beide browsers werden
ontdekt spreken boekdelen... Toevallig genoeg betroffen die
gaten het afhandelen van encryptie..... Typisch geval van
diefstal en het enige wat ze vrij zou kunnen spreken is het
vrijgeven van de I.E. code, maar dat doen ze natuurlijk nooit!

Als de Mozilla-beheerders er niet meer aan werken zou dat
betekenen dat MS's eigen apen aan het werk moeten -- en die
hebben hun handen al vol aan het maken van alle eye-candy
voor Vista. :P

26-10-2005, 15:21 door bustersnyvel

Door Anoniem
Ja, want MS volgt een klein bedrijfje dat net een paar
procenten in de browser markt in handen heeft....

Het is maar wat je "een paar procenten" noemt... mijn site
heeft 32% firefox gebruikers als bezoekers.

26-10-2005, 17:07 door Anoniem

De veiligheid gaat er door deze punten wel zeker op vooruit.
Paginas die dan nog SSL 2.0 gebruiken zullen gewoon moeten
overstappen. En ze moeten ook zorgen voor geldige en niet
verlopen certificaten. Certificaten zijn best wel duur hoor!
Geldige van Thawte bijvoorbeeld.

Het wordt er iig wel beter op vind ik.

31-10-2005, 12:43 door Anoniem

Door Anoniem

Door SirDice
Goed voorbeeld doet volgen :)

Dat Firefox alleen maar gebruikt zou worden door hobby-isten
is flauwe kul. Ik mag aannemen dat je dat zelf ook wel
realiseert.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Kerstkaart:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Mijn werkgever laat mij opdraaien voor een beschadigde of gestolen werklaptop. Mag dat wel?

11-12-2024 door Arnoud Engelfriet

Juridische vraag: mijn werkgever hanteert het beleid dat werknemers 100% verantwoordelijk zijn voor de kosten van vervanging of ...

31 reacties

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Geen SSL 2.0 in Internet Explorer 7

Kerstkaart:

Wachtwoord Vergeten

Password Reset

Registreren