Nederland is het eerste land ter wereld waar de volledige sessie van LinkedIn-gebruikers standaard versleuteld is. Dat moet voorkomen dat derden de verbinding kunnen afluisteren. LinkedIn zegt bewust voor Nederland gekozen te hebben omdat Nederlandse gebruikers zeer actief op de website zijn.
De rest van de wereld zal de komende maanden volgen. Gebruikers logden al via HTTPS bij de zakelijke sociale netwerksite in, maar andere delen van de sessie liepen over HTTP en waren daardoor kwetsbaar voor afluisteren. Het probleem speelde niet bij mobiele gebruikers, aangezien de mobiele versie van de website altijd al over HTTPS liep.
Vooralsnog zal alleen de sessie van Nederlandse LinkedIn-gebruikers met Mozilla Firefox of Google Chrome volledig versleuteld zijn als ze inloggen. Andere browsers zullen volgen, zegt engineering manager Arvind Mani. In de loop van de tijd zal LinkedIn bestaande HTTP-sessies van gebruikers naar HTTPS upgraden en een nieuw authenticatiecookie uitgeven.
Naast de omzetting naar HTTPS werkt LinkedIn ook aan de implementatie van de HTTP Strict Transport Security (HSTS) headers. Die laat browsers weten dat ze de website alleen via HTTPS moeten benaderen. De header zal worden ingesteld zodra alle gebruikers standaard HTTPS gebruiken. Verder wil LinkedIn TLS 1.2 gaan ondersteunen, alsmede Perfect Forward Secrecy (PFS).
Bij PFS wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het aflopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de eerder opgeslagen sessies van gebruikers.
Ook wordt er gekeken of de ondersteuning van SSL 3.0 en RC4 moet worden stopgezet. Er zijn praktische aanvallen tegen RC4 gedemonstreerd, waardoor steeds meer partijen dit encryptiealgoritme niet meer ondersteunen of van plan zijn de ondersteuning te stoppen.
Om gebruikers verder te beschermen gaat LinkedIn 'pinning' gebruiken. Hierbij vertelt de website aan de browser welke Certificate Authority het voor het SSL-certificaat gebruikt. Dit moet voorkomen dat een aanvaller bij een andere Certificate Authority een SSL-certificaat voor LinkedIn kan genereren en kan gebruiken om gebruikers af te luisteren, aangezien de browser kan zien dat het certificaat van een andere partij afkomstig is.
Deze posting is gelocked. Reageren is niet meer mogelijk.