image

LinkedIn start uitrol standaard HTTPS in Nederland

donderdag 12 december 2013, 16:18 door Redactie, 2 reacties

Nederland is het eerste land ter wereld waar de volledige sessie van LinkedIn-gebruikers standaard versleuteld is. Dat moet voorkomen dat derden de verbinding kunnen afluisteren. LinkedIn zegt bewust voor Nederland gekozen te hebben omdat Nederlandse gebruikers zeer actief op de website zijn.

De rest van de wereld zal de komende maanden volgen. Gebruikers logden al via HTTPS bij de zakelijke sociale netwerksite in, maar andere delen van de sessie liepen over HTTP en waren daardoor kwetsbaar voor afluisteren. Het probleem speelde niet bij mobiele gebruikers, aangezien de mobiele versie van de website altijd al over HTTPS liep.

Vooralsnog zal alleen de sessie van Nederlandse LinkedIn-gebruikers met Mozilla Firefox of Google Chrome volledig versleuteld zijn als ze inloggen. Andere browsers zullen volgen, zegt engineering manager Arvind Mani. In de loop van de tijd zal LinkedIn bestaande HTTP-sessies van gebruikers naar HTTPS upgraden en een nieuw authenticatiecookie uitgeven.

Toekomst

Naast de omzetting naar HTTPS werkt LinkedIn ook aan de implementatie van de HTTP Strict Transport Security (HSTS) headers. Die laat browsers weten dat ze de website alleen via HTTPS moeten benaderen. De header zal worden ingesteld zodra alle gebruikers standaard HTTPS gebruiken. Verder wil LinkedIn TLS 1.2 gaan ondersteunen, alsmede Perfect Forward Secrecy (PFS).

Bij PFS wordt voor elke sessie met een gebruiker een aparte sleutel gegenereerd en na het aflopen van de sessie verwijderd. In het geval aanvallers de encryptiesleutel van het SSL-certificaat compromitteren hebben ze nog geen toegang tot de eerder opgeslagen sessies van gebruikers.

Ook wordt er gekeken of de ondersteuning van SSL 3.0 en RC4 moet worden stopgezet. Er zijn praktische aanvallen tegen RC4 gedemonstreerd, waardoor steeds meer partijen dit encryptiealgoritme niet meer ondersteunen of van plan zijn de ondersteuning te stoppen.

Om gebruikers verder te beschermen gaat LinkedIn 'pinning' gebruiken. Hierbij vertelt de website aan de browser welke Certificate Authority het voor het SSL-certificaat gebruikt. Dit moet voorkomen dat een aanvaller bij een andere Certificate Authority een SSL-certificaat voor LinkedIn kan genereren en kan gebruiken om gebruikers af te luisteren, aangezien de browser kan zien dat het certificaat van een andere partij afkomstig is.

Reacties (2)
12-12-2013, 16:23 door Anoniem
Hadden ze dat nog niet?! Ik weet niet of ik het al die tijd over het hoofd heb gezien (meestal controleer ik https bij inloggen) maar ik zou toch denken dat dit inmiddels wel de standaard is.
13-12-2013, 09:26 door Anoniem
"Hadden ze dat nog niet?! Ik weet niet of ik het al die tijd over het hoofd heb gezien (meestal controleer ik https bij inloggen) maar ik zou toch denken dat dit inmiddels wel de standaard is."

Het gaat niet over encryptie bij het inloggen, maar over encryptie van de gehele sessie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.