Nieuws
image

Veel SSL-certificaten veiliger dankzij Heartbleed

dinsdag 6 mei 2014, 10:05 door Redactie, 6 reacties

De Heartbleed-bug in OpenSSL heeft ervoor gezorgd dat veel SSL-certificaten veiliger zijn geworden en lastiger door overheden te compromitteren zijn. Vanwege de Heartbleed-bug liepen meer dan 500.000 SSL-certificaten risico dat een aanvaller de privésleutel van het certificaat zou kunnen bemachtigen.

Door de Heartbleed-bug was het namelijk mogelijk om informatie uit het geheugen van webservers te stelen, zoals wachtwoorden en sessiecookies. In bepaalde gevallen zou ook de encryptiesleutel van het SSL-certificaat kunnen worden buitgemaakt. SSL-certificaten zorgen er onder andere voor dat verkeer tussen bezoekers en de website versleuteld wordt. Met de buitgemaakte encryptiesleutel zou een aanvaller het verkeer echter kunnen ontsleutelen.

Vanwege het risico besloten veel websites hun certificaat opnieuw uit te geven of in z'n geheel te vervangen. In plaats van het SHA-1-algoritme dat voor het oorspronkelijke certificaat werd gebruikt, werden deze certificaten met het veiligere SHA-2-algoritme gesigneerd. Het aantal SSL-certificaten dat met SHA-2 gesigneerd is groeide de afgelopen maand met meer dan 50%.

SHA-1

Volgens internetbedrijf Netcraft dat de groei ontdekte zijn overheidsinstanties in staat om praktische aanvallen tegen het SHA-1-algoritme uit te voeren, waardoor Man-in-the-middle- en phishingaanvallen mogelijk zijn. Verschillende organisaties riepen al voor de ontdekking van de Heartbleed-bug op om naar het veiligere SHA-2 te migreren. Zo accepteert Microsoft vanaf 2017 geen certificaten die met SHA-1 zijn gesigneerd.

De Heartbleed-bug heeft de migratie echter een boost gegeven. Er zijn nu bijna 200.000 certificaten met SHA-2 gesigneerd. Paul Mutton van Netcraft merkt op dat er nog een lange weg te gaan is, aangezien meer dan 93% van de certificaten nog steeds met SHA-1 is gesigneerd.

Image

Reacties (6)
06-05-2014, 11:20 door Mysterio
De Heartbleed-bug in OpenSSL heeft ervoor gezorgd dat veel SSL-certificaten veiliger zijn geworden en lastiger door overheden te compromitteren zijn.
Toch is het jammer dat overheden de bad-guy's zijn geworden. Vroeger hoefden we ons alleen maar druk te maken om criminelen. Doet me toch afvragen of we niet te veel meegaan in de hype om alles wat overheid is te wantrouwen.
06-05-2014, 11:43 door Anoniem
Door Mysterio:
De Heartbleed-bug in OpenSSL heeft ervoor gezorgd dat veel SSL-certificaten veiliger zijn geworden en lastiger door overheden te compromitteren zijn.
(omdat je het toch aanhaalt) Zoiets heet een geluk bij een ongeluk; de schade wordt er niet minder om.

Toch is het jammer dat overheden de bad-guy's zijn geworden. Vroeger hoefden we ons alleen maar druk te maken om criminelen. Doet me toch afvragen of we niet te veel meegaan in de hype om alles wat overheid is te wantrouwen.
Dat zie je verkeerd. Iedereen wist dat overheden spioneren. Het was zelfs al zo langzamerhand een publiek geheim dat ze zich ook schuldig maken aan bedrijfsspionage--en de resultaten doorgaven aan "eigen" bedrijven. Dat kun je zien aan bijvoorbeeld dat als je probeert leuke orders binnen te halen in het buitenland dat een telefoon (en email) met encryptie geen overbodige luxe is. Dat ze dat ook en steeds meer tegen willekeurig welke burgers doen op een veel grotere schaal dan de STASI dat ooit deed... dat hadden we ons nog niet gerealiseerd.

Dus of je dit nou als een hype moet afdoen? Ik denk dat die beerput nog veel dieper is en dat het niet eens de enige beerput is. Ik denk ook dat dit uiteindelijk een fundamentele verschuiving moet gaan opleveren in wat we aan de overheid overlaten en wat we dan toch liever zelf doen.
06-05-2014, 12:22 door Mysterio
We praten over 'de overheid' alsof het een abstract losstaand instituut is wat ver van ons vandaan staat en buiten onze invloedssfeer zich bevindt. Nu geldt dat zeker voor een vreemde overheid, maar onze eigen overheid is door ons beïnvloedbaar en bestaat zelfs uit mensen die onze samenleving vertegenwoordigen. Doe je een beetje je best dan kun je ook 'de overheid' worden.

Zo bekeken vind ik het vreemd. Vreemd dat degenen die ons vertegenwoordigen en over onze veiligheid (en zo) zorg dragen, dat we ons tegen hen zouden moeten verdedigen. Ergens gaat er daar wat scheef.
06-05-2014, 15:16 door Anoniem
Door Mysterio: We praten over 'de overheid' alsof het een abstract losstaand instituut is wat ver van ons vandaan staat en buiten onze invloedssfeer zich bevindt. Nu geldt dat zeker voor een vreemde overheid, maar onze eigen overheid is door ons beïnvloedbaar en bestaat zelfs uit mensen die onze samenleving vertegenwoordigen. Doe je een beetje je best dan kun je ook 'de overheid' worden.

Zo bekeken vind ik het vreemd. Vreemd dat degenen die ons vertegenwoordigen en over onze veiligheid (en zo) zorg dragen, dat we ons tegen hen zouden moeten verdedigen. Ergens gaat er daar wat scheef.

Ik vermoed dat de overheid waar men op doelt niet zozeer onze eigen overheid is alswel die in den vreemde. En dan is al wel bekend dat zelfs binnen Europa men elkaar beconcureert laat staan buiten de Europese grenzen...
06-05-2014, 20:08 door Anoniem
Door Anoniem:
Door Mysterio: We praten over 'de overheid' alsof het een abstract losstaand instituut is wat ver van ons vandaan staat en buiten onze invloedssfeer zich bevindt. Nu geldt dat zeker voor een vreemde overheid, maar onze eigen overheid is door ons beïnvloedbaar en bestaat zelfs uit mensen die onze samenleving vertegenwoordigen. Doe je een beetje je best dan kun je ook 'de overheid' worden.

Zo bekeken vind ik het vreemd. Vreemd dat degenen die ons vertegenwoordigen en over onze veiligheid (en zo) zorg dragen, dat we ons tegen hen zouden moeten verdedigen. Ergens gaat er daar wat scheef.

Ik vermoed dat de overheid waar men op doelt niet zozeer onze eigen overheid is alswel die in den vreemde. En dan is al wel bekend dat zelfs binnen Europa men elkaar beconcureert laat staan buiten de Europese grenzen...

Ik denk dat het ook wel degelijk onze eigen overheid is die we moeten wantrouwen.
Wanneer je bedenkt dat er steeds meer datamining en daarme profilering plaats vind. Ook het veiligheids gevoel dat we als burgers willen hebben is daar een oorzaak van. we brullen om meer toezicht, camera's, blauw met meer bevoegdheden. En als er iets fout gaat dan kjjken we direct naar de overheid. Eigenlijk willen we in een risico 0 maatschappij leven met behoud van maximale vrijheid.
Omdat de overheid en ander financieele belangen die roep series neemt en dus ons maximaal in de mangel neemt met controle zonder privacy gedachte krijg je dat.
We moeten, denk ik meer incasserings vermogen tonen als er iets fout gaat, en de overheid en andere instanties terugfluiten die onze onderbuik aanspreken om dingen gedaan te krijgen (terrorisme, kinderporno) of camoufleren (EPD/Landelijk Schakel Punt)
Dan moet je ook nog willen inzien dat je keuze in het stemhokje meestal een compromis keuze is, diein het ederlandse bestel nov verder verwatert dooreen coalitie. En die coalitie wordt vooral door de financieele belangen gesfuurd.

Dus ja wantrouw ook je zelf en probeer ook nog in het goede bedoelingen van de medemens te geloven.
12-05-2014, 18:51 door Anoniem
Me dunkt juist dat we ons 'vroeger' ten onrechte niet duk hebben gemaakt om overheden. Nu dringt het besef door dat 'de overheid' onze vriend niet (meer) is.
Merkwaardig bijvoorbeeld dat vanwege de NSA-perikelen velen menen dat Europa een eigen internet of een eigen cloud moet hebben, terwijl onze Europese inlichtingendiensten en politie-instanties verdergaande bevoegdheden hebben om tegen eigen burgers te opereren dan Amerikaanse instellingen hadden - die werden genegeerd - maar vooral hebben tegen hun burgers.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure