Google gaat SSL 3.0 in Chrome uitschakelen
Om gebruikers tegen mogelijke aanvallen via een ernstig lek in SSL 3.0 te beschermen gaat Google het protocol in de browser uitschakelen. Via de kwetsbaarheid is het mogelijk voor een aanvaller die zich tussen een gebruiker en het internet bevindt, bijvoorbeeld bij een open wifi-netwerk, om vertrouwelijke informatie uit versleuteld verkeer te stelen, zoals sessiecookies.
De aanval werkt alleen als de aanvaller de browser van het doelwit op SSL 3.0 kan laten terugvallen. De meeste websites gebruiken nieuwere encryptieprotocollen, maar ondersteunen SSL 3.0 nog wel als er bijvoorbeeld problemen zijn bij het opzetten van een versleutelde verbinding via één van de nieuwere protocollen. Vanaf Chrome 39, wat de volgende versie is, zal het echter niet meer mogelijk zijn om de browser op SSL 3.0 terug te laten vallen. Vanaf Chrome 40 is Google van plan om de ondersteuning van SSL 3.0 volledig uit te schakelen, zo heeft Google-engineer Adam Langley laten weten.
Gisteren kwam Microsoft al met het nieuws dat het de ondersteuning van SSL 3.0 in Internet Explorer alsmede andere online diensten gaat stoppen. Voor gebruikers die hierop niet kunnen wachten is er een Fix-it-oplossing verschenen waarmee het protocol via één muisklik in IE kan worden uitgeschakeld.
Gisteren kwam Microsoft al met het nieuws dat het de ondersteuning van SSL 3.0 in Internet Explorer alsmede andere online diensten gaat stoppen. Voor gebruikers die hierop niet kunnen wachten is er een Fix-it-oplossing verschenen waarmee het protocol via één muisklik in IE kan worden uitgeschakeld.
houd er met die Fix it wel rekening mee dat in het geval eventueel nog IE 8, 9 of 10 onder Windows 7 of Server 2008 R2, of IE 10 onder Windows 8 of Server 2012 zou worden gebruikt, die Fix it dan TLS v1.1 en TLS v1.2 indien eerder ingeschakeld dan automatisch terugzet naar de "Disabled by default" toestand.
Details, zie:
https://www.security.nl/posting/407000#posting407016
https://www.security.nl/posting/407000#posting407022
https://www.security.nl/posting/407000#posting407026
https://www.security.nl/posting/407000#posting407028
Daarom:
Zou iemand nog IE 8, 9 of 10 onder Windows 7 of Server 2008 R2, of IE 10 onder Windows 8 of Server 2012 gebruiken, gebruik dan niet de Fix it, maar schakel SSL 3.0 handmatig uit, óf zorg ervoor na het uitvoeren van de Fix it naast TLS v1.0 ook TLS v1.1 en TLS v1.2 weer in te schakelen.
Ik heb net dezelfde versie getest op https://www.ssllabs.com/ssltest/viewMyClient.html en kreeg deze melding:
"Your user agent is vulnerable. You should disable SSL 3."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
