De Amerikaanse geheime dienst NSA heeft een waarschuwing afgegeven voor organisaties die versleuteld TLS-verkeer inspecteren, aangezien dit allerlei aanvullende risico's kan introduceren (pdf). Organisaties passen TLS-inspectie toe om te voorkomen dat er gevoelige gegevens lekken.
Er zijn verschillende apparaten die versleuteld verkeer inspecteren. De apparaten maken hierbij gebruik van certificaten die op clientsystemen worden geïnstalleerd en het mogelijk maken om het TLS-verkeer te ontsleutelen. Zodra een gebruiker bijvoorbeeld een versleutelde website bezoekt, maakt hij eerst verbinding met het inspectieapparaat. De verbinding tussen de client en het apparaat is versleuteld via het geïnstalleerde certificaat. Het inspectieapparaat zet vervolgens een tweede tls-verbinding met een externe server op.
Het kan echter voorkomen dat bij één van deze verbindingen een zwakkere TLS-versleuteling wordt gebruikt dan bij de tweede verbinding, waar aanvallers misbruik van kunnen maken, aldus de NSA. Een ander risico is dat aanvallers misbruik maken van de certificaatautoriteit die op de clientsystemen is geïnstalleerd om bijvoorbeeld malware te signeren waarmee intrusion detection-systemen zijn te omzeilen.
Daarnaast zijn TLS-inspectieapparaten een aantrekkelijk doelwit voor aanvallers. Door toegang tot deze apparaten te krijgen kan een aanvaller al het verkeer in ontsleutelde vorm bekijken, zo laat de NSA weten. Verder bestaat het risico dat insiders, bijvoorbeeld een kwaadwillende systeembeheerder, misbruik van hun positie maken om wachtwoorden en andere gevoelige data in het ontsleutelde verkeer te onderscheppen. Tevens valt in de Verenigde het gebruik van TLS-inspectie onder de privacywetgeving.
Hoewel TLS-inspectie voordelen heeft, brengt het ook risico's met zich mee. "Bedrijven moeten deze risico's zorgvuldig afwegen tegen de voordelen, en wanneer TLS-inspectie wordt toegepast, deze risico's afvangen", zo laat de waarschuwing van de NSA weten. De Amerikaanse geheime dienst geeft organisaties ook verschillende tips hoe de risico's van TLS-inspectie zijn te verkleinen.
Deze posting is gelocked. Reageren is niet meer mogelijk.