Firefox zal vanaf vandaag bij het opzetten van een beveiligde verbinding het uit 1995 stammende 3DES-encryptiealgoritme standaard niet meer ondersteunen, wat gebruikers tegen aanvallen moet beschermen, zo heeft Mozilla aangekondigd. Bij het opzetten van een beveiligde TLS-verbinding zijn er verschillende encryptiealgoritmes waaruit gekozen kan worden. De triple Data Encryption Standard (3DES) is er daar één van.
"Aangezien 3DES alleen een effectieve bescherming van 112 bits biedt, is het volgens sommige agentschappen bijna end-of-life", stelt securitybedrijf Rapid7. Het 3DES-algoritme maakt daarnaast geen onderdeel uit van TLS 1.3. Eerder stelde het National Institute of Standards and Technology (NIST), een Amerikaanse organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, dat 3DES vanaf 2017 niet meer in nieuwe applicaties moet worden gebruikt en vanaf 2023 overal moet zijn verdwenen (pdf).
Ook Mozilla stelt dat aanvallen tegen 3DES sterker zijn geworden. Daarnaast zijn andere, veiligere encryptiealgoritmes gestandaardiseerd en worden inmiddels breed ondersteund, waardoor 3DES nog weinig wordt gebruikt. "Zolang 3DES een door Firefox aangeboden optie blijft, vormt het een beveiligings- en privacyrisico. Omdat het niet langer nodig of verstandig is om dit encryptiealgoritme te gebruiken, staat het standaard uitgeschakeld in Firefox 93", zegt Mozillas Dana Keele.
Mozilla denkt dat het gebruik van 3DES nog vooral afkomstig is van verouderde apparaten die oude cryptografie gebruiken en niet zijn te upgraden. Ook kan het zijn dat sommige moderne servers onbedoeld van 3DES gebruikmaken ook al zijn er veiligere algoritmes beschikbaar. Het uitschakelen van 3DES moet daarbij helpen, aldus Keele. Firefox 93 zal later vandaag verschijnen.
Deze posting is gelocked. Reageren is niet meer mogelijk.