NIEUWS

2 minuten leestijd (440 woorden)

Hoe dicht je het SSL 3.0 veiligheidslek

 Onderzoekers bij Google hebben in 2014 een veiligheidslek ontdekt in de versleutelmethode die door de meeste browsers gebruikt wordt.

Er is echter een eenvoudige manier om je te beschermen tegen dit lek.

Wat is er aan de hand?
Het Internetverkeer tussen een browser en de server van een bezochte site kan versleuteld worden voor bijvoorbeeld betalingsverkeer. Hiervoor maakt een browser gebruik van een zogenaamd ssl-protocol. Het veiligheidslek, dat de onderzoekers hebben gevonden, zit in een oude versie van dit protocol: het SSL 3.0 protocol. Misbruik van het veiligheidslek zorgt ervoor dat versleuteld internetverkeer te onderscheppen en uit te lezen valt. Voor bijvoorbeeld internetbankieren of e-mailen is dat natuurlijk in potentie erg gevaarlijk.
Dit beveiligingslek heeft de naam "Poodle" gekregen. Dit is een afkorting van hoe de vinders van het beveiligingsprobleem het lek hebben genoemd (Padding Oracle On Downgraded Legacy Encryption).

De echte oplossing voor het probleem zit bij de website-ontwikkelaars, die al lang het verouderde protocol niet meer moeten gebruiken. Gelukkig maken veruit de meeste sites (ook onze sites) geen gebruik (meer) van dit SSL 3.0 protocol. De ontwikkelaars van 'Chrome' en 'Firefox' hebben overigens al aangegeven dat ze in de volgende versie van hun browser geen SSL 3.0 meer zullen ondersteunen.

Om er zeker van te zijn dat je geen SSL 3.0 protocol meer op je browser gaat gebruiken, kun je dit ook in je browser uitschakelen.

Zo doe je dat:


Voor 'Internet Explorer':

• Open de browser;
• 
Druk rechtsboven op het tandwieltje en klik daarna op 'Internetopties'.
• 
In het venstertje dat verschijnt ga je naar het tabblad 'Geavanceerd'.
• 
Haal het vinkje weg bij 'SSL 3.0 gebruiken' en druk op 'Toepassen'.
• 
Start de browser daarna opnieuw.

Voor 'Chrome':

• Zoek de Chrome-snelkoppeling op.
• 
Klik met de rechtermuisknop op het icoontje en kies 'eigenschappen'.
• 
In het vakje 'Doel' staat een lange snelkoppeling naar het .exe bestand dat de browser opent.
• 
Voeg aan het einde van de regel dit toe: --ssl-version-min=tls1
• 
Druk op 'Toepassen'.
• 
Je kunt de browser nu gewoon starten.

Voor 'Firefox':

• Installeer de extensie 'SSL Version Control'.
• 
Druk vervolgens op het menuknopje rechtsboven en kies 'Add-on beheer'.
• 
Klik achter SSL Version Control op 'Opties'.
• 
Controleer of er achter Minimum SSL 'Version TLS 1.0' geselecteerd staat.
• 
Start de browser daarna opnieuw.




Om na te gaan of je browser daadwerkelijk werkt zonder het SSL 3.0 protocol kan je naar de Poodle Test site gaan door op de afbeelding hier rechts naast te klikken.

De voordelen van een HTTP-S verbinding
© 2000 Maindes
Alle op deze website genoemde prijzen zijn excl. BTW tenzij anders vermeld.