Skip to main content

Geschreven op .

Hoe dicht je het SSL 3.0 veiligheidslek

Onderzoekers bij Google hebben in 2014 een veiligheidslek ontdekt in de versleutelmethode die door de meeste browsers gebruikt wordt.
Er is echter een eenvoudige manier om je te beschermen tegen dit lek.

Wat is er aan de hand?
Het Internetverkeer tussen een browser en de server van een bezochte site kan versleuteld worden voor bijvoorbeeld betalingsverkeer. Hiervoor maakt een browser gebruik van een zogenaamd ssl-protocol. Het veiligheidslek, dat de onderzoekers hebben gevonden, zit in een oude versie van dit protocol: het SSL 3.0 protocol. Misbruik van het veiligheidslek zorgt ervoor dat versleuteld internetverkeer te onderscheppen en uit te lezen valt. Voor bijvoorbeeld internetbankieren of e-mailen is dat natuurlijk in potentie erg gevaarlijk.
Dit beveiligingslek heeft de naam "Poodle" gekregen. Dit is een afkorting van hoe de vinders van het beveiligingsprobleem het lek hebben genoemd (Padding Oracle On Downgraded Legacy Encryption).

De echte oplossing voor het probleem zit bij de website-ontwikkelaars, die al lang het verouderde protocol niet meer moeten gebruiken. Gelukkig maken veruit de meeste sites (ook onze sites) geen gebruik (meer) van dit SSL 3.0 protocol. De ontwikkelaars van 'Chrome' en 'Firefox' hebben overigens al aangegeven dat ze in de volgende versie van hun browser geen SSL 3.0 meer zullen ondersteunen.

Om er zeker van te zijn dat je geen SSL 3.0 protocol meer op je browser gaat gebruiken, kun je dit ook in je browser uitschakelen.

Zo doe je dat:

IE SSL 3.0Voor 'Internet Explorer':

  • Open de browser;
  • Druk rechtsboven op het tandwieltje en klik daarna op 'Internetopties'.
  • In het venstertje dat verschijnt ga je naar het tabblad 'Geavanceerd'.
  • Haal het vinkje weg bij 'SSL 3.0 gebruiken' en druk op 'Toepassen'.
  • Start de browser daarna opnieuw.

 

 

 

Chrome SSL 3.0Voor 'Chrome':

  • Zoek de Chrome-snelkoppeling op.
  • Klik met de rechtermuisknop op het icoontje en kies 'eigenschappen'.
  • In het vakje 'Doel' staat een lange snelkoppeling naar het .exe bestand dat de browser opent.
  • Voeg aan het einde van de regel dit toe: --ssl-version-min=tls1
  • Druk op 'Toepassen'.
  • Je kunt de browser nu gewoon starten.

 

Firefox SSL 3.0Voor 'Firefox':

  • Installeer de extensie 'SSL Version Control'.
  • Druk vervolgens op het menuknopje rechtsboven en kies 'Add-on beheer'.
  • Klik achter SSL Version Control op 'Opties'.
  • Controleer of er achter Minimum SSL 'Version TLS 1.0' geselecteerd staat.
  • Start de browser daarna opnieuw.

 

Poodle test siteOm na te gaan of je browser daadwerkelijk werkt zonder het SSL 3.0 protocol kan je naar de Poodle Test site gaan door op de afbeelding hier rechts naast te klikken.