In het 15 jaar oude versleutelingsssyteem SSL 3.0 is een lek ontdekt, waardoor een kraker informatie uit versleutelde verbindingen kan stelen. Hiermee zou die, bijvoorbeeld, de sessie van een regulier gebruiker kunnen overnemen. Ondanks zijn hoge leeftijd wordt SSL 3.0 nog veel gebruikt. Alle surfprogramma’s ondersteunen het. Het verdient de voorkeur de mogelijkheid te blokkeren SSL 3.0 in je websurfer te gebruiken. Met Chrome had ik problemen. met Firefox was het een fluitje van een cent (beide op de Mac). Overigens zit de oplossing van het probleem vooral bij de beheerders van de servers van kwetsbare instellingen als banken.
In het geval van een fout of verbindingsprobleem met een beveiligde server (herkenbaar aan https in de adresbalk) zullen websurfers op een oudere SSL-versie terugvallen om opnieuw verbinding te maken. Een aanvaller die tussen een gebruiker en het internet zit, kan deze verbindingsproblemen veroorzaken en zo het gebruik van SSL 3.0 binnen het webprogamma in gang zetten (om vervolgens het lek te misbruiken). De aanval wordt door de onderzoekers van Google Poodle (poedel) genoemd.
Volgens Google is het uitschakelen van de ondersteuning van SSL 3.0 voldoende om het probleem te verhelpen. Dit zou echter grote problemen met zich meebrengen en daarom adviseert Google om gebruik te maken van TLS_FALLBACK_SCSV. Daarmee wordt het probleem opgelost door de mislukte verbindingen opnieuw in te stellen en niet op een zwakkere versleuteling, zoals SSL 3.0, terug te vallen. Daarmee is het lek gedicht en het voorkomt ook het overschakelen op TLS 1.0, 1.1 of 1.2. De ondersteuning voor SSL 3.0 in Chrome zal verdwijnen. Als je in Chrome nu al wilt uitschakelen kan dat via het recept vlaggen met als commando: –ssl-version-min=tls1. Mij is dat niet gelukt.
Ook Mozilla Firefox stelt dat het beter is SSL 3.0 uit te schakelen. In de nieuwe versie zal SSL 3.0 niet meer ondersteund worden. Ook zal in de nieuwe versie, verwacht eind november, het SCSV-mechanisme worden ondersteund. Volgens Mozilla gebruikt Firefox SSL 3.0 bij slechts 0,3% van de HTTPS-verbindingen. “Dat is een klein percentage, maar vanwege de omvang van het web gaat het nog steeds om miljoenen transacties per dag”, zegt Mozilla’s Richard Barnes. Om in de huidige versie SSL 3.0 uit te schakelen tik je in de adresbalk about:config en zoek vervolgens naar security.tls.version.min. Zet nu de waarde (value) hiervan op 1. Dat was een fluitje van een cent
De ontwikkelaars van Tor laten weten dat de software niet kwetsbaar is, aangezien standaard TLS 1 staat ingeschakeld en er nooit een mechanisme was om op SSL 3 terug te vallen. Daarnaast versleutelt Tor dezelfde informatie niet op dezelfde manier als er verbindingsproblemen zijn. De poedel-aanval zal dan ook weinig zin hebben, zelfs als een aanvaller Tor-gebruikers op SSL 3.0 laat terugvallen.
Tor Browser, het programma dat veel Tor-gebruikers gebruiken, is op Firefox gebaseerd en bevat wel het eerder genoemde terugvalmechanisme. Daarom zal ook Tor binnenkort met een nieuwe versie van Tor Browser komen. Tor Browser-gebruikers die zich willen beschermen kunnen het recept voor Firefoxgebruikers volgen.
Naast Mozilla en Google heeft ook Microsoft gewaarschuwd. SSL 3.0 wordt namelijk door alle Windowsversies ondersteund en die zijn dan ook kwetsbaar voor de aanval. Aangezien de aanval alleen in bepaalde gevallen kan worden uitgevoerd stelt Microsoft dat het lek geen groot risico voor gebruikers is. Ook zijn er nog geen aanvallen via het lek waargenomen. Microsoft zou op dit moment de situatie onderzoeken en afhankelijk van de uitkomst met een nieuwe versie komen. SSL 3.0 is in Internet Explorer simpel uit te schakelen. Daarvoor ga je in het menu naar Extra en vervolgens Internetopties. Kies daar Geavanceerd en verwijder bij Beveiliging het vinkje bij “SSL 3.0 gebruiken”. Vink vervolgens het gebruik van TLS 1.0, TLS 1.1 en TLS 1.2 aan als deze opties nog niet zijn aangevinkt. Herstart vervolgens IE. Op de pagina’s van security.nl kun je alles nog eens rustig nalezen.
Bron: security.nl