SSL 3.0 is dood! Beveilig uw browser tegen de Poedelaanval

Een kwetsbaarheid gebruiken in de SSL 3.0, aanvallers kunnen schadelijke code in uw computer injecteren en deze compromitteren. Ze kunnen ook webhostingservers compromitteren met dezelfde SSL 3.0. De meeste browsers ondersteunen SSL3 nog steeds, omdat de meeste webservers SSL 3.0 nog steeds gebruiken voor communicatie, zoals inloggen, het invullen van allerlei soorten formulieren, enz..

Poedel beveiligingsaanval

Secure Sockets Layer of SSL is een cryptografisch protocol dat is ontworpen om communicatiebeveiliging via internet te bieden. Het wordt nu overschreden door Transportlaagbeveiliging of TLS.

De Poedelaanval staat een internetcrimineel toe om gegevens te onderscheppen die via de SSL3-verbinding worden verzonden. Niet alleen kan hij of zij de gegevens onderscheppen, de internetcrimineel kan ook zijn eigen gegevens in de verbinding injecteren, waardoor de website denkt dat het afkomstig is van de browser. Evenzo doet het de browser geloven dat de schadelijke gegevens afkomstig zijn van de webserver.

POODLE is een afkorting voor Opvullen van Oracle op gedeclasseerde verouderde versleuteling. Het is een protocolfout en niet gerelateerd aan de implementatie. Het betekent dat, ongeacht hoe SSL3 wordt geïmplementeerd door browsers of hosts, de fout er is voor aanvallers om te exploiteren. De enige manier om uzelf te beschermen tegen hacking, is SSL3.0 uit te schakelen in uw browsers en op uw webhostingservers.

U kunt de kwetsbaarheid van uw browser testen door deze website te bezoeken via de browser die u wilt controleren: ssllabs.com.

Schakel SSL 3.0 uit

Om uzelf tegen Poodle-beveiligingsaanvallen te beschermen, kunt u SSL 3.0 misschien in uw webbrowser uitschakelen of vergrendelen.

Internet Explorer : Open het dialoogvenster Internetopties vanuit het Configuratiescherm en ga naar het tabblad Geavanceerd. Controleer of u SSL 3.0 gebruikt en schakel het vinkje uit.

Microsoft heeft een Fix It uitgebracht waarmee gebruikers SSL 3.0 in Internet Explorer kunnen uitschakelen. Microsoft heeft ook aangekondigd dat SSL 3.0 de komende maanden zal worden uitgeschakeld in de standaardconfiguratie van Internet Explorer en de online services van Microsoft en raadt klanten aan clients en services te migreren naar veiliger beveiligingsprotocollen, zoals TLS 1.0, TLS 1.1 of TLS 1.2.

Firefox : Om naar de optie om SSL3 uit te schakelen, typt u "about: config" in de adresbalk. Zoeken security.tls.version.min in de resultaten of gebruik de zoekbalk om ernaar te zoeken. Dubbelklik op de rij en verander de waarde van 0 in 1. Dit zal Firefox dwingen om alleen TLS 1.0 en hoger te gebruiken, waardoor SSL3.0 wordt uitgeschakeld.

Firefox heeft al gezegd dat het SSL 3.0 zal uitschakelen in hun volgende versie, net zoals ze Java 6 hebben uitgeschakeld toen bleek dat dit laatste erg kwetsbaar was.

Google Chrome: Het is niet zichtbaar in de instellingen. Men moet een parameter toevoegen aan de Chrome-snelkoppeling, zodat SSL3 wordt uitgeschakeld en alleen TLS wordt afgedwongen. Klik met de rechtermuisknop op de snelkoppeling en selecteer Eigenschappen. In het veld met de naam Doel, voeg toe -ssl-versie-min = TLS1. Dus je pad zou moeten verschijnen als:

"C: \ Program Files (x86) \ Google \ Chrome \ Application \ chrome.exe" --ssl-version-min = tls1

Zelfs Google heeft gezegd dat het in de komende maanden hoopt de ondersteuning voor SSL 3.0 volledig te verwijderen van al zijn client-producten

Site-eigenaren of hosts: Als eigenaar van een website of een webhost moet u overwegen om SSL 3 zo snel mogelijk op uw servers uit te schakelen