image

Google gaat SSL 3.0 in Chrome uitschakelen

vrijdag 31 oktober 2014, 12:31 door Redactie, 3 reacties

Om gebruikers tegen mogelijke aanvallen via een ernstig lek in SSL 3.0 te beschermen gaat Google het protocol in de browser uitschakelen. Via de kwetsbaarheid is het mogelijk voor een aanvaller die zich tussen een gebruiker en het internet bevindt, bijvoorbeeld bij een open wifi-netwerk, om vertrouwelijke informatie uit versleuteld verkeer te stelen, zoals sessiecookies.

De aanval werkt alleen als de aanvaller de browser van het doelwit op SSL 3.0 kan laten terugvallen. De meeste websites gebruiken nieuwere encryptieprotocollen, maar ondersteunen SSL 3.0 nog wel als er bijvoorbeeld problemen zijn bij het opzetten van een versleutelde verbinding via één van de nieuwere protocollen. Vanaf Chrome 39, wat de volgende versie is, zal het echter niet meer mogelijk zijn om de browser op SSL 3.0 terug te laten vallen. Vanaf Chrome 40 is Google van plan om de ondersteuning van SSL 3.0 volledig uit te schakelen, zo heeft Google-engineer Adam Langley laten weten.

Gisteren kwam Microsoft al met het nieuws dat het de ondersteuning van SSL 3.0 in Internet Explorer alsmede andere online diensten gaat stoppen. Voor gebruikers die hierop niet kunnen wachten is er een Fix-it-oplossing verschenen waarmee het protocol via één muisklik in IE kan worden uitgeschakeld.

Reacties (3)
31-10-2014, 13:49 door Spiff has left the building
Door Redactie, 12:31 uur:
Gisteren kwam Microsoft al met het nieuws dat het de ondersteuning van SSL 3.0 in Internet Explorer alsmede andere online diensten gaat stoppen. Voor gebruikers die hierop niet kunnen wachten is er een Fix-it-oplossing verschenen waarmee het protocol via één muisklik in IE kan worden uitgeschakeld.
Ja, maar zoals Erik van Straten en ik (Spiff) dat gisteren hebben aangestipt,
houd er met die Fix it wel rekening mee dat in het geval eventueel nog IE 8, 9 of 10 onder Windows 7 of Server 2008 R2, of IE 10 onder Windows 8 of Server 2012 zou worden gebruikt, die Fix it dan TLS v1.1 en TLS v1.2 indien eerder ingeschakeld dan automatisch terugzet naar de "Disabled by default" toestand.
Details, zie:
https://www.security.nl/posting/407000#posting407016
https://www.security.nl/posting/407000#posting407022
https://www.security.nl/posting/407000#posting407026
https://www.security.nl/posting/407000#posting407028
Daarom:
Zou iemand nog IE 8, 9 of 10 onder Windows 7 of Server 2008 R2, of IE 10 onder Windows 8 of Server 2012 gebruiken, gebruik dan niet de Fix it, maar schakel SSL 3.0 handmatig uit, óf zorg ervoor na het uitvoeren van de Fix it naast TLS v1.0 ook TLS v1.1 en TLS v1.2 weer in te schakelen.
31-10-2014, 20:39 door [Account Verwijderd] - Bijgewerkt: 31-10-2014, 20:42
[Verwijderd]
31-10-2014, 23:23 door maarten1001
Volgens SSL Labs is Chrome nog wel kwetsbaar.
Ik heb net dezelfde versie getest op https://www.ssllabs.com/ssltest/viewMyClient.html en kreeg deze melding:
"Your user agent is vulnerable. You should disable SSL 3."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.