image

OpenSSL waarschuwt voor einde support versie 1.1.1 op 11 september

dinsdag 28 maart 2023, 15:00 door Redactie, 2 reacties

De ontwikkelaars van OpenSSL waarschuwen iedereen die van versie 1.1.1 gebruikmaakt, want nog minder dan zes maanden en dan zal deze versie geen beveiligingsupdates meer ontvangen. Vanaf 11 september is de software namelijk end of life. Gebruikers wordt aangeraden om te upgraden naar OpenSSL 3.0 of OpenSSL 3.1. Deze versies worden respectievelijk tot 7 september 2026 en 14 maart 2025 ondersteund.

OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond.

Naast de normale releases werkt OpenSSL ook met Long Term Support (LTS) releases. Die kunnen vijf jaar lang op beveiligingsupdates rekenen. OpenSSL 1.1.1 was een LTS-release die op 11 september 2018 verscheen. Op 11 september 2023 stopt de ondersteuning. OpenSSL 3.0 is ook een LTS-release en wordt daardoor langer ondersteund dan versie 3.1.

Een andere optie is het afsluiten van een betaald onderhoudscontract. Daarbij krijgen organisaties ook na de end of life datum van OpenSSL 1.1.1 nog beveiligingsupdates voor deze versie. Het is echter onbekend hoelang OpenSSL deze updates blijft aanbieden. Het ontwikkelteam zegt dit te blijven doen zolang het commercieel houdbaar is.

Reacties (2)
28-03-2023, 20:30 door Anoniem
Wat gaat Debian 11 doen?
29-03-2023, 10:59 door Anoniem
Door Anoniem: Wat gaat Debian 11 doen?
Wat het altijd doet: het zelf blijven ondersteunen en security updates die upstream in nieuwe versies worden gedaan overnemen in de versie die zij voeren, of zelf securityproblemen verhelpen. Zo werkt Debian al tientallen jaren, hun reputatie van stabiliteit is mede gebaseerd op het feit dat ze in een major release features en interfaces in beginsel bevriezen en alleen securityproblemen verhelpen.

Deze werkwijze lukt Debian in een beperkt aantal gevallen niet. Om daarvan op de hoogte te blijven kan je het pakket "debian-security-support" installeren en regelmatig het commando "check-support-status" uitvoeren, dan krijg je een rapport voor de pakketten die geïnstalleerd zijn op het systeem waarop het commando wordt uitgevoerd. En mocht het zover komen dat het ze niet lukt met openssl binnen Debian 11 dan ga je daar ongetwijfeld nieuwsberichten over zien, onder meer op deze site.

Debian is trouwens sinds januari bezig met het "freeze"-proces dat voorafgaat aan een nieuwe stabiele release. Dat houdt in dat in de "testing"-distributie geen featurewijzigingen worden geaccepteerd maar volgens een in stappen strenger wordend regime alleen nog problemen worden opgelost die in een stabiele release niet horen voor te komen. Ze zitten inmiddels in de 3e van de 4 fasen van dat proces. Dat doet vermoeden dat ergens in de komende maanden Debian 12 uitkomt, en dat gebruikt openssl 3.
https://release.debian.org/bookworm/freeze_policy.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.