Ministerie waarschuwt bedrijven voor einde van support OpenSSL 1.1.1
Het ministerie van Economische Zaken waarschuwt bedrijven voor het einde van de support van OpenSSL 1.1.1. Vanaf 11 september zal de software geen beveiligingsupdates meer ontvangen. OpenSSL behoort tot de meestgebruikte software voor het versleutelen van internetverbindingen. Websites maken er bijvoorbeeld gebruik van om het verkeer van en naar bezoekers te versleutelen.
Kwetsbaarheden in OpenSSL kunnen zeer grote gevolgen voor het internet hebben, zo heeft de Heartbleed Bug in het verleden aangetoond. "Daarnaast staat software zoals OpenSSL vaak direct in verbinding met het internet waardoor aanvallers kwetsbaarheden makkelijker op afstand kunnen misbruiken. Het is daarom belangrijk om gebruik te maken van softwareversies die nog ondersteund worden want deze worden voorzien van beveiligingsupdates", aldus het Digital Trust Center (DTC) van het ministerie.
OpenSSL kan onderdeel uitmaken van het besturingssysteem en ook verwerkt zitten in andere bedrijfssoftware, firewalls, NAS-systemen en VPN-oplossingen. "Door deze verwevenheid is het niet altijd eenvoudig om na te gaan of binnen jouw organisatie gebruik wordt gemaakt van OpenSSL en welke versie gebruikt wordt", zo stelt de overheidsinstantie. Ontwikkelaars die met OpenSSL werken wordt aangeraden om naar versie 3.0 of 3.1 over te stappen of tegen betaling uitgebreide support af te nemen.
Voor andere partijen bestaat de kans dat ze van producten of diensten gebruikmaken waar OpenSSL in verwerkt zit. "Het is aan de leverancier van deze producten of diensten om noodzakelijke updates of upgrades door te voeren"", merkt het DTC op, dat toevoegt dat bedrijven niet moeten werken met end-of-life producten. "Sta hier in het kader van OpenSSL in het bijzonder stil bij producten die je benadert op afstand, zoals webservers of VPN-oplossingen."
Makkelijk toch?
Makkelijk toch?
Websites zijn vaak al over. Die draaien op zaken als IIS en Apache, waar dat eenvoudig is te configureren. De grote problemen zitten vaak in systemen waar je niet met een browser naartoe gaat. Die bijvoorbeeld bedoeld zijn voor machine-machine communicatie. Dat is vooral lastig als je machines van verschillende fabrikanten hebt. Wie is verantwoordelijk als het niet meer werkt?
Peter
Dit is niet expliciet het ministerie, maar het Digital Trust Center. Dat is expliciet opgezet om bedrijven voor dit soort zaken te waarschuwen (1). Een goede security is belangrijk voor de economie van Nederland. Vandaar dat het onder dit ministerie valt.
(1) https://www.digitaltrustcenter.nl/nieuws/digital-trust-center-krijgt-groen-licht-voor-definitieve-voortgang
Peter
Makkelijk toch?
Ik denk dat je SSL/TLS versies verwart met de versie van de OpenSSL software. Die twee staan los van elkaar.
Wat betreft de versies:
SSL moet al lang uit staan (maar staat op sommige servers nog steeds aan)
TLS 1.0 en 1.1 moeten uit op server en client
TLS 1.2 is het minimum
TLS 1.3 is moet de geprefeerde methode zijn, dit ontwerp lost veiligheidsproblemen op van voorgaande versies
Up to date browsers zullen doorgaans TLS 1.3 kiezen waar beschikbaar en anders 1.2.
Voor het overstappen op een hogere OpenSSL versie is het meestal nodig om de major versie van de distributie te upgraden, en dat kan meer werk zijn dan je er graag aan besteedt... vandaar dat men dan die backports doet.
Ook is het niet zeker dat blijven hangen op een oude versie een probleem is, omdat de vulnerabilities nog wel eens alleen in de nieuwe versie zitten en niet in de oude.
als je een security software pakket al 5 jaar niet geupdate hebt, dan zie ik het somber in...
dan is 1.1.1 naar 3.0.1 of 3.1.1 niet zo spannend meer, dan heb je al een tijdje andere problemen..
Het kan automatisch, ja, als dat ingesteld is, danwel de default is.
Maarre... vanwaar je geknor op Linux? Lees jij die term ergens dan?
Ook OpenSSL is "iets" breder dan je wellicht denkt.
als je een security software pakket al 5 jaar niet geupdate hebt, dan zie ik het somber in...
dan is 1.1.1 naar 3.0.1 of 3.1.1 niet zo spannend meer, dan heb je al een tijdje andere problemen..
Dit zie je verkeerd. Als je bijvoorbeeld met Debian Bullseye werkt dan loop je echt niet hopeloos achter, want dat is gereleased in 2021 en de nieuwere versie Bookworm is er pas sinds 10 juni van dit jaar, en Bullseye wordt ooficieel nog ondersteund tot juli 2024.
En daar zit OpenSSL 1.1.1n in. Dus dat gaan ze nog een jaar onderhouden, onafhankelijk van wat DTC daar over zegt.
als je een security software pakket al 5 jaar niet geupdate hebt, dan zie ik het somber in...
dan is 1.1.1 naar 3.0.1 of 3.1.1 niet zo spannend meer, dan heb je al een tijdje andere problemen..
Dit zie je verkeerd. Als je bijvoorbeeld met Debian Bullseye werkt dan loop je echt niet hopeloos achter, want dat is gereleased in 2021 en de nieuwere versie Bookworm is er pas sinds 10 juni van dit jaar, en Bullseye wordt ooficieel nog ondersteund tot juli 2024.
En daar zit OpenSSL 1.1.1n in. Dus dat gaan ze nog een jaar onderhouden, onafhankelijk van wat DTC daar over zegt.
als je een security software pakket al 5 jaar niet geupdate hebt, dan zie ik het somber in...
dan is 1.1.1 naar 3.0.1 of 3.1.1 niet zo spannend meer, dan heb je al een tijdje andere problemen..
Dit zie je verkeerd. Als je bijvoorbeeld met Debian Bullseye werkt dan loop je echt niet hopeloos achter, want dat is gereleased in 2021 en de nieuwere versie Bookworm is er pas sinds 10 juni van dit jaar, en Bullseye wordt ooficieel nog ondersteund tot juli 2024.
En daar zit OpenSSL 1.1.1n in. Dus dat gaan ze nog een jaar onderhouden, onafhankelijk van wat DTC daar over zegt.
Jawel hoor. Als er een security bug gevonden wordt en de OpenSSL ontwikkelaars een patch voor versie 3 uitbrengen gaan de Debian ondersteuners kijken of diezelfde bug ook in versie 1.1.1 zit (vaak is dat niet het geval!) en hoe de veranderingen van die patch kunnen worden "gebackport" naar versie 1.1.1. En dat releasen ze dan als update voor Bullseye.
Dit gaat altijd zo bij de Linux distributies die met "bevroren" versies werken. Zelfs het versienummer wordt niet aangepast dus als dit naar buiten zichtbaar is dan lijkt het voor die "researchers" soms of je een vulnerable versie draait terwijl dat niet zo is.
als je een security software pakket al 5 jaar niet geupdate hebt, dan zie ik het somber in...
dan is 1.1.1 naar 3.0.1 of 3.1.1 niet zo spannend meer, dan heb je al een tijdje andere problemen..
Dit zie je verkeerd. Als je bijvoorbeeld met Debian Bullseye werkt dan loop je echt niet hopeloos achter, want dat is gereleased in 2021 en de nieuwere versie Bookworm is er pas sinds 10 juni van dit jaar, en Bullseye wordt ooficieel nog ondersteund tot juli 2024.
En daar zit OpenSSL 1.1.1n in. Dus dat gaan ze nog een jaar onderhouden, onafhankelijk van wat DTC daar over zegt.
Als je er geen verstand van hebt kun je beter niets zeggen. Wat je zegt klopt niet op meerdere punten. Het gaat om Debian die gewoon OpenSSL 1.1.1 (niet 1.1) blijft ondersteunen zolang dat mogelijk is. OpenSSL brengt voorlopig nog gewoon updates uit voor v1.1.1, ook na 11 september voor betalende klanten. Als OpenSSL dat kan, kan het Debian security team dat ook. Overigens zijn third party patches ook te verwachten van diverse andere distributies.
Deze Debian versies hebben standaard OpenSSL 1.1.1n:
Buster EOL: 24 juni 2024
Bullseye EOL: juli 2024 to juni 2026
als je een security software pakket al 5 jaar niet geupdate hebt, dan zie ik het somber in...
dan is 1.1.1 naar 3.0.1 of 3.1.1 niet zo spannend meer, dan heb je al een tijdje andere problemen..
Dit zie je verkeerd. Als je bijvoorbeeld met Debian Bullseye werkt dan loop je echt niet hopeloos achter, want dat is gereleased in 2021 en de nieuwere versie Bookworm is er pas sinds 10 juni van dit jaar, en Bullseye wordt ooficieel nog ondersteund tot juli 2024.
En daar zit OpenSSL 1.1.1n in. Dus dat gaan ze nog een jaar onderhouden, onafhankelijk van wat DTC daar over zegt.
Als je er geen verstand van hebt kun je beter niets zeggen. Wat je zegt klopt niet op meerdere punten. Het gaat om Debian die gewoon OpenSSL 1.1.1 (niet 1.1) blijft ondersteunen zolang dat mogelijk is. OpenSSL brengt voorlopig nog gewoon updates uit voor v1.1.1, ook na 11 september voor betalende klanten. Als OpenSSL dat kan, kan het Debian security team dat ook. Overigens zijn third party patches ook te verwachten van diverse andere distributies.
Deze Debian versies hebben standaard OpenSSL 1.1.1n:
Buster EOL: 24 juni 2024
Bullseye EOL: juli 2024 to juni 2026
Bij de meeste Linux distributies zal het wel geregeld zijn maar wij vinden openssl 1.1.0.0 in alle Microsoft Office producten en Windows Defender. Hoe gaat dat hier opgelost worden?
precies dat, hier idem en benieuwd hoe Microsoft dat aan gaat pakken.
Als het er niet meer default inzit, kan het ook niet meer gebruikt worden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.