Efter ny kritisk sårbarhed: Drop nu SSL

Ny kritisk sårbarhed rammer to protokoller i SSL. Drop den gamle teknologi, lyder rådet fra en ekspert.

Datakryptering er internetsikkerhedens hjørnesten.

Secure Socket Layer eller bare SSL er en af de teknologier, der er udviklet til at gøre net-sikkerheden højere.

Men teknologien er på vej på pension, og her mod slutningen af karrieren er SSL blevet ramt af en kritisk sårbarhed, der har fået navnet Poodle.

For at forvandle almindelig http-trafik til sikker https-trafik er det SSL og TLS (Transport Layer Security), der anvendes som sikkerhedslag.

SSL er som sagt på vej ud af billedet, mens TLS er afløseren.

"SSL hænger egentlig tilbage, fordi webserverne kører versioner, der ikke er tidssvarende eller opdaterede," siger Peter Kruse, der er sikkerhedsekspert i firmaet CSIS.

TLS blev skabt i 1999 som en forbedring af SSL 3.0-krypteringen. TLS bliver anvendt som en del af https-krypteringen, og den er i det hele taget blevet web-standard for datakryptering.

"TLS er nyere og har i dag, i modsætning til SSL2 og SSL3, fuld understøttelse og support. Langt de fleste browsere, som er frigivet i 2014, understøtter da også TLS," siger sikkerhedsmanden.

To protokoller driller
Selv om SSL og TLS på mange måder ligner hinanden, er der to protokoller, der adskiller dem, og det er netop i disse protokoller, at der er opstået problemer for SSL.

"Gennem de to protokoller åbner Poodle-sårbarheden for klassiske Man in The Middle-angreb, eller gør det muligt at dekryptere dele af den krypterede trafik ved at injekte data i SSL3 data-strømmen. Angrebet åbner mulighed for at dekryptere 1 byte ad gangen. Ved tilstrækkelig, og vedholdende angreb, er det således muligt at knække krypteringen og læse i SSL3-trafikken," fortæller Peter Kruse.

For at krybe uden om problemerne giver han et par enkle løsninger.

Send SSL på pension
For det første skal man sende SSL3 på pension på sin server og sine programmer.

"Man skal migrere sine servere og applikationer til at understøtte TLS. Det er ikke besværligt, men kan ofte løses med en enkelt linje eller et flueben i webserver-softwaren. Ligeledes bør man se sit netværk igennem for applikationer, der anvender SSL," fortæller han.

"Apache er den mest anvendte webserver, og den kan let rettes så SSL2 og SSL3 lukkes ned. Man skal blot tilføje: "SSLProtocol All -SSLv2 -SSLv3" til konfigurationen," beskriver han.

Du kan finde en automatiseret test her, der kigger netværket igennem eller finder programmer, herunder din browser, som benytter SSL. 

Der kan også være problemer på klientsiden med browsere, der anvender SSL.

I følge Cloudflare er det dog ikke ret mange. Eksempelvis understøtter kun 0.09 procent af deres besøgende SSL3, skriver firmaet på sin blog.

Problemløsningen ligger således typisk på web-serveren.

Du kan læse mere om problemet på Googles sikkerheds-blog

Det er ikke første gang, at SSL er ramt af sikkerhedsproblemer.

Det kan du læse mere om her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb


Læs også:

Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
It-sikkerhed 2017: De nye trusler - og dit næste modtræk

Vi tager pulsen på den aktuelle it-sikkerhedssituation ved at gå i dybden med de nyeste trusler og give til inspiration til dine nødvendige modtræk. Der er masser at skulle forholde sig til som it-ansvarlig. Men har du forstået de reelle trusler, og prioriterer du sikkerhedsindsatsen på den mest hensigtsmæssige måde?

24. januar 2017 | Læs mere


It-sikkerhed 2017: De nye trusler - og dit næste modtræk

Vi tager pulsen på den aktuelle it-sikkerhedssituation ved at gå i dybden med de nyeste trusler og give til inspiration til dine nødvendige modtræk. Der er masser at skulle forholde sig til som it-ansvarlig. Men har du forstået de reelle trusler, og prioriterer du sikkerhedsindsatsen på den mest hensigtsmæssige måde?

26. januar 2017 | Læs mere


Customer Relationship Management (CRM)

CRM er stort set blevet en standard i danske virksomheder. Der stilles stigende krav til sikkerheden når værdifulde informationer om virksomhedens væsentligste aktiv - kunderne - skal sikres, deles og gemmes, og netop sikkerheden i den web-baserede løsning kan virke uoverskuelig. Hør mere om hvordan bringer du dig i front med CRM, og hvordan får du størst muligt afkast af din CRM-investering.

31. januar 2017 | Læs mere






Computerworld
Advarsel til Gmail-brugerne: Lumsk phishing-mail på spil netop nu - sådan spotter du den
Gmail-brugerne skal være på vagt: It-kriminelle forsøger sig i øjeblikket med en udspekuleret phishing-mail. Se her, hvordan du spotter fupnummeret.
CIO
Årets CIO om 2017: Nu skruer vi op for kunstig intelligens for at finde mønstre i driftdata og optimere komponenter
Klumme: Hos Energinet går forretning og it nu sammen om at skabe systemer baseret på kunstig intelligens. Målet er et mere effektivt dansk el-system ved at udnytte og forstå de gigantiske datamængder fra elforsyningen.
Comon
Undgå passwordet: Smart tilbehør til at låse og åbne din computer med Windows Hello
Windows Hello kan mere end blot låse din computer op med dit ansigt. Der findes en lang række muligheder af tilbehør, som kan være med til at sikre din computer mod indtrængere. Se fem af dem her.
Channelworld
Ny EG-direktør har en plan: Sådan skal EG vokse sig større og endnu mere profitabel
Interview: Mikkel Bardram er ny administrerende direktør i EG. Selvom EG nu har 2.000 ansatte og en omsætning på 1,8 milliarder kroner, er der potentiale for endnu mere, mener den nye direktør.
White paper
Undersøgelse af kritiske anlæg
I 2015 afsluttede Coromatic Group en undersøgelse af kritiske anlæg, der dækkede årene 2000-2013. Undersøgelsen omfattede det nordiske hospitalsmarked og dets afhængighed af to virksomhedskritiske funktioner, strømforsyning og kommunikationsteknologi, under hensyntagen til den øgede mængde af data, der behandles i forskellige systemer.